Política de Privacidade e Tratamento de Dados
ÍNDICE
- RESPONSÁVEL PELO TRATAMENTO DE DADOS PESSOAIS
- SOBRE OS DADOS PESSOAIS AO SEU CUIDADO
III. DADOS PESSOAIS NA ESTRUTURA EMPRESARIAL
- PARCEIROS E PRESTADORES DE SERVIÇOS
- PRINCÍPIOS QUE VINCULAM O TRATAMENTO DE DADOS PESSOAIS
- DIREITOS DOS TITULARES DOS DADOS PESSOAIS
VIII. CONFIDENCIALIDADE DO TRATAMENTO PROFISSIONAL OBRIGADO AO SIGILO
- AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS (AIPD)
- VIOLAÇÃO DE DADOS PESSOAIS
- ENCARREGADO DE PROTEÇÃO DE DADOS PESSOAIS
XII. SEGURANÇA E PRIVACIDADE NO TRATAMENTO DE DADOS: TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO, E OUTRAS MEDIDAS DE SEGURANÇA
A MISSÃO
A FUNDAÇÃO BISSAYA BARRETO (“FBB”), pessoa coletiva n.º 500833443, sediada na Quinta dos Plátanos – Bencanta, Apartado 7049, 3046-901 Coimbra, Portugal, estabeleceu como prioridade nas suas políticas a proteção dos dados pessoais por si recolhidos e tratados.
Como tal, serve a presente POLÍTICA o propósito de integrar os conceitos e as diretrizes subjacentes a uma boa conduta à luz do Regulamento (EU) 2016/679, de 27 de abril de 2016 (“Regulamento Geral sobre a Proteção de Dados Pessoais” ou “RGPD”).
Esta POLÍTICA vincula a FBB no exercício da sua atividade e é transversal às relações que mantém ou prevê manter com os seus colaboradores, utentes, clientes, utilizadores do respetivo website, parceiros e prestadores de Serviços, podendo ser alterada a todo o tempo na medida do necessário à sua atualização e correção. Qualquer alteração significativa será comunicada oportunamente.
- RESPONSÁVEL PELO TRATAMENTO DE DADOS PESSOAIS
A FBB é, nos termos do RGPD e ao abrigo desta POLÍTICA, Responsável pelo Tratamento de Dados Pessoais, sendo-o, por conseguinte, também pelos danos que resultem para os titulares dos dados pessoais objeto das operações de tratamento que realiza.
Esta qualidade deriva do facto de recolher e tratar (operações de tratamento) dados de pessoas singulares que, independentemente da sua nacionalidade ou local de residência, se encontrem na União Europeia.
Foi neste sentido que considerou a necessidade de um plano de controlo, manutenção e proteção da privacidade dos titulares dos dados que trata nessa qualidade, em conformidade e nos termos do RGPD.
Com efeito, enquanto Responsável pelo Tratamento, a FBB assume o dever de:
- Aplicar medidas técnicas e organizativas adequadas a assegurar e a comprovar que as operações de tratamento que realiza são conformes com o RGPD;
- Cooperar com a Autoridade de Controlo, reportando situações de incidentes e solicitando pareceres, quando necessário e/ou adequado;
- Adotar mecanismos e procedimentos de comunicação, céleres e eficazes, com o titular dos dados pessoais, bem assim como as medidas técnicas e organizativas necessárias à assistência e salvaguarda dos seus respetivos direitos;
- Identificar subcontratantes por forma a regular as suas relações com os mesmos;
- Cooperar ativamente com o Encarregado de Proteção de Dados designado.
- SOBRE OS DADOS PESSOAIS AO SEU CUIDADO
A FBB reconhece que, para que esta POLÍTICA seja o mais transparente e esclarecedora possível, é necessário identificar o tipo de dados pessoais tratados e as operações de tratamento conduzidas, bem como compreender o que está em causa em cada uma delas.
Além disto, revela-se fundamental que os titulares dos dados pessoais tratados pela empresa consigam entender e assimilar quais os deveres e/ou direitos que lhes assistem em matéria de proteção de dados pessoais.
- IDENTIFICAR DADOS PESSOAIS E OPERAÇÕES DE TRATAMENTO
DADOS PESSOAIS: Engloba qualquer informação, independentemente da natureza e do respetivo suporte (incluindo som e imagem), relativa a uma pessoa singular, suscetível de a identificar ou de a tornar identificável, direta ou indiretamente, por referência a um identificador designadamente:
- Nome;
- Números de identificação (ex. número de cliente ou de colaborador);
- Elementos específicos da identidade física, fisiológica, psíquica, económica, cultural ou social, recolhidos através da representação por fotografias, voz, impressão digital e serviços de videovigilância, de publicações em redes sociais, do historial clínico e/ou escolar;
- Dados de localização (ex. coordenadas);
- Identificadores por via eletrónica (ex. endereços IP, cookies e outras tecnologias semelhantes).
OPERAÇÕES DE TRATAMENTO DE DADOS: Engloba toda a atividade que incida sobre dados pessoais, independentemente do meio – automatizado ou não – através do qual é realizada, como “a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou a interconexão, a limitação, o apagamento ou a destruição”, em conformidade com o RGPD.
TRATAMENTO QUE NÃO EXIGE IDENTIFICAÇÃO: Não serão dados pessoais as informações anónimas ou as que forem tornadas de tal modo anónimas que o seu titular não seja – ou deixe de ser – identificado ou identificável (“dados anónimos”). Por outro lado, já o serão os dados “pseudoanónimos”, que permitem a identificação do seu titular através de informações adicionais (ex. endereço de e-mail criptografado ou um ID de usuário).
Sempre que no processamento de dados pessoais em que a FBB não tenha obtido, não mantenha ou não trate informações que permitem identificar um titular de dados pessoais, aquela só está obrigada a assistir os direitos deste último se este tiver fornecido informações adicionais. Tal acontece, por exemplo, quando trata dados anónimos ou anonimizados.
DECISÕES BASEADAS EM TRATAMENTO AUTOMATIZADO DE DADOS: O “tratamento automatizado” compreende operações efetuadas com recurso a processos automatizados, por exemplo: registo de dados, aplicação a esses dados de operações lógicas e ou aritméticas, mas também a sua modificação, supressão, extração ou difusão. Os titulares dos dados não estarão sujeitos a decisões tomadas exclusivamente com base em tratamento automatizado dos seus dados pessoais – sobretudo para criação e avaliação de perfis baseados em qualidades da pessoa ou da sua situação particular, determinação de hábitos, interesses ou comportamentos -, a não ser que nisso expressamente consintam. Uma exceção acontecerá quando o tratamento automatizado for necessário à celebração ou execução de um contrato em que o titular seja parte ou se tal estiver legalmente previsto. Em todos os casos, o titular dos dados será devidamente informado de que será realizado esse tratamento, quais os motivos e quais as consequências que poderão existir para os seus direitos, liberdades e interesses. Serão também informados que têm a possibilidade de:
- Se oporem a que os seus dados sejam tratados nestes termos;
- Obterem intervenção humana por parte da FBB no tratamento dos dados;
- Manifestarem o seu ponto de vista e contestarem a decisão.
- FUNDAMENTO DO TRATAMENTO
As operações de tratamento de dados pessoais levadas a cabo pela FBB estarão sempre condicionadas à verificação de um fundamento, que pode ser:
EXECUÇÃO DE UM CONTRATO NO QUAL O TITULAR É PARTE, OU DILIGÊNCIAS PRÉ-CONTRATUAIS A PEDIDO DO MESMO: As operações de tratamento de dados pessoais com fundamento num contrato a que o titular dos dados se submeteu ou pretende submeter (ex: contrato de trabalho, prestação de um serviço ou venda de um bem), dependem da sua necessidade para celebração do contrato pretendido, na medida em que tal esteja devidamente justificado e documentado. Estes dados poderão ser utilizados para preparar ofertas comerciais e propostas contratuais, no seguimento do pedido do titular relacionado com a execução e/ou celebração de um contrato.
OBRIGAÇÃO JURÍDICA: Os dados do titular podem ser tratados se tal for exigível por legislação da União Europeia ou de um Estado-Membro, como é o caso de Portugal. FINALIDADE COMPATÍVEL COM AQUELA PARA A QUAL OS DADOS FORAM INICIALMENTE RECOLHIDOS: Se os dados forem recolhidos com um propósito (finalidade) poderão ser usados para outro que seja compatível com ele. Nestes casos não é necessário justificar as operações de tratamento de dados pessoais com um fundamento jurídico distinto daquele que permitiu a recolha inicial daqueles dados. No entanto, deve a FBB verificar:
- O cumprimento dos requisitos de licitude do tratamento inicial;
- A existência de uma ligação entre a primeira finalidade e aquela a que se destina a nova operação de tratamento;
- O contexto em que os dados pessoais foram recolhidos, em especial das expectativas razoáveis do titular dos dados quanto à sua posterior utilização, baseadas na sua relação com o responsável pelo tratamento;
- A natureza dos dados pessoais;
- As consequências que o posterior tratamento dos dados possa ter para o seu titular;
- A existência de garantias adequadas tanto no tratamento inicial como nas outras operações de tratamento previstas.
INTERESSES LEGÍTIMOS PROSSEGUIDOS PELO RESPONSÁVEL PELO TRATAMENTO DE DADOS PESSOAIS OU POR OUTREM: O tratamento de dados fundamentado em interesses próprios da FBB ou de outra pessoa ou entidade, apenas será lícito se salvaguardar os direitos e liberdades do titular.
Poderá existir interesse legítimo quando:
- Se verifique uma relação relevante e apropriada entre a FBB e o titular dos dados (por exemplo, em caso de o titular ser um colaborador ou um cliente), e este consiga esperar o tratamento adicional dos seus dados;
- O tratamento de dados for necessário à prevenção e controlo de fraude;
- A FBB integre um grupo empresarial ou detenha ligação semelhante que justifique a transmissão de dados pessoais entre si e, em respeito pelos demais normativos do RGPD.
CONSENTIMENTO: O consentimento será o último fundamento de tratamento de dados a ser utilizado pela FBB, para justificar as operações de tratamento de dados que realiza. A FBB apenas solicitará consentimento do titular para o tratamento dos seus dados, quando não existir outro fundamento. Sempre que possível, o consentimento será documentado.
Apenas se considerará o consentimento válido se o mesmo resultar de um ato positivo, claro e que reflita a vontade livre, específica, informada e inequívoca do titular, dirigida a determinado tratamento sobre os seus dados pessoais, podendo este ser revogado a todo o tempo.
Não podem ser utilizados meios destinados à obtenção indevida do consentimento do titular de dados, como o uso de opções pré-validadas ou do silêncio como forma de consentimento implícito.
- DURAÇÃO E FINALIDADE DO TRATAMENTO
O tratamento de dados pessoais poderá ainda pressupor a identificação de uma finalidade específica de tratamento, e dependerá sempre da definição dos períodos de duração do tratamento e da consecutiva conservação dos dados pessoais tratados.
SOBRE A DURAÇÃO: A operação de tratamento de dados pessoais deve ser feita pelo período mínimo necessário, findo o qual a FBB cessará a atividade de tratamento ou solicitará a autorização do titular para continuar o tratamento dos seus dados.
A duração da operação de tratamento poderá ultrapassar o prazo previsto se existirem normas legais que obriguem ao tratamento (em especial, à conservação dos dados) por um prazo mais alargado.
SOBRE A FINALIDADE: No momento da recolha de dados pessoais o titular deve autorizar o tratamento sobre os seus dados relativamente a uma ou a várias finalidades específicas e concretas que lhe sejam informadas. Com efeito, se no momento da recolha dos dados a atividade de tratamento que a FBB pretende conduzir estiver associada a várias finalidades, o titular terá de prestar consentimento em relação a todas elas.
III. DADOS PESSOAIS NA ESTRUTURA EMPRESARIAL
- DADOS PESSOAIS DE COLABORADORES
NO ÂMBITO DE RECRUTAMENTO E CONTRATAÇÃO: O processo de recrutamento tanto pode ter por base um processo promovido pela FBB – nomeadamente com a publicitação de ofertas de emprego em plataformas on-line e em redes sociais –, como a receção de currículos vitais a título de candidaturas espontâneas por e-mail ou em mão.
O procedimento de recrutamento poderá implicar que a FBB estabeleça várias fases de tratamento de informação, e que vão desde o recebimento dos currículos, a avaliação dos mesmos, a seriação e seleção de candidatos e o preenchimento de fichas de recolha de dados.
Em última linha, o recrutamento culmina em momento negocial de contratação, em que os dados recolhidos nestes termos serão os mesmos que servirão de base ao contrato a celebrar.
Esta informação pessoal – mormente dados pessoais identificativos como o nome e contactos, e dados académicos e profissionais, tais como certificados de curso e experiência profissional -, será tratada pela FBB, sendo garantida a confidencialidade no seu tratamento, nos termos desta POLÍTICA.
Em situações como a de recebimento de currículos em mão, em que as informações a facultar não estão devidamente salvaguardadas, não cabe à FBB adotar medidas de proteção adicionais. Estes dados pessoais são facultados nos espaços que integram a FBB, em regra, nas áreas de receção daqueles espaços, pelo que, só num segundo momento, serão tratados pelo seu departamento de Recursos Humanos. Nestes casos, o titular dos dados pessoais deverá facultá-los atendendo a este circunstancialismo, mediante o recurso a um envelope fechado ao cuidado dos Recursos Humanos, ou outro depósito seguro de informação.
Em todo o caso, a FBB sempre informará o titular desta condição no momento de recolha dos seus dados e, sempre que possível, disponibilizará um depósito fechado ou um invólucro.
Este tratamento será sempre feito com intervenção humana, e por referência ao prazo legal de conservação de 5 anos.
EM CUMPRIMENTO DE OBRIGAÇÕES LEGAIS: Existem várias disposições legais que regulam e obrigam ao tratamento de dados de colaboradores, como:
- Envio de dados para a Segurança Social e para serviços de contabilidade, para inscrição e cessação de colaboradores junto da Segurança Social, ou para efeitos de inscrição e cessação de colaboradores no Fundo de Compensação, e bem assim como para resolução de questões em geral referentes aos trabalhadores com esta entidade pública;
- Para cumprimento de obrigações legais, é igualmente, efetuada a inscrição dos colaboradores nos Fundos de Compensação (Fundo de Compensação do Trabalho e Fundo de Garantia de Compensação do Trabalho);
- Para cumprimento do Código do Trabalho no que diz respeito às obrigações do Empregador, designadamente com vista à realização de formação profissional, marcação de ponto realizada por reconhecimento facial (dados biométricos), registos de horário, de férias, de distribuição, manutenção de mapas de deslocações, entre outras exigidas pelo Código de Trabalho. Neste seguimento, a FBB poderá transferir dados dos seus colaboradores a Empresas que disponibilizam soluções de software de gestão de Recursos Humanos;
- Envio de informações à Autoridade Tributária, como declarações de rendimentos para efeitos dos respetivos descontos;
- Para o cumprimento de obrigações legais para com a Autoridade para as Condições de Trabalho, como é o caso ainda que não único, das obrigações de comunicação de acidentes mortais ou que evidenciem lesão física grave;
- Para cumprimento das obrigações legais para com a Autoridade para as Condições do Trabalho, como a comunicação do número de acidentes de trabalho verificados no ano transato em contexto de elaboração e comunicação de Relatório Único;
- Para cumprimento de obrigações de comunicação a Autoridades Judiciárias, como o envio de informação a Tribunais, ou outras entidades como Solicitadores, Agentes de Execução e Notários;
- Para o cumprimento das obrigações de informação estatística ao Instituto Nacional de Estatística, I.P., desde logo para efeitos de estatística oficial sobre acidentes de trabalho;
- No âmbito da gestão da informação dos Serviços de Segurança, Higiene e Saúde no trabalho;
- Envio de dados de colaboradores para Seguradoras com vista ao cumprimento de obrigações legais referentes a seguros legalmente obrigatórios.
NAS RELAÇÕES COM OS SERVIÇOS DE SEGURANÇA, HIGIENE E SAÚDE NO TRABALHO: Decorre do Código do Trabalho que a FBB, enquanto entidade empregadora, é obrigada a organizar as suas atividades de Segurança, Higiene e Saúde no Trabalho para prevenir riscos profissionais e a promover de saúde dos colaboradores.
Em cumprimento das obrigações legais relacionadas com esta organização, a FBB contrata empresas externas para tratar dados sensíveis (v.g. de saúde) dos seus colaboradores.
Os dados pessoais tratados em sede de Higiene, Segurança e Saúde no Trabalho – como a realização de relatórios com vista a identificar o risco de doença profissional – serão tratados por técnicos de segurança devidamente qualificados pelo título profissional legalmente exigido, e aptos para assegurar as condições de segurança necessárias. Já a informação de saúde, respetiva responsabilidade técnica, e efetivo tratamento, estarão adstritos aos médicos, médicos assistentes e enfermeiros do trabalho.
Todos estes profissionais cooperarão entre si no exercício das suas funções, em total respeito pelas obrigações de sigilo e de confidencialidade a que estão legal e profissionalmente vinculados.
Face à sensibilidade inerente aos dados de saúde dos colaboradores – como a informação relativa aos seus resultados médicos, à ocorrência de baixas por doença e/ou sinistro -, e aos dados relativos a hábitos pessoais – como a tendência para o tabagismo -, a FBB compromete-se a:
- Assegurar medidas de não discriminação;
- Controlar os hábitos pessoais apenas no estritamente necessário, quando estas informações se possam relacionar com certas sintomatologias e outros dados de saúde;
- Garantir medidas de segurança da informação. Tal inclui a própria conservação dos documentos de forma segura e pelo período legalmente definido, a adoção de medidas internas quanto à circulação e acesso dessa informação, e separação destes dados pessoais dos demais que circulem na estrutura.
Desde logo, em relação à informação de saúde, a FBB apenas terá acesso à ficha de aptidão do colaborador através do responsável pelos Recursos Humanos da instituição, e a outras indicações médicas que sejam necessárias ao exercício das suas funções e que não estejam abrangidas pelo sigilo profissional.
Em termos organizacionais, cada colaborador será associado a uma “ficha clínica individual” onde consta todo o registo relativo a informação de saúde que lhe diga respeito. Esta integrará a “informação médica” inscrita pelo profissional de saúde responsável por assistir o colaborador no âmbito da Medicina no Trabalho, designadamente, os resultados dos exames médicos realizados.
O acesso à informação de saúde por parte do colaborador será sempre feito por intermediário do profissional de saúde que o assiste, sem prejuízo de o médico responsável dever entregar-lhe cópia da sua ficha clínica quando deixe de prestar serviço na empresa.
Os registos e arquivos relativos aos serviços de segurança e de saúde no trabalho devem ser mantidos, pelo menos durante 40 anos, a contar do final da exposição aos perigos inerentes ao seu posto de trabalho.
NAS RELAÇÕES COM SEGURADORAS: Em cumprimento das suas obrigações legais em matéria de transferência de responsabilidade, a FBB relaciona-se com Seguradoras (podendo fazê-lo diretamente ou através de uma Mediadora) que cobrem acidentes de trabalho sobre os seus colaboradores.
Para tal, comunica às Seguradoras contratadas, informação relativa à atividade profissional do colaborador (como o salário e outras remunerações regulares (ex: subsídio de refeição) – e os sinistros ocorridos) através do preenchimento da participação do seguro. Pode também comunicar informação não detalhada dos cuidados prestados aos colaboradores se for estritamente necessário à faturação e cobrança de valores, dentro da gestão desses serviços de saúde.
A informação de saúde do colaborador apenas será comunicada a profissionais de saúde obrigados ao sigilo e indicado pela Seguradora.
NO SEGUIMENTO DA BOA GESTÃO DOS RECURSOS HUMANOS E DA RELAÇÃO LABORAL: No que diz respeito à estrutura organizacional e à manutenção dos postos de trabalho dos colaboradores empresa, a FBB adota várias medidas administrativas que envolvem o tratamento de dados pessoais daqueles, tais como:
- Elaboração de contratos de trabalho;
- Conservação e destruição de currículos;
- Interposição de medidas de apoio ao emprego junto do IEFP;
- Utilização de informação identificativa em geral para efeitos de controlo de acesso às instalações;
- Sistema de registo de assiduidade que opera através da leitura de dados biométricos;
- Implementação de programas de gestão empresarial (ERP’s) organizados por módulos, de pastas partilhadas em rede, de programas de gestão documental e outras plataformas ou equipamentos, todos associados a políticas de controlo e monitorização de acessos;
- Implementação de procedimentos seguros para recolha de informação pessoal do colaborador, nomeadamente para justificação de faltas;
- Criação de ferramentas de trabalho, nomeadamente de avaliações de desempenho, capazes de identificar competências e definir perfis, ajustando-os na medida do necessário à adequação de colaboradores a postos de trabalho e eventuais promoções, promovendo uma melhoria contínua na produtividade destes;
- Comunicação de elementos de identificação do colaborador aos serviços que lhe prestem cuidados de saúde em caso de acidente, no caso de este estar incapacitado de o fazer por si;
- Inserção de dados para plataformas de gestão de Proteção de Dados, para assegurar a conformidade com a presente Política.
Estão em causa – no mais – dados essencialmente de foro identificativo do colaborador (nome, número de colaborador, categoria profissional e eventuais contactos).
O colaborador será informado desta POLÍTICA e das operações de tratamento que a FBB realiza sobre os seus dados pessoais. A conservação destes dados será feita pelo período em que durar a relação laboral, exceto se houver outros prazos previstos na lei, ou se existirem interesses superiores da FBB ou de outros, devidamente identificados e definidos.
SÃO PRAZOS LEGAIS DE CONSERVAÇÃO DE DADOS PESSOAIS EM CONTEXTO LABORAL:
- Dados obtidos durante o recrutamento: 5 anos. No entanto, se o colaborador for contratado, os dados deverão ser conservados durante a relação laboral;
- Contratos de trabalho: até 12 anos após o fim dos mesmos;
- Documentos de inscrição e cessação junto da Segurança Social, Fundo de Garantia Salarial, Autoridade para as Condições do Trabalho: até 12 anos após o fim do contrato de trabalho;
- Elementos contabilísticos, como os recibos de vencimento ou o relatório único: até 12 anos após o fim do contrato de trabalho;
- Elementos obrigatórios para a Segurança, Higiene e Saúde no trabalho – o prazo de conservação está definido em 40 anos, mas existe a obrigação de transferir todos estes dados para os Ministérios competentes se, antes de decorridos 40 anos, a entidade empregadora (FBB) for extinta;
- Elementos de formação profissional: até 1 ano após o fim do contrato de trabalho, mas sempre 3 anos depois da formação do colaborador;
- Registos laborais obrigatórios (como o registo de horário e de férias e o mapa de horário de trabalho): em princípio, o período de conservação será de até 1 ano após o fim do contrato de trabalho, mas poderão ser guardados até 12 anos, sendo necessária uma avaliação da situação em cada caso;
- Documentos sobre seguros: no mínimo 5 anos, e, dependendo da apólice de seguro, pode atingir o prazo de 1 ano após o fim do contrato de trabalho.
- DADOS PESSOAIS DE UTENTES:
No âmbito das várias atividades que promove e serviços que presta à comunidade – sobretudo nas áreas de intervenção social e de educação –, a FBB leva a cabo inúmeras operações de tratamento de dados pessoais dos seus utentes, incluindo crianças (incluindo menores de 16 anos) e idosos. Tal realidade verifica-se, desde logo, no momento em que estes ou os seus representantes legais (quando for o caso e/ou a lei assim o exija) efetuam a respetiva inscrição nos vários serviços que a FBB presta nas referidas áreas, mediante a apresentação de candidaturas para o efeito (e eventual posterior processo de seleção) ou a celebração do contrato de prestação de serviços em questão, dos quais naturalmente constam os dados pessoais do respetivo titular. No âmbito destes procedimentos de tratamento de dados pessoais são também tratados dados sensíveis, os quais se justificam nos termos do artigo 9.º, nomeadamente no seu n.º 2, alínea h) do RGPD, uma vez que se tratam de serviços de intervenção social cujos intervenientes são profissionais sujeitos a sigilo profissional. Caso de tratamento de dados pessoais sensíveis, assente neste fundamento de licitude, são o tratamento encetado pelo Serviço SOS Pessoa Idosa e o Serviço Domiciliário de Coimbra.
A apresentação de candidaturas, subscrita pelo visado ou pelo seu representante legal, sendo posteriormente submetido a um processo de seleção. Com os dados recolhidos nas candidaturas apresentadas, a FBB procede a uma fase prévia de avaliação de candidatos, através de uma série de critérios (elencados nos respetivos Regulamentos da Fundação) que podem versar sobre aspetos sociais, psicológicos, familiares, económicos e até de saúde dos mesmos, sendo esta imprescindível, quer para melhor integrar os candidatos, quer para assegurar a qualidade e condições do serviço em questão, relativamente aos demais utentes.
Nesta senda, importa notar que a definição de perfis consiste no uso de dados pessoais para avaliar certos aspetos pessoais de alguém, como as preferências, a saúde, os interesses, o comportamento, os hábitos, entre outros. Este tratamento será sempre feito com intervenção humana, sem qualquer recurso a procedimentos automatizados e em exclusivo benefício do candidato.
No âmbito da relação contratual que a FBB mantem com os seus utentes ou com os respetivos representantes legais, é possível que aquela necessite de recolher e conservar dados destes últimos que, por sua vez, os fornecem voluntariamente para esse efeito e passam a ter os mesmos direitos que os demais titulares de dados tratados pela FBB.
Em ambos os casos, a FBB poderá ainda tratar, além de dados identificativos, também informação sensível (v.g. dados de saúde), de titulares especialmente vulneráveis, mas sempre no âmbito do serviço prestado.
Por estar consciente da especial vulnerabilidade que assiste a quem se insere nesta categoria de titulares dos dados – uma vez que estes podem estar menos cientes dos riscos, consequências, garantias e direitos relacionados com o tratamento dos seus dados pessoais – a FBB compromete-se a tratar os seus dados pessoais com especial diligência, por forma a assegurar a proteção, confidencialidade e segurança dos mesmos.
Além disso, garante que, em respeito pelo disposto no RGPD, apenas tratará os dados pessoais das crianças menores de 16 anos ou de idosos em situação de incapacidade, mediante a autorização dos respetivos titulares das responsabilidades parentais ou representantes legais, respetivamente, obrigando-se desde já a imprimir os esforços necessários para a obtenção da mesma.
Finalmente, a FBB compromete-se a respeitar as exigências de simplicidade e clareza que devem pautar as comunicações dirigidas quer a crianças, quer a idosos, de modo a que estas sejam acessíveis, de fácil compreensão e adequadas às necessidades de cada caso concreto.
PRAZOS DE CONSERVAÇÃO DOS DADOS PESSOAIS DOS UTENTES:
- Os dados pessoais dos utentes menores de 16 anos serão conservados pelo período em que estes estiverem inseridos na respetiva Casa, podendo sê-lo para além disso, se tal exigência decorrer da legislação nacional ou de obrigação jurídica, por razões de interesse público, de segurança nacional, ou outros interesses legítimos da FBB, ou ainda se o titular das responsabilidades parentais expressamente consentir na sua utilização para outras finalidades;
- Os dados pessoais dos utentes idosos serão conservados pelo período de tempo em que vigorar o contrato de prestação de serviços celebrado com a FBB, podendo sê-lo para além do mesmo, se tal exigência decorrer da legislação nacional ou de obrigação jurídica, por razões de interesse público, de segurança nacional, ou outros interesses legítimos da FBB, ou ainda se aqueles ou o seu representante legal (quando for caso disso) expressamente consentir na sua utilização para outras finalidades.
- DADOS PESSOAIS DE CLIENTES:
CONTRATAÇÃO DOS SEUS SERVIÇOS: Em sede negocial, a FBB poderá recolher dados pessoais de clientes particulares que pretendam contratar os seus serviços culturais nomeadamente os seus dados identificativos – nome, contactos, morada e NIF -, mas também eventuais dados bancários (como o IBAN ou número de conta), apenas para efeitos de faturação do serviço prestado e no âmbito do mesmo.
Poderá ser recolhida a imagem através de um serviço de fotografias especialmente contratado. Além disso, garante que, em respeito pelo disposto no RGPD, apenas tratará os dados pessoais de clientes menores de 16 anos, mediante a autorização dos respetivos titulares das responsabilidades parentais, obrigando-se desde já a imprimir os esforços necessários para a obtenção da mesma.
Os dados fornecidos neste âmbito serão usados em diligências pré-contratuais e de execução do próprio contrato a que o cliente se submeteu. Concretamente para:
- Processar encomendas de serviços e pedidos de orçamentação e de emissão de faturas;
- Prestar apoio pós prestação de serviços, nomeadamente gerindo eventuais reclamações;
- Responder a pedidos de informação;
- Organizar de eventos (festas, workshops, etc.) e outros projetos.;
- Vender de ingressos e realizar visitas guiadas;
- Registar ocorrências, por razões de segurança;
- Prestar serviços associados.
A FBB respeitará as obrigações de informação, registo e documentação associadas a operações de tratamento de dados pessoais cuja base é um contrato, e demais resultantes desta POLÍTICA.
OPERAÇÕES DE TRATAMENTO DE DADOS PARA FINS DE PUBLICIDADE: Alguns dos dados fornecidos serão utilizados para servir finalidades de publicidade. É o que acontece, por exemplo, com a subscrição de newsletters.
Note-se que, o Marketing por meios eletrónicos apenas será realizado se entre a FBB e os titulares dos dados pessoais, se tiver já havido interação comercial e as comunicações enviadas a título de publicidade permitirem o cancelamento imediato das subscrições.
Caso o titular dos dados não tenha concordado em receber publicidade, será enviada comunicação aos mesmos com um convite à subscrição, recolhendo dessa forma o consentimento. A FBB apenas tratará dados para este fim com consentimento expresso do subscritor, concretamente, quando este validar a opção para subscrição de newsletter disponível nos seus websites, indicando os contactos (endereço de e-mail) para receber tal publicidade. Ou seja, desde que o tratamento seja devidamente autorizado pelo titular dos dados, conhecendo que os dados facultados neste contexto são-no de forma voluntária e de que poderá retirar o seu consentimento ou opor-se a este tipo de tratamento, a todo o tempo. Quando as operações de tratamento sejam realizadas com este enquadramento, o titular de dados terá ao seu alcance procedimentos céleres e eficazes para exercer os seus direitos de retirada de consentimento ou de oposição.
SÃO PRAZOS LEGAIS DE CONSERVAÇÃO A CONSIDERAR EM CONTEXTO DE RELAÇÃO COM CLIENTES OU POTENCIAIS CLIENTES:
- Prazo de duração de negociações;
- Prazo de duração do contrato;
- Prazo de eventuais garantias contratuais;
- Prazo de caducidade para denúncia de vícios no serviço prestado;
- Prazo relativo ao período durante o qual as comunicações trocadas entre as partes durarem;
- Prazo de prescrição de procedimento criminal: 15 anos;
- A anonimização de dados, nomeadamente para fins estatísticos, implica que os dados deixem de ser pessoais e possam ser tratados em função das necessidades da empresa.
A prorrogação destes prazos de conservação e o apoio ao exercício dos titulares dos direitos por parte da FBB sempre estará dependente da finalidade para a qual os dados foram recolhidos, da verificação de interesses superiores que se sobreponham, concretamente de interesses legítimos próprios, de terceiros, ou de interesses públicos; bem como da legislação vigente em cada momento.
- DADOS PESSOAIS DE FORMANDOS:
A FBB é certificada pela DGERT e tem também atividades de formação profissional certificada, no âmbito de uma Parceria celebrada com o Instituto de Emprego e Formação Profissional (IEFP), com o objetivo de apoio a jovens e adultos desempregados. Os formadores e demais profissionais contratados pela FBB terão acesso aos dados pessoais dos formandos, pelo que garantem a proteção, confidencialidade e segurança dos mesmos, usando-os apenas no que for necessário à realização da formação.
No âmbito das formações realizadas, a FBB poderá igualmente partilhar os dados dos formandos ao IEFP e à Direção Geral de Estatísticas da Educação e Ciência (DGEEC) para gestão da rede de oferta e dos percursos educativos e formativos dos titulares, estando subjacente uma obrigação legal e um interesse público. No caso de formações cofinanciadas por entidades terceiras (Parceiros)[1], as mesmas poderão igualmente ter acesso aos dados dos formandos, mas sempre no âmbito da gestão da presente formação e nunca para outros fins não autorizados, estando obrigados às mesmas garantias de segurança, proteção e confidencialidade que a FBB.
A FBB usará os dados dos formandos que nisso consentirem, para divulgação de eventos e formações futuras.
SÃO PRAZOS LEGAIS DE CONSERVAÇÃO NO ÂMBITO DA FORMAÇÃO PROFISSIONAL:
- Os dados pessoais serão mantidos enquanto durar a formação;
- Quanto aos elementos de formação profissional (elementos de identificação, incluindo certificados): não existindo obrigação legal que obrigue à conservação dos dados por período posterior à formação, o FBB deverá recolher o consentimento expresso do formando para tal (sob pena de ter de eliminar os dados por falta de fundamento lícito para o tratamento). É do interesse do formando autorizar a conservação, para efeitos de pedido de 2.ª via de certificado de formação ou para um certificado de qualificações;
- Em todos o caso, sendo a formação certificada pela Direção Geral do Emprego e das Relações Profissionais (DGERT) os dados deverão ser conservados até que esta entidade audite a FBB, conforme decorre da legislação.
- DADOS PESSOAIS DE ESTUDANTES
No exercício de atividade que prossegue, a FBB recolhe e trata essencialmente dados pessoais de estudantes, apenas no âmbito dos serviços de educação que presta, designadamente para gestão: de alunos, de candidaturas, matrículas, inscrições relativas à oferta formativa e regime educacional a que digam respeito. O conceito de gestão de alunos é expansivo e abrange todos os procedimentos administrativos que, durante a vida académica, possam dizer respeito a um estudante por serem do seu interesse.
Os dados pessoais facultados serão conservados pelo período em que o ato de candidatura/matrícula/inscrição se mantenham válidos nos termos regulamentares aplicáveis. Assim:
- Os dados fornecidos com a candidatura serão arquivados por 1 ano;
- Os dados fornecidos com a matrícula, por todo o período de frequência do curso; e,
- Os dados fornecidos com a inscrição, pela duração do ano curricular, sem prejuízo do aluno cumular inscrições em unidades curriculares de diferentes anos curriculares nos demais termos regulamentares.
Este prazo não invalida que a FBB conserve os dados dos estudantes para efeitos de comunicação às entidades públicas competentes em cumprimento das obrigações legais de arquivo e comunicação que sobre si impendem enquanto instituição de ensino e entidade sujeita ao regime do procedimento da administração pública.
As disposições legais que regulam o arquivo público e a gestão documental de entidades públicas e privadas que atuem no exercício de funções públicas e/ou em persecução de interesses públicos, como é o caso dos estabelecimentos de ensino superior privados como a FBB, servirão de referência ao arquivo que mantém.
Desta forma, os dados relativos a registos de candidatura, matrícula e inscrições, assim como registos de provas de avaliação e pautas de avaliação final, serão conservados na medida em que sejam necessários à emissão de declarações oficiais que podem surgir durante toda a vida académica e pós-académica do estudante.
- DADOS PESSOAIS DE UTILIZADORES:
COM A UTILIZAÇÃO DOS SEUS WEBSITES: A FBB disponibiliza on-line vários websites que permitem ao utilizador conhecer a sua estrutura e a atividade que desenvolve.
Nestes, estão disponíveis alguns contactos – morada, número de telefone, de fax, e endereço de e-mail -, através dos quais o utilizador poderá, querendo, comunicar com a FBB. Em alguns, estará, inclusive, disponível um formulário de contacto.
O motivo da comunicação é determinante para definir o tempo durante o qual os dados dos utilizadores serão conservados pela FBB, podendo existir prazos de conservação que permitam tal conservação além do período inicialmente previsto. Tal acontecerá, por exemplo, se estiver a correr prazo para a extinção de procedimentos criminais, quando detetado algum ato criminoso neste contexto.
Como em qualquer website, a FBB recorre ao uso de tecnologias que implicam tratamento de dados pessoais dos seus utilizadores, como é o caso – ainda que não seja o único –, dos testemunhos de conexão, também conhecidos por “cookies”.
O uso destas tecnologias permite à FBB conhecer a forma como o utilizador interage com os seus websites através dos dispositivos utilizados para o efeito, designadamente através da recolha de informações sobre o dispositivo utilizado (como o sistema operativo e browser utilizados, a data e duração da utilização do website e a identificação de websites anteriormente visitados); mas também de informações de localização (como endereço IP, GPS, pontos de acesso WI-FI e torres de dados móveis); e, até, de informações de acesso e de início de sessão (como a data de registo, data do último início de sessão, histórico de alterações de palavra-chave e palavras mais pesquisadas).
Tais dados serão tratados pela FBB para fins estatísticos: por prestar serviços on-line e o contacto com o utilizador passar também por esta via, identificar e definir o seu núcleo de utilizadores é fulcral no preenchimento dos seus interesses legítimos. Sempre que possível, esta informação será organizada de forma anónima, agregada às características e comportamentos dos seus utilizadores, fazendo segmentação e desenvolvimento de perfis anónimos.
Por outro lado, o uso destas tecnologias serve não só para facilitar a utilização do website, sendo fundamental à experiência de navegação, mas também para evitar situações de fraude ou outras que impliquem um risco para a segurança dos seus utilizadores ou terceiros.
Além da FBB, estes dados serão também usados pelos seus parceiros, prestadores cujos serviços a FBB subscreva e que impliquem – necessariamente – a recolha e tratamento de dados dos seus utilizadores. É o que acontece, por exemplo, com o desenvolvimento de estudos de análise e de estatística que têm como objeto a interação dos utilizadores com o website. Ou seja, para definir o perfil dos utilizadores do website, mediante a análise das suas preferências e atitudes.
A recolha de dados pessoais no âmbito da utilização de um website, não será feita sem mais. A FBB informará os seus utilizadores, na qualidade de titulares de dados pessoais, desta POLÍTICA e de outras dedicadas a regulamentar o tratamento que é feito sobre os mesmos.
Estas informações serão facilmente acessíveis e prestadas de forma clara e transparente, associadas a um pedido de consentimento para o tratamento que se pretenda fazer dos dados a recolher, sempre que seja necessário.
Em todo o caso, o utilizador sempre se poderá opor às operações de tratamento sobre os seus dados, realizadas nos termos deste ponto da POLÍTICA.
O tempo de conservação desta informação depende da tecnologia utilizada e constará dos avisos informativos que integram o website.
NAS CONTAS EM REDES SOCIAIS: A FBB tem uma conta na rede social FACEBOOK, INSTAGRAM, e LINKEDIN, o que implica que possa aceder a informações facultadas por esta rede sobre os utilizadores, ou diretamente pelos próprios. Receberá diretamente desta rede, por exemplo, informação estatística (que poderá ou não ser anónima) como dados demográficos respeitantes ao seu público-alvo – para identificar tendências em razão da idade, género, estado civil e profissão –; e informação sobre estilos de vida e centros de interesse. Diretamente do utilizador poderá receber a elementos de identidade, através do seu perfil, do serviço de chat, ou até um código de utilizador.
Os utilizadores destas redes sociais devem ler cuidadosa e atentamente as políticas de privacidade das mesmas, de forma a conhecerem as operações de tratamento sobre os dados pessoais que disponibilizam a FBB ou a outras entidades.
ATRAVÉS DAS SUAS APLICAÇÕES MÓVEIS: Associado aos seus serviços, a FBB disponibiliza aplicações móveis, passíveis de serem instaladas em dispositivos móveis idóneos (como telemóveis dotados de um sistema operativo IOS ou ANDROID). É o caso da aplicação “Portugal dos Pequenitos” e “Casa Museu Bissaya Barreto”.
Estas, embora tenham como principal pretensão servir de guia interativo do seu utilizador, e sendo permitido o seu uso livremente, estão associadas à possibilidade de criação de uma conta particular mediante um registo de utilizador.
Para o efeito, serão tratados dados identificativos como o nome, contactos e morada, mas, também, credenciais de acesso, como a definição de uma palavra-chave. Por outro lado, a FBB também permite que o utilizador se regista nestas aplicações mediante a integração da página do utilizador na rede social FACEBOOK. Por outro lado, a recolha destes dados sempre será acompanhada dos respetivos avisos informativos, nos termos definidos na presente POLÍTICA.
Estes dados serão utilizados no âmbito da gestão das aplicações e da otimização de serviços, e, ainda, em sede de concursos, passatempos, e questionários que venham a ser desenvolvidos pela FBB e aos quais o utilizador adira. São, aliás, condição necessária ao registo ou à subscrição de serviços associados ao mesmo pelo utilizador.
SÃO PRAZOS LEGAIS DE CONSERVAÇÃO A CONSIDERAR EM CONTEXTO DE UTILIZAÇÃO DE PLATAFORMAS DIGITAIS:
- Prazo previsto na política de cookies relativamente à data de expiração dos dados armazenados por estas tecnologias;
- Prazo em que durarem as comunicações trocadas entre a FBB e os utilizadores do seu website;
- Período durante o qual o utilizador pretender manter-se registado nas aplicações da FBB;
- Prazo da gestão de concursos e passatempos associados ao registo em aplicações: 6 meses após o seu término;
- Prazo de prescrição de procedimento criminal: 15 anos.
- PARCEIROS E PRESTADORES DE SERVIÇOS
No âmbito de uma prestação de serviços ou de acordos de parceria, a FBB poderá cooperar com outras entidades que tratem dados pessoais por sua conta (“subcontratantes”), ou que estejam autorizadas a ter contacto com os mesmos, ou até que com eles lidem de forma puramente incidental (“terceiros”).
Nessa senda, a FBB terá que transferir os dados pessoais que trata para essas pessoas ou entidades que poderão ser: instituições financeiras, profissionais de saúde, Hospitais, Instituições de Ensino, entidades públicas, entidades formadoras, seguradoras, serviços de assessoria técnica, entidades de deteção e prevenção de fraude, de prestação de serviços de segurança, ou medicina e saúde no trabalho e outros.
Ilustrando: tanto poderá estar em causa a prestação de um serviço de limpeza das suas instalações cujo objeto do contrato não é a realização de operações de tratamento de dados pessoais, como poderá estar em causa a subcontratação de Prestadores de Serviços que, no âmbito de execução de um contrato, terão de aceder e tratar dados recolhidos e inicialmente tratados pela FBB, incluindo a dados sensíveis como: dados de menores de 16 anos e outros titulares especialmente vulneráveis (v.g. idosos), dados biométricos ou mesmo dados de saúde.
Nestas situações e por razões de transparência, sempre que possível os titulares dos dados serão informados de quem são essas entidades e do que fazem com os dados tratados. Por outro lado, sempre que os direitos, liberdades e interesses dos titulares dos dados não consigam ser salvaguardados por não existirem garantias suficientes à proteção dos seus dados, tal transferência depende do seu consentimento expresso.
Os Parceiros e Prestadores de Serviços que com a FBB se relacionem celebrarão com esta, acordos de regulação de responsabilidades em matéria de proteção de dados pessoais. Tais acordos deverão ser reduzidos a escrito, devendo ainda fazer menção ao objeto do contrato, com especial incidência sobre a concreta operação de tratamento de dados a realizar, respetiva duração, finalidade do tratamento, tipo de dados pessoais tratados e categorias de titulares de dados pessoais envolvidos.
O titular dos dados poderá, a qualquer momento, solicitar informações acerca dos termos em que os seus dados são tratados pelos Parceiros e Prestadores de Serviços da FBB.
A FBB apenas aceitará relacionar-se com entidades que assegurem o cumprimento das suas obrigações nos termos desta POLÍTICA, (sem prejuízo de outras que as partes entendam ser mais vantajosas para o titular dos dados pessoais), a saber:
- Não podem subcontratar uma outra entidade para tratar os dados objeto do acordo existente com a FBB, sem o seu consentimento anterior e expresso, fornecido por escrito. E, quando o façam, devem garantir que o subcontratante ulterior cumpre as demais obrigações do RGPD em iguais termos;
- Não podem transferir os dados pessoais dos titulares para pessoas ou entidades fora da União Europeia, exceto quando tal for necessário por exigência legal ou perante a existência de interesse público prevalecente, devendo informar a FBB;
- Devem guardar sigilo sobre todas as informações a que tenham acesso na execução do acordo;
- Devem possuir e manter as medidas técnicas e organizativas adequadas e suficientes para que as operações de tratamento dos dados pessoais levadas a cabo cumpram os requisitos previstos no RGPD, nomeadamente, no que respeita à defesa dos direitos dos respetivos titulares e à segurança do referido tratamento, de forma a não colocar em risco os dados pessoais tratados;
- Devem apagar ou devolver à FBB os dados pessoais a que tenham acesso, aquando do término do acordo ente si celebrado, apagando todas as cópias existentes, a menos que exista uma obrigação legal ou um interesse público prioritário, devendo informar a FBB;
- Devem disponibilizar à FBB todas as informações necessárias para que esta cumpra as obrigações a que esteja sujeita ao abrigo do RGPD, facilitando e contribuindo para as auditorias, inspeções e demais fiscalizações;
- Devem conservar registos escritos das operações de tratamento de dados pessoais realizadas em nome da FBB nos termos do RGPD, disponibilizando os registos das mesmas à Autoridade de Controlo;
- Não podem tratar dados pessoais para qualquer outra finalidade que não seja afim daquela que é objeto da prestação dos serviços, muito menos para prosseguir os próprios interesses;
- Devem disponibilizar a formação necessária em proteção de dados pessoais ao pessoal autorizado a tratar dados pessoais;
- Quando necessário, devem designar um Encarregado de Proteção de Dados e divulgar os respetivos contactos à FBB;
- Devem informar a FBB quando considerarem que as suas instruções se mostram contrárias ao RGPD, ao direito da União Europeia ou dos Estados-Membros.
Sempre que a FBB figure na qualidade de Parceiro ou Prestador de Serviço num acordo celebrado com outra entidade, atuará segundo as orientações e instruções fornecidas por esse Responsável pelo Tratamento de dados e nos termos da presente POLÍTICA.
- PRINCÍPIOS QUE VINCULAM O TRATAMENTO DE DADOS PESSOAIS
A FBB compreende que a salvaguarda da dignidade, liberdade e autonomia dos titulares dos dados que trata dependem do respeito por um conjunto de princípios basilares, a saber:
PRINCÍPIO DA LICITUDE: Apenas serão tratados dados quando exista um fundamento legítimo previsto por lei para o efeito, em total salvaguarda dos direitos dos respetivos titulares.
PRINCÍPIO DA TRANSPARÊNCIA: Todas as comunicações e informações relacionadas com as operações de tratamento de dados pessoais serão de fácil acesso e formuladas em linguagem clara e precisa. A FBB privilegiará a recolha de dados pessoais junto do titular dos dados, atuando, na medida do possível, de forma a salvaguardar que o mesmo é devidamente informado sobre as operações de tratamento conduzidas sobre os seus dados pessoais.
PRINCÍPIO DA LIMITAÇÃO DAS FINALIDADES: Apenas serão tratados dados pessoais quando os fins do tratamento identificados não possam ser atingidos por outros meios. PRINCÍPIO DA MINIMIZAÇÃO DOS DADOS E DA LIMITAÇÃO DO SEU TRATAMENTO: Apenas serão usados os dados pessoais adequados, pertinentes e limitados às necessidades decorrentes dos fins do tratamento. Ademais, estes apenas serão conservados pelo período mínimo e indispensável para o efeito. A FBB estabelecerá prazos de conservação para cada operação de tratamento, findos os quais procederá à destruição ou apagamento dos mesmos. A par disto, existirá uma revisão regular e periódica relativamente à licitude dos dados tratados. Sempre que possível, os dados usados serão anonimizados.
PRINCÍPIO DA EXATIDÃO, DA INTEGRIDADE E DA LEALDADE DOS DADOS: A FBB adotará medidas capazes de manter os dados corretos, atualizados e íntegros, evitando que sejam indevidamente tratados, e ainda a sua perda, destruição ou danificação.
PRINCÍPIO DA CONFIDENCIALIDADE: Os dados pessoais serão tratados de forma idónea a garantir a sua segurança e confidencialidade.
- DIREITOS DOS TITULARES DOS DADOS PESSOAIS
A privacidade da pessoa é um direito fundamental cada vez mais privilegiado.
- DIREITOS DOS TITULARES DOS DADOS PESSOAIS
DIREITO DE ACESSO: O titular dos dados pessoais pode solicitar à FBB o acesso aos dados por si facultados e às informações que estejam relacionadas com o seu tratamento, nomeadamente quem realmente trata os seus dados pessoais, quais os prazos de tratamento associados, quais as categorias de dados em que se inserem, e até quais os direitos de que dispõe sobre os mesmos.
DIREITO DE RETIFICAÇÃO: O titular dos dados pessoais pode e deve retificá-los, não sendo a FBB responsável pelos danos que resultem da negligência e do descuido do titular na retificação dos seus dados, sempre que tenha tomado medidas de segurança pertinentes e adequadas para o efeito.
DIREITO À LIMITAÇÃO E AO APAGAMENTO (DIREITO A SER ESQUECIDO): Quando o titular dos dados pessoais entender que as políticas de privacidade apresentadas não são suficientes para salvaguardar os seus dados, e quiser “ser esquecido” pelas bases de dados da FBB, pode requerer a limitação de tratamento relativamente a todos ou alguns dos dados pessoais tratados e, em última instância, o apagamento dos mesmos quando:
- Verifique que os dados mantidos não estão exatos;
- Considere que os dados são desnecessários em relação às finalidades para as quais foram recolhidos;
- Tenha exercido o seu direito de oposição;
- Os dados forem tratados de forma ilícita;
- Exista obrigação legal no sentido do apagamento;
- Pretenda retirar o consentimento e não exista outro fundamento para o tratamento.
- Os dados tenham sido recolhidos com consentimento de menor, fornecido no contexto de serviços da Sociedade da Informação.
DIREITO DE PORTABILIDADE: O titular pode requerer a portabilidade dos seus dados pessoais, desde que tal seja tecnicamente possível, em formato estruturado, de uso corrente e de leitura automática.
DIREITO DE OPOSIÇÃO: Sempre que os dados pessoais tratados sejam utilizados para salvaguardar interesses legítimos próprios da FBB ou de outrem, ou ainda interesses públicos identificados, e o titular de dados pessoais entenda que a forma como os seus dados pessoais são tratados não é a mais indicada à sua situação particular (incluindo a definição de perfis e comercialização direta), ou que não serve as finalidades para as quais foram facultados, tem o direito de se opor a tal tratamento.
- LIMITAÇÕES AOS DIREITOS DOS TITULARES DOS DADOS PESSOAIS
O exercício de qualquer direito por parte do titular dos dados tratados pela FBB, na qualidade de responsável pelo tratamento, será assistido no prazo de 30 (trinta) dias, a menos que se sobreponha razão de interesse público, de interesse legítimo superior próprio da FBB ou de outrem, obrigação legal ou contratual ou, ainda, se o pedido for manifestamente infundado. Tais factos impeditivos poderão, inclusive, justificar que os dados facultados sejam conservados para além do período inicialmente previsto.
Sempre que assista os titulares dos dados no exercício dos seus direitos, a FBB poderá pedir informações adicionais com vista a comprovar titularidade dos dados e natureza do pedido, podendo, caso se justifique, cobrar taxas associadas a este serviço de fornecimento de dados.
A FBB não está obrigada a socorrer os pedidos dos titulares dos dados se tal resultar de disposições legais, nomeadamente como acontece com aos prazos de prescrição ou de caducidade de créditos.
- TUTELA DOS DIREITOS DO TITULAR
A presente POLÍTICA visa informar e garantir a transparência aos titulares de dados. O titular de dados pode tentar resolver diretamente a sua situação com a FBB ou através do seu Encarregado de Proteção de Dados. Tal não impede que o titular, sempre que se sinta prejudicado, recorra a outras vias para defender os seus direitos e interesses (ex. reclamação à Comissão Nacional de Proteção de Dados ou recurso aos Tribunais).
Para efeitos de processamento de reclamações, os dados facultados serão tratados em função da duração da comunicação estabelecida e do tempo necessário à resolução do conflito apresentado.
- OBRIGAÇÃO DE INFORMAÇÃO
Além de outros deveres de informação plasmados nesta POLÍTICA, os titulares de dados pessoais tratados pela FBB, serão informados sobre:
- A identidade e os contactos da FBB;
- Os contactos do Encarregado da Proteção de Dados designado;
- As finalidades do tratamento a que os dados pessoais se destinam, ou o fundamento para o mesmo;
- A existência de interesses legítimos da FBB ou de terceiros;
- Os destinatários ou categorias de destinatários dos dados pessoais;
- O prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;
- Os seus direitos e forma de exercício dos mesmos.
VIII. CONFIDENCIALIDADE DO TRATAMENTO
As operações de tratamento de dados pessoais conduzidas, diretamente pela FBB ou indiretamente pelos seus Parceiros e Prestadores de Serviços, são abrangidas por um dever de confidencialidade transversal aos respetivos colaboradores e demais profissionais com quem se relacione.
Com efeito, aqueles estão proibidos de aceder a dados pessoais em violação dos termos contratuais aos quais estejam vinculados, e serão informados deste dever de confidencialidade que os vincula mesmo após o término das suas funções, sem prejuízo de diferente solução poder resultar de legislação europeia.
A FBB estabelecerá políticas de acesso a dados pessoais em razão das necessidades inerentes às funções desempenhadas na sua estrutura, sendo assim respeitado o princípio da “necessidade de informação”, com vista a impedir, na medida do possível, a apropriação indevida de dados pessoais objeto das operações de tratamento conduzidas.
PROFISSIONAL OBRIGADO AO SIGILO: Os dados sensíveis dos Colaboradores da FBB recolhidos em sede de medicina preventiva ou do trabalho, para efeitos de avaliação da capacidade de trabalho, diagnóstico médico e prestação de cuidados de saúde ou de ação social, só serão usados por ou sob responsabilidade de um profissional sujeito à obrigação de sigilo imposta pelas normas deontológicas da profissão.
O mesmo acontece com os dados contabilísticos e fiscais de colaboradores, prestadores de serviços ou clientes, os quais serão tratados por um Contabilista Certificado, um Revisor Oficial de Contas ou um advogado, igualmente sujeitos à obrigação de sigilo profissional, decorrente dos respetivos Estatutos Deontológicos.
- AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS (AIPD)
A Avaliação de Impacto sobre a Proteção de Dados (AIPD) consiste num processo concebido para descrever as operações de tratamento e as finalidades das mesmas, avaliar a necessidade e proporcionalidade desse tratamento em função dos objetivos, e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais de que são titulares. Este é um método que visa sobretudo a identificação e mitigação dos riscos inerentes ao tratamento de dados pessoais, mediante a adoção de medidas que permitam atenuar o impacto negativo que aquele tratamento possa ter para os titulares.
Sempre que a FBB pretenda levar a cabo operações de tratamento de dados pessoais que sejam suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas singulares deverá realizar uma Avaliação de Impacto antes de iniciar o tratamento. Esta obrigação aplica-se aos Parceiros e Prestadores de Serviços que com esta se relacionem.
Com efeito, a FBB compromete-se a conduzir tal avaliação sempre que:
- Introduza um sistema de controlo sistemático de zonas acessíveis ao público em grande escala (ex. ruas, praças, centros comerciais, mercados, estação de comboios, bibliotecas públicas, etc.);
- Trate dados pessoais relativos à saúde por redes de comunicação e com uso de dispositivos eletrónicos;
.3 Trate categorias especiais de dados (origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa), dados pessoais relacionados com condenações penais e infrações, ou dados de natureza altamente pessoal. Incluem-se as situações em que estes dados sejam tratados para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos (exceto se os tratamentos previstos e regulados por lei apresentem garantias adequadas dos direitos dos titulares) e se esses dados forem tratados com utilização de novas tecnologias ou nova utilização de tecnologias já existentes;
- Trate dados pessoais para criação ou definição de perfis em grande escala;
- Trate dados pessoais que permitam rastrear a localização ou os comportamentos dos titulares, tendo como efeito a avaliação ou classificação destes, (exceto quando o tratamento seja indispensável para a prestação de serviços pedidos pelos titulares);
- Trate dados biométricos ou genéticos, quando os titulares sejam pessoas vulneráveis.
Quando a Avaliação de Impacto demonstrar que as operações de tratamento que se pretendem realizar implicam um elevado risco para os titulares de dados, a FBB está obrigada a consultar a Comissão Nacional de Proteção de Dados antes de dar início a esse tratamento.
A FBB servir-se-á destas avaliações para demonstrar o bom cumprimento do seu dever de proteção de dados pessoais, obrigando-se a solicitar a opinião dos titulares dos dados pessoais ou o parecer da Autoridade de Controlo, sempre que necessário.
- VIOLAÇÃO DE DADOS PESSOAIS
- OBRIGAÇÃO DE REPORTAR INCIDENTES
Sempre que se verifique qualquer tipo de incidente que represente uma violação dos dados pessoais tratados (“Data Breach”), a FBB diligenciará pelo necessário no sentido de dar o devido seguimento ao controlo da crise. Quando tenha sido detetada por Colaboradores da FBB ou por Parceiros ou Prestadores de Serviços, estes deverão comunicá-la, de imediato, à FBB.
Por sua vez, os titulares dos dados violados serão também informados – sem demora injustificada – sempre que o incidente represente elevado risco para os seus direitos, liberdades e interesses fundamentais. Tal comunicação será efetuada por escrito, em linguagem clara e de fácil compreensão, devendo indicar:
- Os contactos do Encarregado de Proteção de Dados ou da pessoa responsável dentro da empresa, para que possam ser solicitadas outras informações;
- As consequências prováveis da violação ocorrida;
- A capacidade da FBB para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento de dados;
- A capacidade da FBB em tornar os dados acessíveis e disponíveis, no caso de um incidente físico ou técnico;
- O processo para testar, apreciar e avaliar regularmente a eficácia das medidas destinadas a garantir a segurança do tratamento;
Esta obrigação não é aplicável se as medidas técnicas e organizativas existentes ou adotadas forem suficientes e adequadas à tutela dos titulares dos dados pessoais ou se implicar um esforço desproporcionado, caso em que é feita uma comunicação pública para o efeito.
- COOPERAÇÃO E COMUNICAÇÃO COM A AUTORIDADE DE CONTROLO.
Sempre que algum incidente de violação de dados pessoais cause um risco para os direitos, liberdades e interesses fundamentais dos seus titulares a FBB informará, com a maior brevidade, e num prazo máximo de 72 horas – sob pena de ter de justificar a sua demora – a Autoridade de Controlo acerca da ocorrência.
Eventuais Subcontratantes com quem a FBB se relacione também estão obrigados a informar de ocorrências de incidentes de violação de dados pessoais logo após conhecimento das mesmas. Serão realizados relatórios de reporte que documentem as violações ocorridas, que identifiquem as medidas adotadas face à necessidade de reparação de danos presentes e de mitigação de danos futuros, bem como os mecanismos e procedimentos céleres e eficientes de comunicação. A FBB, a par das entidades subcontratadas com que se relacione, cooperará com a Autoridade de Controlo, da forma mais tendencial possível, através do envio de relatórios, solicitações de pareceres e orientações, e sempre que a pedido daquela entidade.
Em Portugal, a Autoridade de Controlo é a Comissão Nacional de Proteção de Dados.
- ENCARREGADO DE PROTEÇÃO DE DADOS PESSOAIS
ENCARREGADO DE PROTEÇÃO DE DADOS
Quinta dos Plátanos, apartado 7049, Bencanta, 3046-901 Coimbra (+351) 239 800 400
|
A FBB garante que o Encarregado de Proteção de Dados desempenha as suas funções com independência e que não será instruído na sua atuação, nem penalizado por esse facto. O Encarregado de Proteção de Dados não pode ser responsabilizado pelo incumprimento da FBB em relação às obrigações que, nos termos do previsto na legislação aplicável em matéria proteção de dados, lhe caibam.
A FBB assegura que o Encarregado de Proteção de Dados será envolvido em todas as questões relacionadas com a proteção de dados. Com efeito, compromete-se a apoiá-lo no exercício das suas funções, a fornecer-lhe os recursos necessários ao desempenho das mesmas e à manutenção dos seus conhecimentos, a dar-lhe acesso a toda a documentação, e a permitir-lhe o acesso aos dados pessoais e às operações de tratamento.
O Encarregado de Proteção de Dados deve ser envolvido nos seguintes aspetos:
- Registo ou inventário de dados pessoais;
- Desenvolvimento e implementação de políticas de proteção de dados e procedimentos internos de tratamento;
- Controlo da segurança;
- Redação e alteração de contratos;
- Notificações de privacidade;
- Eventuais queixas e ações judiciais;
- Violações de dados.
O exercício das funções de Encarregado de Proteção de Dados pressupõe a obrigação de sigilo e confidencialidade de todas as informações de que tenha conhecimento no exercício da sua atividade. As referidas funções consistem no seguinte:
- Aconselhamento, monitorização e controlo do cumprimento das regras de proteção de dados, devendo informar e aconselhar a FBB, os seus Parceiros e Prestadores de Serviços e os seus Colaboradores, a respeito das obrigações que lhes cabem nos termos do RGPD;
- Promoção da formação e sensibilização das entidades com quem a FBB se relaciona – sobretudo os seus Colaboradores – para matérias de proteção de dados;
- Realização de auditorias periódicas para averiguar da conformidade com o RGPD;
- Aconselhamento em Avaliações de Impacto sobre proteção de dados e controlo da realização das mesmas, bem como emissão de pareceres nesse contexto;
- Colaboração com a Autoridade de Controlo, servindo de ponto de contacto com a mesma, notificando-a das operações de controlo com mais risco para os titulares de dados e monitorizando a implementação das suas recomendações;
- Relacionamento com os titulares dos dados nomeadamente no âmbito do exercício dos seus direitos.
XII. SEGURANÇA E PRIVACIDADE NO TRATAMENTO DE DADOS: TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO, E OUTRAS MEDIDAS DE SEGURANÇA.
A FBB reconhece que todos os dados pessoais que trata são importantes e merecem ser protegidos, obrigando-se a garantir a proteção e segurança dos dados pessoais que lhe são disponibilizados, através de medidas de segurança físicas e lógicas que evitem a difusão, perda, e uso indevidos, bem como o tratamento ou acesso não autorizado ou qualquer outra forma de tratamento ilícito.
Tal implica, desde logo, a centralização do arquivo por processos individuais únicos de acesso reservado a profissionais devidamente identificados e autenticados, restringidos no seu conhecimento sobre os dados pessoais que o integram, e a adoção de políticas de atribuição de direitos de acesso e privilégio, evitando acessos não autorizados e indevidos, bem como a sua perda, destruição e corrupção.
Todas as operações de tratamento de dados estarão devidamente monitorizadas e registadas não só para efeitos de controlo sobre as mesmas, mas também para demonstração de conformidade com o legalmente previsto em matéria de proteção de dados.
Ademais, a FBB obriga-se a que o fluxo de dados preveja a encriptação dos mesmos, bem como a adotar outras medidas que permitam o secretismo da informação transmitida.
A segurança dos dados não estará limitada ao suporte dos mesmos, que poderá ser digital ou não.
Aprovado pelo Conselho de Administração da Fundação Bissaya Barreto em 23 de junho de 2021