Informação Legal

1. OBJETIVOS

A Política de Privacidade e Proteção de Dados de VERALLIA PORTUGAL, S.A (doravante, VERALLIA), com domicílio social na Rua da Vidreira nº 68, Fontela, Vila Verde 3090-641, Figueira da Foz, Portugal, e registada na Conservatória do Registo Comercial da Figueira da Foz sob o número único de registo e de pessoa coletiva 501 793 160, tem como principal missão estabelecer as diretrizes globais em relação aos seguintes objetivos:
- Contribuir para a interpretação harmonizada e aplicação generalizada, sistemática e apropriada prevista no Regulamento Geral de Proteção de Dados (doravante, RGPD) e outras legislações e regulamentações aplicáveis nesta matéria.
- Assegurar os direitos dos titulares dos dados e contribuir para a manutenção da sua confiança na capacidade da entidade para garantir tais direitos em conformidade com os legítimos interesses de VERALLIA.
- Garantir uma mitigação adequada dos riscos para os direitos e liberdades das pessoas físicas, e uma capacidade de resposta eficaz face a eventuais falhas ou violações de segurança dos dados.

2. REGRAS ESPECÍFICAS

2.1. CONTEXTO GERAL

O desenvolvimento económico, cultural, social e tecnológico apresenta riscos e desafios significativos para a privacidade dos cidadãos. Neste contexto, e para dar resposta a estes riscos, mas também com o objetivo de garantir um quadro jurídico de proteção de dados pessoais coerente em toda o espaço da União, em abril de 2016, foi aprovado o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, em matéria de proteção de pessoas físicas (Regulamento Geral de Proteção de Dados - “RGPD”). Este regulamento revogou a Diretiva 95/46/CE, e será aplicável em todos os estados membros a partir de 25 de maio de 2018, ainda que possa ser complementado a nível nacional através de legislação e normas especificas.
Os dados pessoais são essenciais para o desenvolvimento da atividade da VERALLIA, e a sua proteção adquire uma importância vital para o desenvolvimento dos seus negócios, ou seja, para a oferta e comercialização dos seus produtos, para a gestão diária dos serviços prestados, para cumprimento das obrigações legais e regulamentares, e para a gestão dos seus recursos humanos.
A proteção dos dados pessoais insere-se no Sistema de Controlo interno da VERALLIA, e rege-se pelos princípios e regras gerais definidos neste âmbito, adaptados e ajustados conforme a legislação aplicável e o definido nesta política e outras que se apliquem nesta matéria.
De acordo com as melhores práticas internacionais e com a legislação e regulamento em questão, esta politica estabelece os princípios gerais e descreve a forma em que estes devem ser entendidos e aplicados pelos destinatários, e é aplicável a todos os dados pessoais que se encontram sob a responsabilidade da VERALLIA, independentemente do formato que a informação possa adotar, e fase do seu ciclo de vida, dando cumprimento, com isso, ao principio de privacidade por defeito (privacy by default).

2.2. APLICABILIDADE E ATUALIDADE

Esta política, assim como as diretrizes corporativas decorrentes, devem entender-se como um marco de referência global, sujeita a evolução e revisão, sendo contextualizada e aplicada de acordo com o modelo operativo e de negócio da VERALLIA, e em cumprimento das leis e regulamentos aplicáveis em cada caso. Esta política complementa-se com as outras políticas e procedimentos em vigor na VERALLIA, garantindo a sua adequada harmonização e complementaridade.

3. PRINCIPÍOS DE PROTEÇÃO DE DADOS

Nas operações de tratamento de dados pessoais, VERALLIA respeitará los seguintes princípios:
- Princípio de licitude: os dados pessoais são tratados na medida em que se constate, como mínimo, uma das condições previstas para o tratamento licito:(i) quando o titular dos dados tenha dado o seu consentimento; quando o tratamento seja necessário para (ii) a execução e gestão de um contrato,(iii) o cumprimento de uma obrigação legal, ou (iv) a prossecução de um interesse legitimo da empresa ou terceiros.
- Princípio de boa fé e de limitação da finalidade: os dados pessoais são recolhidos e tratados para finalidades especificas comunicadas ao interessado e, em nenhum caso, para outras finalidades.
- Princípio de minimização e limitação da conservação: são tratados unicamente os dados pessoais que sejam adequados, pertinentes e não excessivos, e durante o tempo estritamente necessário para as suas respetivas finalidades.
- Princípio de transparência: são informados de forma clara os titulares dos dados sobre as principais caraterísticas e medidas de proteção dos seus dados pessoais, em particular, sobre as respetivas finalidades de tratamento e eventual transmissão a terceiros.
- Princípio de necessidade de acesso: unicamente terão acesso aos dados pessoais tratados pela VERALLIA os trabalhadores e colaboradores cujas funções assim o exijam.

4. DADOS PESSOAIS TRATADOS PELA VERALLIA

VERALLIA só procede à recolha e tratamento dos dados pessoais necessários para a prestação de um serviço personalizado e de qualidade atendendo, com isso, ao princípio de minimização de dados definido no regulamento RGPD.
Na prestação de serviços, VERALLIA procede ao tratamento de várias categorias de dados pessoais, incluindo as seguintes:
- Dados de identificação pessoal (como nome, apelidos e NIF).
- Dados de contato (como telefone e direção de email profissional).
- Dados profissionais (como profissão).
VERALLIA não trata de forma sistemática categorias especiais de dados pessoais, ou seja, dados relativos à sua origem racial ou étnica, à sua saúde, à sua vida ou orientação sexual, às suas crenças religiosas filosóficas ou opiniões políticas, nem dados genéticos ou biométricos.

5. FINALIDADES DO TRATAMENTO DE DADOS

VERALLIA só trata os seus dados pessoas atendendo as seguintes finalidades:
5.1. PARA A EXECUÇÃO DE UM CONTRATO FORMALIZADO COM O CLIENTE OU PARA A EXECUÇÃO E DILIGÊNCIAS PRÉ-CONTRATUAIS A PEDIDO DO CLIENTE

No âmbito do contrato formalizado, a entidade tratará os seus dados pessoais como pessoa de contato do cliente.
- Gestão da relação contratual (como a contratação e rescisão de serviços, gestão de pedidos, gestão de consultas e reclamações, entre outras).
- Melhoria da qualidade do serviço (como análise e tratamento de informação relativa à qualidade e ao desempenho dos diferentes meios e processos de prestação de serviços e gestão de reclamações).
- Acompanhamento e recuperação de incumprimentos por parte da entidade cliente.

5.2. PARA O CUMPRIMENTO DE OBLIGAÇÕES LEGAIS ÀS QUE ESTÁ SUJEITA A VERALLIA

A entidade está sujeita a numerosas obrigações legais e regulamentares, cujo cumprimento pode implicar o tratamento de dados. Isto acontece, por exemplo, em relação a:
- Cumprimento de obrigações de retenção, pagamentos ou declaração com efeitos fiscais.
- Cumprimento de obrigações legais relativas ao relatório ou à resposta às autoridades.
- Cumprimento da normativa vigente em matéria de proteção de dados.
- Cumprimento de procedimentos em matéria de prevenção e luta contra o crime financeiro (como prevenção do branqueamento de capitais).

5.3. PARA O INTERESSE LEGÍTIMO DA VERALLIA

A entidade pode efetuar o tratamento de dados com o objetivo de melhorar a gestão de riscos e para defender os seus direitos e interesses legais, incluindo:
- Acompanhamento e recuperação de incumprimentos (como ações e tratamento no âmbito do acompanhamento dos contratos para prever situações de incumprimento, gestão do processo de recuperação de incumprimentos).
- Supervisão e controlo da aplicação dos procedimentos necessários para a execução do contrato ou o cumprimento de obrigações legais (como procedimentos para garantir o correto funcionamento do sistema de controlo interno ou a prevenção de fraude).
- Marketing e comunicação de produtos próprios.
- Controlo e acompanhamento do rendimento operativo (como informações de gestão).
- Gestão de processos contenciosos.
- Segurança física e videovigilância (como implementação de medidas de segurança física e avaliações de supervisão da implementação de medidas).

5.4. PARA ATENDER OS CONSENTIMENTOS OUTORGADOS POR SI

Naqueles casos, nos que a VERALLIA precise do consentimento do interessado para o tratamento dos dados pessoais, proceder-se-á a efetuar o pedido adequado de acordo com a finalidade prevista.

6. DESTINATÁRIOS DOS DADOS

Para que a entidade possa cumprir com todas as obrigações pode ter que comunicar os seus dados pessoais a outras entidades.
É possível que VERALLIA comunique os seus dados pessoais às seguintes entidades:
- Fornecedores que prestem serviços como Responsáveis do Tratamento.
- Autoridades públicas em relação às obrigações legais formalizadas para tais efeitos.

7. PRAZOS DE CONSERVAÇÃO DOS DADOS

VERALLIA irá conservar os seus dados pessoais enquanto a relação contratual se mantenha, assim como, uma vez finalizada tal relação, durante o prazo de prescrição das normas penais, civis, fiscais ou comerciais aplicáveis.
Para as finalidades com base no consentimento outorgado, os dados de caráter pessoal manter--se-ão enquanto não se exerça o direito de cancelamento oportuno.
Os seguintes são os períodos de conservação, em função de cada finalidade de tratamento e o respetivo fundamento da licitude do seu tratamento:

FINALIDADE

FUNDAMENTO DE LICITUDE

PRAZO DE CONSERVAÇÃO

Gestão da relação contratual

Execução da relação contratual

Enquanto a relação contratual se mantiver ativa e não prescrevam os prazos legais aplicáveis.

Melhoria da qualidade de serviço

Acompanhamento e recuperação de incumprimentos

Controlo e acompanhamento do rendimento operativo

Interesse legítimo da VERALLIA

Enquanto a relação contratual se mantiver ativa

Acompanhamento e recuperação de incumprimentos

Gestão de processos contenciosos

Marketing e comunicação de produtos próprios

Supervisão e controlo da aplicação dos procedimentos necessários para a execução do contrato ou o cumprimento de obrigações legais

Segurança física e videovigilância

Cumprimento de obrigações de retenção, pagamentos ou declaração para efeitos fiscais

Cumprimento de obrigações legais

Prazos legais formalizados

Cumprimento de obrigações legais relativas ao relatório ou resposta às autoridades

Cumprimento de procedimentos e matéria de prevenção e luta contra os crimes financeiros

Segurança e proteção de dados pessoais

8. DIREITOS DOS TITULARES

Os direitos dos titulares dos dados são assegurados desde que se procede à sua recolha, sendo lícita a finalidade subjacente ao tratamento, e sendo adotadas as medidas técnicas e organizacionais adequadas relativas à sua confidencialidade e integridade.
VERALLIA dotou-se dos meios necessários para atender os pedidos apresentados pelos titulares dos dados no exercício dos seus direitos.
No que respeita ao tratamento dos seus dados pessoais, o titular dos dados goza dos seguintes direitos:

8.1. DIREITO DE ACESSO

Sempre que o solicite, o titular tem o direito de obter confirmação sobre si e os seus dados pessoais que são tratados pela VERALLIA.
Da mesma forma, tem o direito a aceder aos seus dados pessoais, assim como de obter a seguinte informação:
a. Razões pelas quais os seus dados são tratados;
b. Tipos de dados pessoais que são tratados;
c. Entidades às quais os seus dados pessoais podem ser transmitidos, incluindo entidades localizadas em países fora da União Europeia ou organizações internacionais, sendo, neste caso, informado das garantias aplicadas na transferência dos seus dados;
d. Prazos de conservação dos seus dados ou, caso isso não seja possível, os critérios para estabelecer tais prazos;
e. Direitos que goza em relação ao tratamento dos seus dados pessoais;
f. Se os dados pessoais não forem facilitados pelo próprio titular, informação sobre a origem dos mesmos;
g. Existência de decisões individuais automatizadas, incluindo definição de perfis, e, nesse caso, informação sobre a lógica subjacente a esse tratamento, assim como sobre a importância e as consequências previstas do mesmo.
O titular dos dados tem o direito a obter uma cópia dos seus dados pessoais que são objeto de tratamento por parte da VERALLIA.

8.2. DIREITO DE RETIFICAÇÃO

Sempre que o titular considere que os seus dados pessoais estão incompletos ou incorretos, pode requerer a sua retificação, ou que estes sejam concluídos.

8.3. DIREITO DE CANCELAMENTO

O titular dos dados tem o direito a solicitar o cancelamento dos seus dados pessoais quando se verifique que ocorreu alguma das seguintes situações:
a. Que os dados pessoais deixem de ser necessários para a finalidade que motivou a sua recolha ou tratamento.
b. Que se retire o consentimento no qual se baseia o tratamento de dados e que não exista outro fundamento jurídico para o mesmo;
c. Que se oponha ao tratamento dos dados e não existam interesses legítimos prevalecentes que justifiquem o tratamento ou que os dados sejam tratados para efeitos de comercialização direta;
d. Que os dados pessoais tenham sido tratados ilicitamente;
e. Que os dados pessoais tenham que ser cancelados ao abrigo de uma obrigação jurídica à qual esteja sujeita a VERALLIA; ou
f. Que os dados pessoais tenham sido recolhidos no contexto da oferta de serviços da sociedade da informação.
O direito ao cancelamento não será aplicado quando o tratamento seja necessário para os seguintes efeitos:
a. O exercício da liberdade de expressão e de informação;
b. O cumprimento de uma obrigação legal que exiga o tratamento e que seja aplicável à VERALLIA;
c. Motivos de interesse público no âmbito da saúde pública;
d. Fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos, na medida em que o exercício do direito ao cancelamento prejudique gravemente a obtenção dos objetivos desse tratamento; ou
e. A declaração, exercício ou defesa de um direito num processo judicial.

8.4. DIREITO À LIMITAÇÃO DO TRATAMENTO

O titular pode solicitar a limitação do tratamento dos seus dados pessoais nos seguintes casos:
a. Se contesta a exatidão dos seus dados pessoais, durante um período de tempo que permita à VERALLIA verificar a sua exatidão;
b. Se o tratamento for ilícito e o titular se opõe ao cancelamento dos seus dados pessoais e solicita, em contrapartida, a limitação do tratamento;
c. Se a VERALLIA já não necessita dos dados pessoais para fins de tratamento, mas sim são necessários para efeitos de declaração, exercício ou defesa de um direito num processo judicial; ou
d. Se se opor ao tratamento, até que se verifique que os interesses legítimos da VERALLIA prevalecem sobre os seus.

8.5. DIREITO DE PORTABILIDADE
O titular tem o direito de receber os seus dados pessoais num formato estruturado, de uso comum e de leitura automática.
Da mesma forma, tem o direito de solicitar à VERALLIA que transmita tai dados a outro responsável do tratamento sempre que isso seja tecnicamente possível.
O direito de portabilidade só se aplica nos seguintes casos:
a. Quando o tratamento se baseia no consentimento expresso ou na execução de um contrato; e
b. Quando o tratamento em questão se realiza por meios automatizados.

8.6. DIREITO DE OPOSIÇÃO

O titular tem o direito de se opor ao tratamento dos seus dados pessoais a qualquer momento, por motivos relacionados com a sua situação particular, nos seguintes casos:
a. Quando o tratamento se baseia no interesse legitimo da VERALLIA; ou
b. Quando o tratamento se utiliza para fins diferentes daqueles para os quais os dados foram recolhidos, mas que sejam compatíveis com os mesmos.
Em tais casos, VERALLIA deixará de tratar os seus dados pessoais, a não ser que tenha razões legitimas para realizar esse tratamento e que estas prevaleçam sobre os interesses do titular.
Da mesma forma, o titular pode opor-se, a qualquer momento e sem necessidade de justificação, ao tratamento dos seus dados para fins de marketing direto, incluindo a definição de perfis relacionada com esse marketing.

8.7. DIREITO A NÃO ESTAR SUJEITO A DECISÕES INDIVIDUAIS AUTOMATIZADAS

O titular tem o direito de não estar sujeito a decisões tomadas exclusivamente com base num tratamento automatizado de dados, incluindo a definição de perfis, quando tais decisões causem efeitos na sua esfera jurídica ou o afete significativamente de forma similar.
Poderá dar-se a tomada de decisões baseadas no tratamento automatizado dos seus dados quando esteja autorizado pelo direito nacional ou da União Europeia.
Nos casos em que o tratamento de dados em questão (i) seja necessário para a celebração ou execução de um contrato com a VERALLIA ou (ii) se baseie no consentimento explícito do titular dos dados, este poderá, da mesma forma, estar sujeito a decisões tomadas sobre a base de tratamento automatizado dos seus dados pessoais. No entanto nestes casos, o titular dos dados terá direito a:
a. Obter intervenção humana por parte da VERALLIA;
b. Manifestar o seu ponto de vista; e
c. Discordar da decisão tomada.
A tomada de decisões baseada no tratamento automatizado de dados pessoais não se baseia no tratamento de categorias especiais de dados (como dados relativos à saúde, dados genéticos ou dados relativos à sua origem racial ou étnica) exceto quando o titular dos dados tenha dado o seu consentimento explícito para tal efeito, ou dito tratamento seja necessário por motivos de interesse público significativo, nos termos legalmente aplicáveis. Nestes casos, VERALLIA tomará todas as medidas que sejam necessárias para assegurar os direitos e liberdades, assim como os interesses legítimos.

8.8. DIREITO A RETIRAR O SEU CONSENTIMENTO

No caso que o tratamento dos dados se efetue com base no consentimento do titular, este poderá retirar o seu consentimento a qualquer momento.
Em tal caso, os seus dados pessoais deixarão de ser tratados, exceto se houver outro fundamento que o permita, como a relação contratual ou o interesse legitimo da VERALLIA.

8.9. DIREITO A FAZER RECLAMAÇÃO PERANTE A AUTORIDADE DE SUPERVISÃO

O titular dos dados tem o direito a fazer uma reclamação perante a Agência Espanhola de Proteção de Dados (autoridade de controlo competente em matéria de proteção de dados).

8.10. EXERCÍCIO DE DIREITOS

O titular dos dados poderá exercer os seus direitos de forma gratuita através de uma comunicação endereçada a Verallia Portugal, S.A, para a seguinte morada: Rua da Vidreira nº 68, Fontela, Vila Verde 3090-641, Figueira da Foz, Portugal, ou também através do correio eletrónico para compliance.iberia@verallia.com, anexando cópia do seu Cartão de Cidadão ou passaporte.
VERALLIA responderá aos pedidos de exercício de direitos por parte dos titulares dos dados, sem atrasos indevidos, e sem exceder o período de resposta de um mês. A resposta aos pedidos será prestada pelos meios idênticos aos utilizados para o pedido, sempre que seja possível a sua utilização ou que o titular não solicite outro meio diferente.

9. REGISTO DE ATIVIDADES DE TRATAMENTO

VERALLIA elaborou e mantém atualizado um registo interno (inventário) dos vários processos de tratamento de dados pessoais existentes.
Este registo contém, como mínimo, a informação exigida pelo artigo 30 do RGPD: nome e contato do responsável do tratamento, finalidades do tratamento, descrição das categorias de titulares de dados, descrição das categorias de dados pessoas tratados, período de retenção/prazo para a eliminação dos dados, categorias dos destinatários dos dados, garantias adequadas nos casos de transferência fora da EU e descrição das medidas técnicas e organizacionais no âmbito da privacidade.

10. DEVER DE INFORMAÇÃO E CONSENTIMENTO

VERALLIA comunica de forma clara e transparente ao titular dos dados os tipos de tratamentos efetuados em relação aos seus dados pessoais, com o detalhe de finalidades e fundamentos de licitude em conformidade com as disposições do RGPD. Este dever de informação é atendido nas seguintes situações:
- Quando os dados pessoais são facilitados pelo próprio titular através das cláusulas informativas autorizadas nos formulários de recolha de dados.
- Quando os dados pessoais são facilitados por terceiros, em cujo caso, se atende ao dever de informação num prazo razoável após a sua recolha, que não exceda um mês.
VERALLIA obtém o consentimento dos titulares dos dados pessoais para as finalidades e tratamentos efetuados, salvo se o tratamento se baseie nalgum dos seguintes fundamentos de licitude: legal, contratual e interesse legitimo da entidade.
VERALLIA garante que para o seu universo atual de pessoas físicas com as quais se relaciona:
- Facilita a informação precisa em relação aos tratamentos efetuados.
- Obtém o consentimento oportuno, quando aplicável, em conformidade com as disposições previstas no RGPD.
- Define a estratégia de ação necessária quando o titular dos dados não responde ao pedido de consentimento efetuado.

11. SALVAGUARDA E PROTEÇÃO DOS DADOS PESSOAIS

Sempre que não resultem contraditórias ou insuficientes, aplicar-se-ão as políticas e meios existentes em matéria de segurança dos dados pessoais em poder da VERALLIA.

11.1. ANONIMIZAÇÃO E PSEUDONIMIZAÇÃO

Naqueles casos em que a VERALLIA procede à anonimização dos dados de tal forma que não seja possível identificar o titular a partir deles, estes já não são considerados dados pessoais e, consequentemente, o regulamento RGPD não se aplica a tal conjunto de dados. Neste sentido, sempre que seja possível a entidade procede à anonimização dos dados.
Por outro lado, nos casos em que não seja possível a anonimização dos dados, VERALLIA propõe sempre os processos de pseudonimização ou encriptação dos dados pessoais com o objetivo de minimizar os riscos de segurança que podem derivar do acesso por parte de terceiros não autorizados.
Assim, as técnicas de anonimização, pseudonimização e encriptação são consideradas pela VERALLIA nos seguintes casos:
- Como parte da estratégia de privacidade desde a conceção para garantir a proteção de dados do titular.
- Como parte da estratégia de minimizar os riscos no intercâmbio de dados pessoais com terceiros.
- Como parte da estratégia para reduzir o impacto de violação da segurança dos dados no ambiente de acesso por parte de terceiros não autorizados.
- Como parte da estratégia de minimização dos dados.

11.2. PRIVACIDADE DESDE A CONCEÇÃO E PRIVACIDADE POR DEFEITO

Com o objetivo de atender ao princípio de privacidade desde a conceção, VERALLIA considera os riscos relacionados com a proteção dos dados pessoais desde a própria conceção do tratamento. Desta forma, antecipa-se e previne que possam resultar eventos invasivos para a privacidade, assim como a existência de infrações aos direitos dos titulares.
O princípio de privacidade desde a concepção minimiza a possibilidade de que os riscos da privacidade se materializem. Este princípio não tem como finalidade identificar soluções para violações de segurança que tenham ocorrido, mas sim prevenir que aconteçam antecipadamente.
Por outro lado, o princípio de privacidade por defeito formalizado pela VERALLIA estabelece que a privacidade deve ser desde início uma preocupação na conceção de um tratamento, garantindo que, por defeito, só se realize o tratamento dos dados estritamente necessários para cada finalidade específica de processamento.
VERALLIA adotou as regras e medidas internas necessárias com o objetivo de garantir estes princípios. Estas regras devem aplicar-se na fase de planificação (definição dos meios de recolha de dados), assim como durante o ciclo de vida associado ao tratamento do dado (recolha, manutenção, conservação e destruição dos dados pessoais).
Neste sentido, estes princípios são considerados nos seguintes casos:
- Conceção e construção de um novo sistema de TI que conserve, processe e permita o acesso a dados pessoais
- Criação de uma política ou legislação com implicações em matéria de privacidade.
- Definição de um novo processo operativo que traga consigo o tratamento de dados de caráter pessoal.
- Ampliação do conjunto de finalidades de tratamento previstas para certas categorias de dados ou pessoas implicadas.
De igual forma, VERALLIA aplica mecanismos com o objetivo de assegurar o cumprimento do princípio de conservação dos dados. Em determinadas circunstâncias, e tendo em consideração a finalidade do tratamento, os dados são suprimidos com caráter imediato una vez extinta a finalidade prevista, e sempre que não exista uma obrigação legal de conservação que resulte da finalidade e do tratamento efetuado.
Por defeito, VERALLIA garante que só acedem aos dados pessoais as pessoas que precisem tendo em conta as suas competências profissionais.
Assim, tanto no processo de determinação dos meios para o tratamento dos dados como, a posteriori, durante o processamento dos mesmos, VERALLIA aplica as medidas técnicas organizacionais adequadas, concebidas para garantir com eficácia os princípios de proteção de dados.
Estas medidas foram definidas tendo em conta:
- As técnicas e ferramentas mais avançadas que se encontram disponíveis.
- Os custos de aplicação, tendo em conta a natureza, o âmbito, o contexto e as finalidades de tratamento dos dados.
- Os riscos para os direitos e liberdades das pessoas físicas que resultam do tratamento dos dados.
Por outro lado, e em relação à eficácia das medidas técnicas e organizacionais, estas devem garantir:
- A minimização do tratamento em relação à quantidade, qualidade e períodos de conservação dos dados.
- A minimização do aceso garantindo a aplicação da política do princípio de privilégio mínimo.
- A pseudonimização dos dados numa fase inicial do tratamento sempre que seja possível.
- A obtenção de garantias em relação à atenção do princípio de transparência no tratamento dos dados pessoais.
- A implantação de mecanismos que garantam a supervisão periódica do tratamento dos dados pessoais, assim como a avaliação em conformidade com os princípios, direitos e obrigações definidos na norma RGPD.

12. FORNECEDORES EXTERNOS DE SERVIÇOS (REPONSÁVEIS DO TRATAMENTO)

A contratação de uma prestação de serviços pode implicar o acesso, por parte do fornecedor, a dados de caráter pessoal sob a responsabilidade da VERALLIA.
Em tais casos, a entidade estabelece salvaguardas para que as condições objetivas nas que o fornecedor proporciona o serviço garantam a confidencialidade e integridade dos dados pessoais.
Neste sentido, as políticas competentes para a contratação e controlo dos prestadores de serviços envolvidos consideram os requisitos que emanam do regulamento RGPD.
VERALLIA avalia as garantias apresentadas pelo responsável do tratamento em relação aos princípios, direitos e obrigações definidos no regulamento RGPD, seja através da verificação de códigos de conduta, mecanismos de certificação ou auditorias de privacidade realizadas por terceiros independentes.
Com caráter não exaustivo, VERALLIA considera garantias suficientes alguns dos seguintes casos:
- Adesão a códigos de conduta ou certificação de sistemas de gestão de privacidade.
- Relatórios de auditorias específicas de privacidade que demonstram a aplicação de boas práticas e a adoção de medidas técnicas e organizacionais que permitem o cumprimento eficaz da norma RGPD, especialmente, no que se refere à segurança do tratamento.
O acordo de processamento de dados entre VERALLIA e o responsável do tratamento inclui:
- O objeto de prestação de serviços de que deriva o tratamento de dados pessoais.
- A duração da prestação de serviços.
- A natureza e finalidade do tratamento, incluindo instruções às quais se refere o tratamento.
- A natureza dos dados que serão tratados, assim como as categorias e titulares dos dados afetados
- Os direitos da VERALLIA em relação à possível planificação de auditorias ao responsável do tratamento.
- As responsabilidades do responsável do tratamento para o devido cumprimento do regulamento RGPD.

13. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

Nos casos de transferências internacionais (fora da União Europeia), sempre que a comissão Europeia tenha declarado, através de uma decisão de adequação, que o país em questão localizado fora da União Europeia garanta um nível de proteção dos dados pessoais equivalente ao que resulta da legislação da União Europeia, a transferência de dados terá por base essa decisão de adequação.
Pode consultar as decisões de adequação existentes em www.eur-lex.europa.eu.
Nos casos em que a transferência seja feita para países ou organizações localizadas fora da União Europeia nos quais não haja uma decisão de adequação da Comissão, VERALLIA estabeleceu garantias adequadas para assegurar a proteção dos seus dados baseados na adoção de cláusulas contratuais tipo, previamente adotadas ou aprovadas pela Comissão Europeia.

14. AVALIAÇÃO DO IMPACTO SOBRE A PRIVACIDADE (PIA – Privacy Impact Assessment)

VERALLIA formalizou um modelo para a avaliação do impacto sobre a privacidade das várias operações de tratamento de dados de caráter pessoal existentes.
A entidade garante a execução das avaliações de impacto nos processos de tratamento de dados que possam apresentar um alto risco para os direitos e liberdade das pessoas físicas.
Estas avaliações realizam-se com a finalidade de identificar as medidas preventivas oportunas para a redução dos riscos identificados, sendo objeto de revisão e atualização periódica.

15. VIOLAÇÃO DA SEGURANÇA DOS DADOS

O regulamento RGPD impõe um controlo rigoroso das falhas de segurança que se apresentam em matéria de proteção de dados (cenários de violação de segurança dos dados).
O processo que se aplica neste âmbito é parte integrante do processo de gestão de falhas de segurança da entidade.
Neste sentido, é prioritária a identificação dos requisitos e as medidas que devem ser adotadas com a objetivo de notificar as falhas de segurança de forma a minimizar o impacto que resulta sobre os direitos e liberdades das pessoas físicas (danos e prejuízos materiais ou imateriais para as pessoas físicas, assim como a perda de controlo sobre os seus próprios dados ou a restrição dos seus direitos, descriminação, usurpação de identidade, perda de confidencialidade dos dados ou qualquer outro prejuízo económico ou social significativo para a pessoa física em questão).
VERALLIA tem a obrigação de notificar a Autoridade de Controlo (Agência Espanhola de Proteção de Dados) de qualquer falha de segurança em matéria de proteção de dados (cenários de violação de segurança dos dados) que implique um risco para os direitos e liberdades das pessoas físicas.
Da mesma forma, VERALLIA deve notificar o titular dos dados se a violação de segurança dos dados pessoais for suscetível de implicar um risco elevado para os seus direitos e liberdades. A este respeito, a entidade tem em consideração os critérios definidos pelo regulamento RGPD, assim como outras orientações legais e regulamentares, no que se refere aos critérios de classificação da gravidade da falha.
As violações de segurança dos dados pessoais são registadas e documentadas por qualquer pessoa que detete uma falha de segurança. Não obstante, VERALLIA irá comunicar a falha à Autoridade de Controlo (Agência Espanhola de Proteção de Dados), assim como aos titulares dos dados pessoais lesados, caso se verifique esta necessidade.
O prazo de notificação à Autoridade de Controlo não pode exceder as 72 horas desde o momento em que se tenha conhecimento da violação de segurança dos dados. Se a notificação não for transmitida no prazo de 72 horas, deve ir anexado os motivos do atraso.
Esta notificação será feita através dos mecanismos que a Autoridade de Controlo (Agência Espanhola de Proteção de Dados) defina.
Por outro lado, a notificação aos titulares dos dados pessoais, caso seja possível, será efetuada com carater individual a cada um dos lesados, através dos médios de comunicação diretos como o correio eletrónico, uma chamada telefónica ou por correio. Esta comunicação deve ser comprovada, ainda que não seja necessária a confirmação de receção por parte dos titulares dos dados. No caso que a notificação implique um esforço desnecessário, VERALLIA irá adotar medidas alternativas como publicações no site corporativo. Em qualquer caso, VERALLIA irá consultar a Autoridade de Controlo (Agência Espanhola de Proteção de Dados) para formalizar o critério de atuação.
Caso o tratamento seja realizado por um fornecedor externo, este irá notificar a falha de segurança à VERALLIA logo que tenha conhecimento disso. Esta obrigação ficou formalizada no contrato de prestação de serviços celebrado entre ambas as partes.
Independentemente de as violações de segurança dos dados serem comunicados à Autoridade de Controlo (Agência Espanhola de Proteção de Dados), e aos lesados, em segundo lugar, VERALLIA irá documentar tais violações, incluindo os efeitos e medidas corretivas aplicadas.

16. TOMADA DE DECISÕES AUTOMATIZADA E ELABORAÇÃO DE PERFIS

O titular dos dados tem direito a não estar sujeito à tomada de decisões automatizadas, caso estas tenham um impacto significativo na sua esfera jurídica ou que o afetem significativamente de forma idêntica, exceto se:
- Seja necessário para a celebração ou execução de um contrato entre o titular dos dados e a VERALLIA.
- Esteja autorizado por lei da União ou Estado Membro à qual a VERALLIA esteja sujeita, na qual, estejam igualmente previstas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados.
- Esteja baseada no consentimento explícito do titular dos dados.
O regulamento RGPD não permite a utilização das categorias especiais de dados pessoais (dados sensíveis) na tomada de decisões automatizadas, exceto nos casos em que se apliquem medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados.
VERALLIA garante que, se for necessária e aplicável tal finalidade de tratamento, irá apresentar de forma clara e simples à disposição dos titulares dos dados como funciona a elaboração de perfis ou o processo de tomada de decisões automatizada.

17. REVISÃO DA POLÍTICA DE PRVACIDADE E PROTEÇÃO DE DADOS

Esta Política de Privacidade e Proteção de Dados será revista anualmente ou sempre que se verifiquem alterações significativas na legislação aplicável, estratégia de negócio ou sistema de informação da VERALLIA.
Todas as alterações à presente Política de Privacidade e Proteção de Dados serão aprovadas formalmente, e deverão ser publicadas e comunicadas a todos os envolvidos.