Política de Privacidade Sogrape
REGULAMENTO GERAL DE PROTEÇÃO DE DADOS
Introdução
O Regulamento Geral da Proteção de Dados (RGPD), relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, entrou em vigor no dia 25 de maio de 2016 e veio revogar a Diretiva 95/46/CE.
O Regulamento tem como objetivo devolver o controlo dos dados pessoais aos cidadãos, evitando a disseminação e utilização abusiva e/ou indevida da sua informação pessoal.
Tratando-se de um Regulamento comunitário, é de aplicação direta em todos os Estados Membros, garantindo, deste modo, uma harmonização legislativa ao nível da Proteção de Dados.
Este Regulamento previu um período transitório de 2 anos para que as organizações se adaptem a esta nova realidade, passando a ser aplicável a partir de 25 de maio de 2018. É criado um novo quadro legal que altera o paradigma na forma como as organizações tratam dados pessoais, cujo impacto varia consoante a dimensão da organização, a área de atividade, a natureza dos dados recolhidos e ainda o modo de tratamento dos dados pessoais.
São enumerados os direitos dos titulares dos dados objeto de tratamento, mediante o reforço da necessidade de consentimento em situações de tratamento que não estão legitimadas por outra base de licitude, o direito ao fácil acesso e retificação dos dados, o direito à informação, direito “a ser esquecido”, o direito à oposição de utilização de dados pessoais e o direito à portabilidade dos dados.
Prevê ainda obrigações gerais para os responsáveis de tratamento de dados e subcontratantes, incluindo-se aqui a obrigação de implementar medidas técnicas e organizativas, tendo em consideração o risco inerente às operações de tratamento de dados pessoais. Estas medidas devem ser adequadas e necessárias a assegurar a conformidade com o Regulamento. As disposições desta Política aplicam-se às relações que o Grupo Sogrape mantém com os seus Clientes, Fornecedores, Parceiros e com os outros profissionais intervenientes no domínio da sua atividade comercial.
A presente Política aplica-se às operações efetuadas em Portugal ou a partir de dados portugueses.
Definições
Dados Pessoais: Informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social da pessoa singular.
Dados Sensíveis: Dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como dados genéticos (entendidos como dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular, que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa), dados biométricos (entendidos como dados pessoais resultantes de um tratamento técnica especifico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos) para identificar uma pessoa de forma inequívoca, dados relativos à saúde (entendidos como dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde que revelem informações sobre o seu estado de saúde) ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
Dados relativos à Saúde: Dados pessoais relacionados com a saúde física e mental da pessoa, incluindo receitas médicas que contenham informação sobre o estado de saúde do paciente.
Responsável Pelo Tratamento: A pessoa singular ou coletiva que determina as finalidades e os meios de tratamento de dados pessoais. Poderão existir responsáveis conjuntos.
Subcontratante: A pessoa singular ou coletiva que tratam os dados por conta do responsável pelo tratamento.
Titular dos Dados: A pessoa singular titular da informação tratada ou "a quem a informação respeita ou está associada".
Tratamento de Dados Pessoais: qualquer operação ou conjunto de operações sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, consulta utilização, conservação, recuperação, alteração, registo ou divulgação.
Encarregado de proteção de dados: Pessoa designada pela organização que estará envolvida em todas as questões relacionadas com a proteção de dados pessoais e determina as finalidades e os meios de tratamento de dados.
Princípios relativos ao tratamento de dados pessoais
O Grupo Sogrape procede ao tratamento de dados pessoais de clientes, fornecedores e colaboradores e estes tratamentos respeitam os seguintes princípios:
• Princípio da Informação adequada, proporcionada e necessária (“Minimização dos dados”) (Artigo 5.º, n.º 1 c) do RGPD) Os dados pessoais devem ser objeto de um tratamento leal, lícito e transparente em relação ao titular dos dados. Estes são recolhidos para determinadas finalidades, explícitas e legítimas, pelo que não poderão ser usados posteriormente de uma forma incompatível com essas finalidades. Os dados recolhidos devem cingir-se apenas ao que é estritamente necessário e adequado relativamente às finalidades para os quais são recolhidos e tratados. Este é um dos novos conceitos introduzidos que devem nortear todo o processo de tratamento de dados pessoais, a Privacidade por Defeito (“Privacy by Default”), que significa que devem ser introduzidos mecanismos para garantir que, por defeito, apenas são recolhidos a quantidade necessária de dados pessoais. O Grupo Sogrape procede ao tratamento de dados pessoais em vários momentos da sua atividade. Neste sentido, os dados solicitados aos clientes, fornecedores e ainda aos colaboradores são restringidos às finalidades necessárias para os quais são recolhidos.
• Princípio da Limitação das Finalidades Os dados são recolhidos para determinadas finalidades, sendo estas explícitas e legítimas, não sendo posteriormente ser sujeitos a um tratamento posterior de forma incompatível com essas finalidades. Este princípio, que se encontra consagrado no Artigo 5.º, n.º 1, alínea b) do RGPD, implica que, quando as empresas do Grupo Sogrape recolhem dados para uma ou mais finalidade, este tratamento será compatível com as finalidades para as quais tenham sido inicialmente recolhidos.
• Princípio da Exatidão As empresas que integram o Grupo Sogrape garantem a atualização e possibilidade de retificação dos dados pessoais, de forma a garantir a exatidão dos dados nas suas bases de dados. De forma a respeitar este princípio, foram adotadas as medidas adequadas para que dados que se encontrem desatualizados ou incorretos de acordo com as finalidades para que são tratados sejam apagados ou retificados de modo célere.
• Princípio da Limitação da Conservação Os dados sujeitos a tratamento, como revela o princípio da limitação das finalidades, são recolhidos para finalidades específicas, determinadas e explícitas (artigo 5.º, n.º 1, alínea e) do RGPD). Findo o tempo necessário para as finalidades para as quais são tratados, os dados são eliminados ou anonimizados.
• Princípio da Integridade e Confidencialidade Os dados pessoais são tratados de uma forma que garanta a confidencialidade e a segurança, de modo a não causar danos na esfera jurídica do titular dos dados (Artigo 5.º, n.º 1, alínea f)).
• Princípio da Responsabilidade As empresas que integram o Grupo Sogrape, nos termos do Artigo 5.º, n.º 2 do Regulamento, são responsáveis pelo cumprimento de todos os princípios acima elencados e têm de poder comprová-lo.
Direitos dos titulares de dados pessoais
As empresas que integram o Grupo Sogrape asseguram os direitos dos clientes, fornecedores e colaboradores em matéria de proteção de dados e tomaram as medidas necessárias para disponibilizar informações e qualquer comunicação a respeito do tratamento de dados de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples. Estas informações são apresentadas por escrito ou por meios eletrónicos ou, se assim o solicitar, poderá ser prestada a informação oralmente. É importante que cada empresa que integra o Grupo Sogrape tome medidas no sentido de garantir que a pessoa que solicita os dados pessoais é o titular dos dados. Se, porventura, a empresa tiver dúvidas razoáveis quanto à identidade da pessoa singular que apresenta o pedido, poderá solicitar informações adicionais que forem necessárias para confirmar a identidade do titular dos dados.
Se a empresa não der seguimento ao pedido, terá de informar o titular dos dados das razões que o levaram a não tomar medidas e das possibilidades que aquele tem de reclamação a uma autoridade de controlo ou mesmo através de uma ação judicial, no prazo de um mês a contar da data de receção do pedido. As informações e comunicações de medidas devem ser concedidas a título gratuito. Contudo, se os pedidos forem infundados ou excessivos, a empresa poderá: i) ou exigir o pagamento de uma taxa razoável tendo em conta os seus custos; ii) ou recusar o seguimento do pedido.
Os titulares dos dados pessoais podem solicitar também que os seus dados sejam totalmente apagados das bases de dados das empresas, sem demora injustifica e, neste sentido, estas deverão proceder ao apagamento dos mesmos.
Este direito apenas poderá ser concedido por partes das empresas que integram o Grupo Sogrape nas seguintes situações: a. Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento; b. O titular de dados pessoais retirou o consentimento no qual se baseia o tratamento dos dados pessoais, não existindo qualquer outro fundamento jurídico que justifique o tratamento dos mesmos; c. O titular exerce o direito de oposição, por motivos relacionados com a sua situação particular, ao tratamento dos seus dados pessoais que lhe digam respeito quando a base de licitude for o interesse legítimo, desde que não existam outras razões imperiosas e legítimas prevalecentes; d. O titular exerce o direito de oposição ao tratamento, quando os dados pessoais são tratados para efeitos de marketing direto; e. Exista uma obrigação jurídica para o apagamento dos dados pessoais; f. A recolha dos dados pessoais foi feita no contexto da oferta de serviços da sociedade de informação; g. Quanto tiver sido ultrapassado o período de conservação definido para os dados. No entanto, as empresas que integram o Grupo Sogrape não irão deferir o apagamento quando o tratamento se revele necessário: a. Ao exercício da liberdade de expressão e de informação; b. Ao cumprimento de uma obrigação legal que exija o tratamento prevista pelo direito da União Europeia ou de um Estado-Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o Responsável pelo Tratamento de Dados Pessoais; c. Para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, na medida em que o direito referido seja suscetível de tornar impossível ou prejudicar gravemente a obtenção dos objetivos desse tratamento; ou d. Para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
O titular dos direitos tem também direito a que a empresa, sem demora injustificada, retifique os dados que se encontrem inexatos.
Entidades subcontratadas
No âmbito do tratamento de dados pessoais, as empresas do Grupo Sogrape recorrem ou podem recorrer a entidades terceiras, por si subcontratadas, para, que em nome de cada entidade do Grupo Sogrape, e de acordo com as instruções dadas por esta, procederem ao tratamento de dados pessoais, em estrito cumprimento com o disposto na lei e na presente Política de Privacidade. Estas entidades subcontratadas não poderão transmitir os dados pessoais comunicados a outras entidades sem que a empresa do Grupo Sogrape tenha dado, previamente e por escrito, autorização para tal, estando também impedidas de contratar outras entidades sem autorização prévia da empresa do Grupo Sogrape. As empresas do Grupo Sogrape assumem o compromisso de subcontratar apenas entidades que apresentem garantias suficientes de execução das medidas técnicas e organizativas adequadas, de forma a assegurar a defesa dos direitos dos titulares dos dados. Todas as entidades subcontratadas pelas empresas do Grupo Sogrape ficam vinculadas através de um contrato escrito no qual são regulados, nomeadamente, o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de Dados Pessoais, as categorias dos titulares dos dados e os direitos e obrigações das partes.
Segurança no tratamento
As empresas que integram o Grupo Sogrape aplicaram medidas técnicas e organizativas adequadas para que seja assegurado um nível de segurança adequado ao risco de forma a evitar a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizado dos dados. É necessário ter em conta as potenciais vulnerabilidades do sistema e efetuar uma previsão do impacto que essas podem causar nas pessoas de modo a avaliar os riscos e definir as medidas que melhor se adaptam. Após a avaliação de impacto efetuada, o resultado desta poderá influenciar as medidas que são adotadas. As empresas que integram o Grupo Sogrape gozam de liberdade na escolha dos meios que considera adequados sendo que o RGPD apenas estabelece uma obrigação de resultado aos responsáveis pelo tratamento.
As medidas que são tomadas dependem do que se considera necessário para cada caso concreto, podendo ser: i) a pseudononimização e a cifragem dos dados; ii) a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; iii) a capacidade de restabelecer a disponibilidade e o aceso aos dados pessoais de forma atempada no caso de um incidente físico e técnico; iv) um processo para estar, apreciar e avaliar regulamente e a eficácia das medidas técnicas e organizativas para garantir a segurança no tratamento.
Violação de dados pessoais ("PERSONAL DATA BREACH")
As violações de dados pessoais são violações de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento. A deteção de um incidente de segurança da informação poderá ter origem em diversas situações (e.g. um colaborador perde o portátil e comunica o incidente, um cliente verifica uma situação anómala e comunica-a a um colaborador, uma equipa de segurança deteta atividades suspeitas no comportamento de uma aplicação).
Uma violação de dados pessoais poderá ter origem em: a. Violação de confidencialidade: sempre que se verifique a divulgação de ou acesso a dados pessoais de forma não autorizada ou acidental; b. Violação de disponibilidade: sempre que se verifique a perda de acesso ou a destruição de dados pessoais de forma não autorizada ou acidental; e c. Violação de integridade: sempre que se verifique a alteração de dados pessoais de forma não autorizada ou acidental. Caso ocorra uma violação de dados pessoais, a empresa terá de notificar a autoridade de controlo competente, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação não apresente risco para os direitos liberdades e garantias dos titulares dos dados. Se esta notificação exceder o prazo de 72 horas, a empresa deverá fundamentar o atraso.
No caso de a empresa ser subcontratante a notificação é feita ao responsável pelo tratamento de dados pessoais, sem demora injustificada. Para além da notificação à autoridade de controlo competente, poderá ser necessário a comunicação da violação de dados pessoais ao titular dos dados. Esta comunicação é necessária quando a violação dos dados pessoais implicar um risco elevado para os direitos e liberdades das pessoas singulares, tendo neste sentido de ser efetuada sem demora injustificada. Para caracterizar a extensão do incidente de segurança haverá que ter em consideração, por exemplo, uma estimativa do número de titulares de dados pessoais afetados pela violação de dados pessoais, o momento do incidente e duração do incidente ou consequências permanentes ou temporárias.
As empresas que integram o Grupo Sogrape enquanto responsáveis pelo tratamento de dados pessoais devem documentar quaisquer violações de dados pessoais. Esta documentação inclui os factos relacionados com as violações, os efeitos e a medida que foi adotada de modo a permitir à autoridade de controlo verificar o cumprimento destas exigências. Por outro lado, as empresas que integram o Grupo Sogrape deverão garantir um plano de ação corretivo, de modo a evitar uma repetição futura. As empresas que integram o Grupo Sogrape são responsáveis por manter um registo de evidências das ações corretivas implementadas (e.g. relatório de testes que confirmem que a vulnerabilidade que deu origem à violação de dados pessoais foi corrigida).
Exemplos de medidas técnicas e organizativas de resolução incluem, entre outras: a. A alteração de passwords em sistemas operativos e/ou aplicações impactadas pela violação de dados pessoais; b. A revogação e geração de novos certificados digitais; c. A revogação de sessões de contas de utilizador; d. A comunicação a utilizadores do dever de alterar credenciais nos sistemas e/ou aplicações; e. A formatação e reinstalação de sistemas e aplicações em equipamentos impactados; f. A recuperação de informação através de backups.
Exercício de direitos
O direito de acesso, o direito de retificação, o direito de apagamento, o direito à limitação, o direito de portabilidade e o direito à oposição podem ser exercidos pelo titular dos dados mediante contacto com a empresa do Grupo Sogrape respetiva, através do email privacy@sogrape.pt. A empresa do Grupo Sogrape respetiva dará resposta por escrito (incluindo por meios eletrónicos) ao pedido do titular dos dados no prazo máximo de um mês a contar da receção do pedido, salvo em casos de especial complexidade, em que esse prazo pode ser prorrogado até dois meses. Se os pedidos apresentados pelo titular dos dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu carácter repetitivo, a empresa do Grupo Sogrape reserva-se o direito de cobrar custos administrativos ou recusar-se a dar seguimento ao pedido.