PRINCÍPIOS ORIENTADORES DO TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS PELA AECC
Nota Prévia: A AECC recomenda a leitura do presente documento a colaboradores, associados, potenciais associados, fornecedores, parceiros de negócio e outros titulares que a qualquer outro título com ela se relacionem.
1. Compromisso
A AECC compromete-se a proceder em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 – Regulamento Geral da Proteção de Dados (RGPD) e com a demais legislação aplicável em matéria de proteção de dados, nomeadamente a legislação nacional que complementa o RGPD, e como tal a comunicar de forma transparente acerca dos dados pessoais tratados e do tipo de tratamento que efetua, a proteger a segurança, privacidade e confidencialidade dos dados pessoais, a disponibilizar os mecanismos necessários ao exercício dos direitos por parte dos titulares dos dados pessoais sobre esses mesmos dados, a disponibilizar sistemas de segurança destinados a impedir a consulta, modificação, destruição ou adição dos dados pessoais por terceiros não autorizados a fazê-lo e que permitem detetar eventuais desvios de informação, e a desenvolver medidas organizativas destinadas a manter o controlo dos dados pessoais por parte dos seus titulares.
2. Quem Somos (Responsável pelo Tratamento e DPO)
A AECC é a entidade (Associação Patronal) responsável pelo tratamento dos dados pessoais dos colaboradores, associados, potenciais associados, fornecedores, parceiros de negócios e outros titulares que a outro título com ela se relacionem, e nessa medida é quem decide os dados a serem tratados, os meios de tratamento desses mesmos dados e as finalidades para as quais os mesmos são tratados.
A AECC tem um Encarregado da Proteção de Dados (DPO – Data Protection Officer) que monitoriza a conformidade do tratamento de dados com o RGPD e as demais normas aplicáveis, e é o ponto de contacto para o esclarecimento de questões relacionadas com a proteção de dados junto dos titulares de dados, coopera com a Comissão Nacional de Proteção de Dados (CNPD), na sua qualidade de autoridade de controlo e presta informações, aconselhando e orientando a AECC nas suas obrigações, no âmbito das matérias da privacidade e da proteção de dados.
Os titulares dos dados pessoais podem exercer os seus direitos legalmente contemplados em matéria de proteção de dados pessoais, contactando o DPO da AECC – Associação Empresarial do Concelho de Cascais através de carta para a morada Alameda Combatentes da Grande Guerra, n.º 270, 2.º Esq., 2750-285 Cascais, por contacto telefónico +351 214823450, ou através de correio eletrónico para o e-mail dpo@aeccascais.org
3. Que Dados Pessoais Tratamos
3.1 Conceitos de Natureza Básica
Dados Pessoais são quaisquer informações que, independentemente da sua natureza ou suporte, de forma direta ou em combinação com outros dados, permitem identificar uma pessoa singular.
Pelo que, são Titulares de Dados Pessoais, as pessoas singulares identificadas ou identificáveis, de forma direta ou indireta, através de quaisquer informações que lhe digam respeito.
Alguns dados pessoais, são, ao abrigo do Regulamento Geral da Proteção de Dados, considerados dados de natureza sensível, ou seja, são classificados como “Dados de Categoria Especial”.
A AECC trata de dados de natureza sensível, uma vez que trata de “Dados Relativos à Saúde”, definidos no Regulamento como “dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde”. Os dados de saúde são de acesso restrito aos profissionais de saúde (médicos), ou outros colaboradores sujeitos a equivalentes obrigações de confidencialidade na prestação dos cuidados de saúde dos titulares dos dados.
Infra, são apresentados em tabela, por um lado as categorias e os tipos de dados pessoais de que tratamos e por outro os meios de recolha dos dados pessoais:
CATEGORIAS DE DADOS PESSOAIS | TIPOS DE DADOS PESSOAIS TRATADOS |
---|---|
Dados de Identificação | Nome, Número do Documento de Identificação Pessoal, Número de Identificação Fiscal, Assinatura, Número de Identificação de Segurança Social, Fotografia |
Dados de Contacto | Contacto Telefónico, Morada, Endereço de Correio Eletrónico |
Dados Bancários e Financeiros | NIB, IBAN, Número da Conta, Código Swift, Salário, Situação Contributiva |
Dados Biográficos | Data de Nascimento, Sexo, Nacionalidade, Naturalidade, Estado Civil, Certificado de Habilitações Académicas, Dados Profissionais, Profissão |
Opiniões e Preferências | Comentários nas Redes Sociais, Respostas a Inquéritos de Satisfação |
Utilização de Website | Páginas de internet visitadas, Informação sobre o Equipamento Utilizado, Endereço de IP, Dados de Tráfego |
Conteúdo | Informação contida nos relatórios clínicos escritos pelos profissionais de saúde subcontratados pela AECC |
Dados de Saúde | Historial Clínico Completo, ou seja, passado e presente, eventuais exames complementares de diagnóstico clínico (nomeadamente radiografias, análises clínicas, entre outros exames clínicos de diversa natureza) e registos clínicos obtidos através de observação clínica efetuada por médico |
Segmentos e Perfis | Segmento comercial, propensão para aquisição de bens ou serviços |
MEIOS DE RECOLHA DOS DADOS PESSOAIS | Meios de Recolha dos Dados Pessoais VEÍCULOS DE RECOLHA DOS DADOS PESSOAIS DENTRO DE CADA MEIO DE RECOLHA |
Dados Fornecidos pelo Titular dos Dados | Fornecidos diretamente pelos titulares presencialmente ou à distância. Através de conferência telefónica, do preenchimento dos diversos formulários da AECC, na troca de comunicações eletrónicas com a AECC, na resposta a inquéritos de satisfação, na troca de mensagens via WhatsApp com a AECC |
Perfilagem | Dados produzidos pela AECC através da aplicação de modelos analíticos aos dados pessoais relativos à utilização de bens e serviços por ela fornecidos |
Cookies | Recolhidos através da utilização do website da AECC Para mais informações sobre o tipo de cookies utilizadas pela AECC e os dados recolhidos, consultar a política de cookies publicada no website www.aeccascais.org |
3.2 Obrigatoriedade de fornecimento de Dados Pessoais por parte dos Titulares dos Dados
No âmbito das relações comerciais e contratuais da AECC, é obrigatória e necessária a apresentação e recolha de determinados dados pessoais dos colaboradores, associados, potenciais associados, fornecedores, parceiros de negócios e outros titulares de dados que a outro título com ela se relacionem, para cumprimento de obrigações contratuais, nomeadamente prestação de cuidados de saúde, e diligências pré-contratuais ou de outras que decorrem da legislação em vigor.
De uma forma geral, se tais dados não forem presentes e fornecidos, a AECC, terá à partida que recusar a celebração de contrato que enceta as relações laborais, comerciais ou profissionais entre as partes.
4. Como tratamos os Dados Pessoais
4.1 Conceito
Tratamento de dados é a operação ou conjunto de operações que se efetue/m sobre os dados pessoais, por meios manuais ou automatizados, nomeadamente a recolha, organização, armazenamento, utilização, retificação, eliminação, consulta, cópia e transferência.
A AECC promove o tratamento de dados de forma lícita, legitimada e transparente e estritamente necessária para as finalidades específicas.
Infra, são apresentadas em tabela, por um lado as finalidades de tratamento, por outro lado a forma utilizada para chegar a essa finalidade e ainda os fundamentos de base de licitude para as finalidades pretendidas:
Finalidades de Tratamento | Forma Utilizada para chegar à Finalidade | Fundamento de Licitude |
---|---|---|
Prestação de Cuidados de Saúde | Recolha e registo dos dados de saúde dos titulares | Celebração, Execução e Gestão de Contrato |
Ficha de Associado | Recolha e registo dos dados pessoais dos titulares, no momento de adesão | Celebração, Execução e Gestão de Contrato |
Comunicação em caso de necessidade | Recolha dos dados pessoais dos titulares, comunicação por motivos administrativos ou operacionais | Celebração, Execução e Gestão de Contrato |
Realização de Relatórios Clínicos | Recolha e registo dos dados de saúde dos titulares, realização de relatórios médicos para processo clínico | Celebração, Execução e Gestão de Contrato |
Gestão de Contactos e Reclamações | Receção, análise e resposta a pedidos de informação e reclamações por parte de titulares dos dados | Celebração, Execução e Gestão de Contrato |
Celebração de Contrato Laboral ou Comercial | Recolha e inserção dos dados pessoais necessários a figurar nos contratos de diferentes naturezas | Celebração, Execução e Gestão de Contrato |
Contabilidade | Registo contabilístico | Cumprimento de Obrigação Legal |
Gestão de Arquivo Documental | Armazenamento e organização de documentos em suporte de papel, no arquivo documental, evidência obrigatória para eventuais fiscalizações, nomeadamente por parte da Autoridade Tributária | Cumprimento de Obrigação Legal |
Prestação de Informação a Clientes | Envio de material informativo de carácter diverso no contexto da aquisição ou subscrição de bens ou serviços por parte dos titulares dos dados | Interesse Legítimo |
Prestação de Informação a Clientes | Envio de propostas de alteração de condições de bens ou serviços adquiridos ou subscritos pelos titulares dos dados | Interesse Legítimo |
Desenvolvimento de Produtos ou Serviços | Recolha e análise de dados pessoais com vista a desenvolver novos bens ou serviços ou adaptar bens ou serviços já existentes tendo por objetivo servir as necessidades específicas dos associados | Interesse Legítimo |
Avaliação da Satisfação e da Qualidade de Serviço | Realização de questionários de satisfação relativamente à qualidade dos serviços prestados | Interesse Legítimo |
Personalização da Experiência no Website | Utilização de cookies persistentes para registo das atividades e preferências | Consentimento Prévio, Expresso, Escrito, Explícito, Informado, Livre e para Fins Específicos |
Marketing Directo | Prestação de informação ou realização de campanhas, através de telefone, SMS, correio eletrónico, para estimular a utilização ou promover a aquisição ou subscrição de bens ou serviços | Consentimento Prévio, Expresso, Escrito, Explícito, Informado, Livre e para Fins Específicos |
Perfilagem | Recolha de dados relacionados com idade e preferências de consumo, com vista a direcionar os bens e serviços às necessidades e preferências do associado e melhorar a qualidade dos serviços prestados | Consentimento Prévio, Expresso, Verbal Explícito, Informado, Livre e para Fins Específicos |
Prestação de Formação Profissional | Recolha e registo dos dados pessoais, diretamente facultados pelo titular dos dados, através do preenchimento do formulário de pré-inscrição | Execução contratual |
4.2 Outros Fundamentos de Licitude
A AECC tratará ainda dados pessoais sempre que necessário, no âmbito da defesa dos interesses vitais do titular dos dados, no âmbito de declaração, exercício ou defesa de um direito num processo judicial ou sempre que os dados pessoais lhe forem solicitados por tribunais quando atuem no exercício da sua função jurisdicional.
5. Prazos de Conservação de Tratamento dos Dados Pessoais
A AECC conserva os dados pessoais pelo tempo necessário e enquanto subsistirem as legítimas finalidades para as quais os dados são tratados com base nos devidos fundamentos de licitude.
Infra, são apresentados em tabela, por um lado os motivos da conservação e por outro lado os tempos de conservação:
MOTIVOS DE CONSERVAÇÃO | TEMPO DE CONSERVAÇÃO |
---|---|
Cumprimento do Contrato | Período de vigência do contrato. Só se mantêm por períodos superiores à vigência do contrato, no caso de ser necessário assegurar direitos ou deveres relacionados com o contrato |
Obrigação Legal, Fiscal ou Regulamentar | Prazos legais de prescrição associados a obrigações legais, fiscais ou regulamentares, ou prazos previstos em legislação especial (ex: 7 anos após relação contratual no âmbito da Lei de Prevenção do Branqueamento de Capitais e Financiamento do Terrorismo) |
6. Direitos dos Titulares dos Dados Pessoais
A AECC garante o exercício dos direitos dos titulares dos dados.
Infra, são enunciados em tabela os direitos dos titulares dos dados pessoais legalmente previstos, bem como uma breve descrição explicativa de cada um dos direitos contemplados na legislação em vigor:
DIREITOS DOS TITULARES DOS DADOS PESSOAIS | DESCRIÇÃO DO DIREITO |
---|---|
Acesso | Consiste no direito do titular dos dados de obter por parte da AECC confirmação se os seus dados pessoais, que foram fornecidos à AECC, são ou não, à data do pedido, objeto de tratamento e, em caso de serem, no direito de aceder aos mesmos e às respetivas condições de tratamento |
Retificação | Consiste no direito de obter por parte da AECC retificação dos dados pessoais que se encontrem inexatos ou incompletos, de acordo com as alterações e atualizações que se informem à AECC |
Oposição | Consiste no direito de a qualquer momento e por motivos relacionados com a sua situação particular, o titular dos dados pessoais se opor ao tratamento que a AECC faça aos seus dados pessoais, baseando-se no interesse legítimo da mesma ou de terceiros |
Apagamento | Consiste no direito do titular dos dados pessoais de obter apagamento dos dados que deixaram de ser necessários para a finalidade que motivou a sua recolha e tratamento, ou de retirada de consentimento sobre todos os dados pessoais, em caso de se tratar do único fundamento para o tratamento dos dados |
Portabilidade | Consiste no direito do titular dos dados pessoais em receber os dados que tiverem sido fornecidos à AECC, num formato estruturado, de uso corrente e de leitura automática, assim como no direito que assiste ao titular dos dados em solicitar a transmissão dos mesmos para outro responsável pelo tratamento |
Limitação | Consiste no direito do titular dos dados em obter a limitação do tratamento dos dados pessoais: • se contestar a exatidão dos dados pessoais durante um período que permita à AECC verificar a sua exatidão; • se o tratamento for ilícito e se opuser ao apagamento dos dados pessoais; • se a AECC já não precisar dos dados pessoais para os fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial, ou ainda se tendo exercido direito de oposição, até se verificar que os motivos legítimos da AECC prevalecem sobre os do titular dos dados |
Esquecimento | Consiste no direito do titular dos dados pessoais de pedir o apagamento dos seus dados pessoais detidos pela AECC, desde que não se verifiquem fundamentos válidos para a sua conservação |
Não sujeição a decisões exclusivamente automatizadas | Consiste no direito do titular dos dados pessoais de requerer a intervenção humana, num processo decisório automatizado |
Reclamação junto da CNPD | Consiste no direito de apresentar reclamações junto da CNPD – Comissão Nacional da Proteção de Dados (www.cnpd.pt) relativas à proteção dos seus dados pessoais e aos direitos com estes relacionados |
Os titulares dos dados pessoais podem exercer os seus direitos, legalmente contemplados em matéria de proteção de dados pessoais, contactando a AECC através de carta para a morada Alameda Combatentes da Grande Guerra, n.º 270, 2.º Esq., 2750-285 Cascais, por contacto telefónico para +351 214823450, ou através de correio eletrónico para o e-mail dpo@aeccascais.org
A AECC dará, em conformidade com a legislação em vigor, resposta ao pedido de exercício do direito no prazo de 30 (trinta) dias. Em caso de pedidos especialmente complexos, a AECC informará o titular dos dados pessoais da necessidade de estender o prazo de resposta por um período adicional máximo de 60 (sessenta) dias, que seguirá acompanhado de uma devida justificação.
O exercício dos direitos dos titulares dos dados é gratuito, exceto quando ocorrem situações excessivas, anómalas e/ou de má-fé, situações em que a AECC informará atempadamente os titulares dos dados acerca das comissões a cobrar e da respetiva justificação.
A AECC verificará e confirmará a identidade dos titulares dos dados, a cada pedido de exercício de direito, atendendo todos os pedidos de todos os direitos relativamente aos quais se consiga comprovar a identidade do titular, e através de canal que permita manter a evidência do pedido e da resposta ao mesmo.
7. Dados Pessoais Partilhados
Na AECC têm acesso a dados pessoais, os colaboradores que deles necessitem para cumprir as diligências ou obrigações contratuais, pré-contratuais e legais da AECC, no âmbito da atividade por si desenvolvida.
Adicionalmente, os dados pessoais podem ser disponibilizados a entidades terceiras, ou seja, a entidades distintas da AECC, que os tratará por conta e em nome da AECC, na qualidade de Subcontratante, com respeito pelos princípios da proteção de dados pelos quais se gere a AECC.
A AECC poderá ver-se também forçada, no âmbito do cumprimento de obrigações legais, a transmitir os dados pessoais sobre os quais é responsável pelo tratamento aos terceiros que lhe forem indicados.
Infra, são apresentadas em tabela, algumas das entidades terceiras e as razões que levam à partilha dos dados pessoais com essas mesmas entidades:
ENTIDADES TERCEIRAS | RAZÕES DA PARTILHA DOS DADOS PESSOAIS COM A ENTIDADE TERCEIRA |
---|---|
Organismo Público ou Instituto de Supervisão | Sempre que existe uma obrigação legal de partilha (ex: no decurso de uma investigação ou denúncia) |
Subcontratantes | Subcontratantes ou Prestadores de Serviços, que atuam única e exclusivamente em nome, ou sob as instruções da AECC (ex: fornecedores de serviços de contabilidade, informática, formação, Saúde no Trabalho, etc…) |
8. Proteção dos Dados Pessoais
Para a AECC a confidencialidade e a integridade dos dados pessoais são consideradas um dos pilares fundamentais na construção de relações de confiança com os colaboradores, associados, potenciais associados, fornecedores, parceiros de negócios e outros titulares de direitos pessoais que a outro título com ela se relacionem.
A AECC tem por isso implementadas medidas organizativas, processos e sistemas de segurança adequadas a proteger os dados pessoais, contra a destruição, a alteração indevida e ainda o acesso não autorizado aos dados pessoais.
9. Medidas Técnicas e Organizativas Adotadas
A AECC implementou medidas técnicas e organizativas por forma a proteger os dados pessoais dos quais é Responsável pelo Tratamento.
Assim, mantem atualizados os sistemas informáticos, e desenvolveu procedimentos que previnem acessos não autorizados, perdas acidentais e/ou destruição de dados pessoais.
Neste sentido, a AECC desenvolveu políticas de clean desk, políticas de password, utiliza mecanismos de proteção permanente dos seus sistemas de informação, como sejam a utilização de firewall, procede ao controlo de acesso físico às suas instalações onde se encontram arquivados em suporte físico e em suporte informático os dados pessoais pelos quais é responsável de tratamento, define diferentes níveis de acesso aos dados, em conformidade com a necessidade estrita de quem a eles acede, e realiza com a regularidade necessária ações de sensibilização, bem como ações de formação acerca da proteção de dados junto dos seus colaboradores, assim como com regularidade anual nas ações de informação que promove sobre as mais distintas matérias, o tema proteção de dados é apresentado, e faz parte integrante das mesmas.
Por fim, e para garantir que as medidas técnicas e organizativas que implementa são respeitadas e cumpridas, audita regularmente a aplicação dessas mesmas medidas, promovendo após as mesmas, alterações ou melhoramentos que se afigurem necessários.
10. Revisões e Alterações à Política de Privacidade e de Proteção de Dados Pessoais
A AECC reserva-se o direito de, em qualquer momento, introduzir à presente política, as alterações que entender por necessárias, de forma a melhor a adequar às melhores práticas de mercado ou a alterações legislativas ou regulamentares que possam vir a surgir.
A versão em vigor da política será sempre aquela que estiver impressa para consulta na sede da empresa e também no website www.aeccascais.org
A política será revista anualmente ou sempre que se imponha como necessário.
Sempre que as alterações sejam relevantes e substantivas, a AECC fará todos os esforços adequados e razoáveis, utilizando os normais e comuns canais de comunicação e contacto com os titulares dos dados, para levar tais alterações ao seu conhecimento.
A presente Política de Privacidade e Proteção de Dados entrou em vigor a 13 de julho de 2023, tendo sido revista a 24 de junho de 2024.