Política de Privacidade e Cookies

Privacidade - Nota Informativa

​

01. O REGULAMENTO GERAL DA PROTEÇÃO DE DADOS (RGPD)

O RGPD é um diploma europeu (EU 2016/679) que estabelece as regras referentes à proteção, tratamento e livre circulação de dados pessoais das pessoas singulares em todos os países membros da União Europeia. Este regulamento surgiu com o objetivo de reforçar a Proteção de Dados, prevista no art.º 8 da Carta dos Direitos Fundamentais da União Europeia, e harmonizar a legislação existente nos Estados-Membros, criando as bases para o mercado único digital. Após um período de transição de 2 anos até à sua implementação total, o diploma tem aplicação a partir de 25 MAI 2018.

​

02. A QUEM SE APLICA?

Com a finalidade de contribuir para um mercado único europeu de dados e harmonizar a legislação de todos os estados membros da UE, o RGPD aplica-se a todas as pessoas singulares e coletivas que efetuem tratamento de dados pessoais a residentes da UE.

​

03. O QUE SÃO DADOS PESSOAIS?

Os dados pessoais são qualquer tipo de informação que permita identificar uma pessoa individual, designada «titular dos dados».
Exemplos: nome, morada, e-mail, telefone, nº cliente, fotografia, etc.

Existem categorias especiais de dados pessoais, designados “dados pessoais sensíveis”, relativamente aos quais as empresas devem ter cuidados adicionais.

Exemplos: origem racional ou étnica, opiniões políticas, convicções religiosas ou filosóficas, etc, bem como dados relativos a saúde, biométricos, genéticos, orientação sexual, entre outros.

Qualquer uso de dados pessoais, seja ele realizado por meios automatizados ou por meios não automatizados, é protegido pelo RGPD, relativamente aos seguintes processos:
- Recolha;
- Registo;
- Arquivo;
- Consulta;
- Alteração;
- Transmissão;
- Difusão ou Disponibilização;
- Comparação;
- Apagamento ou Destruição.

​

04. QUEM É RESPONSÁVEL PELO USO DOS DADOS?

O responsável (RT) é qualquer pessoa (singular ou coletiva), autoridade pública ou organismo que, individualmente ou em conjunto com outros determina a finalidade com que os dados são usados e através de que meios. O responsável pode designar um prestador de serviços para tratar os dados por sua conta. Este prestador é designado subcontratante. A nomeação de um subcontratante deve ser regulada por um contrato. Assim, os responsáveis pelo tratamento e subcontratantes deverão rever os seus contratos face ao RGPD.

​

05. COMO DEVEM SER USADOS OS DADOS PESSOAIS?

O uso de dados pessoais deve obedecer aos seguintes princípios de proteção de dados:

A. PRINCÍPIO DA LEGITIMIDADE
Os dados devem ser usados de forma legítima. Nesse sentido, o titular dos dados deve dar o seu consentimento de forma livre, específica, informada e explícita. O tratamento dos dados é necessário para a prossecução de interesses legítimos da empresa.
No caso dos dados sensíveis, o facto de os dados serem necessários para executar um contrato não legitima por si só o seu uso. Nesses casos, o uso deve basear-se essencialmente no consentimento explícito do titular dos dados e cumprimentos de legislação laboral, segurança social e proteção de dados, bem como medicina preventiva ou no trabalho, diagnóstico médico, prestação de cuidados de saúde por profissionais obrigados a sigilo.

B. PRINCÍPIO DA FINALIDADE
As empresas só podem tratar os dados para finalidades específicas, não podendo usá-los depois para prosseguir finalidades diferentes ou incompatíveis daquelas que determinaram a sua recolha. Deve manter-se um registo dentro da empresa com as várias finalidades para as quais são recolhidos dados.

C. PRINCÍPIO DA MINIMIZAÇÃO
As empresas só devem recolher e usar os dados que sejam indispensáveis, evitando recolher dados desnecessários ou excessivos. As empresas responsáveis pelo tratamento devem rever a informação que recolhem dos titulares dos dados para avaliar se a mesma é necessária para as finalidades subjacentes à sua recolha.

D. PRINCÍPIO DA EXATIDÃO
Os dados devem ser atualizados sempre que necessário. Por exemplo, quando se detete que os dados do cliente estão desatualizados, deve pedir-se a sua atualização sem demora.

E. PRINCÍPIO DA LIMITAÇÃO DA CONSERVAÇÃO
Os dados só podem ser guardados durante o tempo necessário para prosseguir a finalidade para o qual forma recolhidos, não podendo ser mantidos para sempre. As empresas devem assim rever os prazos de arquivo garantindo a eliminação dos dados quando deixem de ser necessários. Caso pretendam continuar a usar esses dados, deverão obter o consentimento do titular dos dados para esse efeito.

F. PRINCÍPIO DA TRANSPARÊNCIA
A empresa deve informar o titular dos dados por escrito sobre a forma como usa os seus dados, com que finalidades, durante quanto tempo e como pode exercer os seus direitos. O titular dos dados tem os chamados direitos ARCO:
- Acesso: O titular dos dados tem o direito de perguntar e obter confirmação da empresa (RT) se esta possui ou não Dados Pessoais que lhe digam respeito e de receber uma cópia dos mesmos;
- Retificação: Se o titular dos dados considerar que os seus dados pessoais podem estar incorretos ou incompletos pode solicitar a sua correção;
- Cancelamento: O titular dos dados pode solicitar o apagamento ou cancelamento de todos os dados relativos à sua pessoa exceto quando a empresa tenha obrigações legais que obriguem à sua conservação.
- Oposição: O titular dos dados tem o direito de se opor ao tratamento dos seus dados pessoais e de pedir à empresa que cesse o tratamento, nomeadamente para efeitos de marketing direto.
Nessas situações a Empresa (RT) deverá cessar a utilização dos seus dados e tem de respeitar o pedido do Titular dos Dados sem quaisquer custos.
Adicionalmente, o RGPD conferiu-lhe ainda:
- Direito ao Esquecimento: Corresponde ao alargamento do direito ao cancelamento. Em circunstâncias específicas, o Titular dos Dados pode solicitar a Empresas que tenham disponibilizado os seus Dados Pessoais online que os apaguem. Este direito não é absoluto, o que significa que outros direitos, como a liberdade de expressão e a investigação científica, poderão ter de ser salvaguardados.
- Direito à Portabilidade: o titular dos dados tem o direito de pedir que os seus dados sejam transferidos diretamente para outra Empresa cujos serviços gostaria de utilizar, sempre que tal seja tecnicamente possível.

G. PRINICÍPIO DA INTEGRIDADE E CONFIDENCIALIDADE
As Empresas devem implementar processos e mecanismos de segurança que garantam que os Dados Pessoais não são destruídos, alterados ou acedidos por terceiros de forma ilícita, ou transferidos para fora da União Europeia sem proteção adequada.
Se houver uma violação de segurança, as empresas têm o dever de comunicá-la à CNPD no prazo máximo de 72 horas. Assim, sempre que ocorra uma violação de segurança, quer ocorra na empresa ou numa subcontratante, deverá assegurar-se o reporte imediato da situação à empresa responsável pelo tratamento.

H. PRINICÍPIO DA RESPONSABILIDADE
As Empresas devem demonstrar que cumprem todos os princípios acima, modificando-se assim a forma como se relacionam com a CNPD. A CNPD terá um papel de fiscalizador. A empresa deve assim estar preparada para prestar contas e demonstrar que está conforme.

​

06. CONSEQUÊNCIAS DO INCUMPRIMENTO:

O incumprimento do RGPD pode acarretar consequências pesadas para as empresas, sejam elas responsáveis ou subcontratantes. 
Para além dos danos que possa gerar à reputação das entidades , as sanções poderão ascender a 20 milhões de euros ou 4% do volume anual de faturação da empresa.

Todas as empresas devem preparar-se e criar procedimentos internos para assegurar que a privacidade está embebida na sua cultura. O processo de transformação deve estar assente em três pilares:
- Tecnológico: revisão de sistemas de autenticação, back-ups de segurança, encriptação, antivírus, firewall, entre outros;
- Processos: revisão de políticas e procedimentos;
- Pessoas: sensibilização de colaboradores.