1. DO SIGILO E DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

1.1. Do tratamento de dados pessoais:
O uso dos sistemas SACIH Plus, SACIH 3i e SACIH EGRESSOS envolve atividades de tratamento de dados pessoais, realizadas em cumprimento a toda a legislação aplicável a esse tratamento, incluindo, mas não se limitando, à Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD).

1.2. Agentes de tratamento:
No contexto de tratamento de dados pessoais, a BIOBYTE atuará como operadora, conforme legislação aplicável.

1.3. Obrigação de Sigilo:
As partes obrigam-se a manter sigilo, não divulgar, informar ou explorar quaisquer segredos de negócio relacionados à estruturação, estratégia ou comercialização de negócios da outra parte, bem como dados pessoais sensíveis ou não dos seus diretores, conselheiros, beneficiários e fornecedores, que lhe forem confiados ou de que tiver conhecimento em razão de sua atividade, mesmo após o fim da presente prestação de serviços, devendo observar os termos da Lei 13.709/18 (LGPD).

Parágrafo único:
As partes se obrigam a manter estrita confidencialidade das informações que lhes forem confiadas, bem como a tomar todas as precauções para evitar que quaisquer pessoas não diretamente vinculadas aos serviços tenham acesso a tais informações, sob pena de responder integralmente pelos danos correspondentes a cada violação, sem prejuízo das sanções civis, penais e trabalhistas cabíveis.

1.4. Compartilhamento:
A BIOBYTE não poderá compartilhar os dados pessoais tratados em razão do contrato com quaisquer terceiros sem prévia autorização por escrito do HOSPITAL (USUÁRIO), e somente quando necessário ao cumprimento do contrato, sendo vedada a presunção de qualquer autorização.

1.5. Segurança e Governança de dados:
A BIOBYTE obriga-se a aplicar medidas técnicas e organizacionais de segurança da informação e governança corporativa aptas a proteger os dados pessoais tratados em virtude do contrato, declarando possuir processos, controles e políticas adequadas à proteção dos dados pessoais, conforme legislação aplicável.

1.6. Notificação em caso de incidente:
Caso a BIOBYTE tenha conhecimento da ocorrência ou suspeita de qualquer incidente de segurança ou tratamento de dados pessoais ilícito, indevido ou não autorizado, deverá notificar o HOSPITAL (USUÁRIO) por escrito em até 24 (vinte e quatro) horas, informando todos os detalhes disponíveis.

1.7. Auditoria:
O HOSPITAL (USUÁRIO) poderá, durante a vigência do contrato e até três anos após seu término, realizar auditorias, por si ou terceiros, no ambiente de segurança da BIOBYTE, que deverá disponibilizar toda a documentação necessária.

1.8. Solicitações de direitos por titulares:
A BIOBYTE deverá comunicar imediatamente ao HOSPITAL (USUÁRIO) qualquer solicitação de titular de dados pessoais, abstendo-se de responder diretamente sem instrução expressa.

1.9. Exclusão de dados:
Os dados pessoais serão restituídos ou excluídos pela BIOBYTE conforme determinação do HOSPITAL (USUÁRIO), nas seguintes hipóteses:
(i) cumprimento da finalidade do tratamento;
(ii) término do contrato;
(iii) instrução específica do HOSPITAL (USUÁRIO).

1.10. Responsabilidades:
A BIOBYTE será responsável pelo tratamento de dados pessoais realizado no âmbito do contrato, isentando o HOSPITAL (USUÁRIO) de quaisquer responsabilidades decorrentes de violação à LGPD ou ao contrato.

1.11. Encarregado:
A BIOBYTE declara que dispõe de encarregado (DPO), Sr. Bráulio Roberto Gonçalves Marinho Couto, responsável pela comunicação relativa ao tratamento de dados pessoais.

1.12. Plano de Resposta a Incidentes:
A BIOBYTE declara possuir plano de resposta a incidentes para restauração rápida de serviços e mitigação de recorrências.

1.13. Política de Segurança da Informação:
Os serviços operam em arquitetura de alta disponibilidade em ambiente AWS, com monitoramento contínuo e adequações conforme necessidade do HOSPITAL (USUÁRIO).

Links de referência da AWS:
https://aws.amazon.com/pt/security/
https://aws.amazon.com/pt/compliance/
https://aws.amazon.com/pt/compliance/pci-data-privacy-protection-hipaa-soc-fedramp-faqs

1.14. Política de Retenção e Descarte:
Backup diário incremental, semanal full, mensal full e retenção de 5 anos. O descarte será definido pelo HOSPITAL (USUÁRIO), via CCIH e Núcleo de Segurança do Paciente (NSP), conforme item 1.9.