INTRODUÇÃO
O Regulamento Geral da Proteção de Dados (RGPD), relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses
dados, entrou em vigor no dia 25 de maio de 2016 e veio revogar a Diretiva 95/46/CE.
O Regulamento tem como objetivo devolver o controlo dos dados pessoais aos cidadãos,
evitando a disseminação e utilização abusiva e/ou indevida da sua informação pessoal.
Tratando-se de um Regulamento comunitário, é de aplicação direta em todos os Estados
Membros, garantindo, deste modo, uma harmonização legislativa ao nível da Proteção de
Dados.
Este Regulamento previu um período transitório de 2 anos para que as organizações se
adaptem a esta nova realidade, passando a ser aplicável a partir de 25 de maio de 2018. É
criado um novo quadro legal que altera o paradigma na forma como as organizações tratam
dados pessoais, cujo impacto varia consoante a dimensão da organização, a área de atividade,
a natureza dos dados recolhidos e ainda o modo de tratamento dos dados pessoais.
São enumerados os direitos dos titulares dos dados objeto de tratamento, mediante o reforço
da necessidade de consentimento em situações de tratamento que não estão legitimadas por
outra base de licitude, o direito ao fácil acesso e retificação dos dados, o direito à informação,
direito “a ser esquecido”, o direito à oposição de utilização de dados pessoais e o direito à
portabilidade dos dados.
Prevê ainda obrigações gerais para os responsáveis de tratamento de dados e subcontratantes,
incluindo-se aqui a obrigação de implementar medidas técnicas e organizativas, tendo em
consideração o risco inerente às operações de tratamento de dados pessoais. Estas medidas
devem ser adequadas e necessárias a assegurar a conformidade com o Regulamento.
As disposições desta Política aplicam-se às relações que o Grupo Sogrape mantém com os seus
Clientes, Fornecedores, Parceiros e com os outros profissionais intervenientes no domínio da
sua atividade comercial.
A presente Política aplica-se às operações efetuadas em Portugal ou a partir de dados
portugueses.
DEFINIÇÕES
1. Dados Pessoais: Informação relativa a uma pessoa singular identificada ou identificável
(«titular dos dados»); é considerada identificável uma pessoa singular que possa ser
identificada, direta ou indiretamente, em especial por referência a um identificador, como
por exemplo um nome, um número de identificação, dados de localização, identificadores
por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica,
genética, mental, económica, cultural ou social da pessoa singular.
2. Dados Sensíveis: Dados pessoais que revelem a origem racial ou étnica, as opiniões
políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como dados
genéticos (entendidos como dados pessoais relativos às características genéticas,
hereditárias ou adquiridas, de uma pessoa singular, que deem informações únicas sobre
a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise
de uma amostra biológica proveniente da pessoa singular em causa), dados biométricos
(entendidos como dados pessoais resultantes de um tratamento técnica especifico relativo
às características físicas, fisiológicas ou comportamentais de uma pessoa singular que
permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente
imagens faciais ou dados dactiloscópicos) para identificar uma pessoa de forma
inequívoca, dados relativos à saúde (entendidos como dados pessoais relacionados com a
saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde
que revelem informações sobre o seu estado de saúde) ou dados relativos à vida sexual ou
orientação sexual de uma pessoa.
3. Dados relativos à Saúde: Dados pessoais relacionados com a saúde física e mental da
pessoa, incluindo receitas médicas que contenham informação sobre o estado de saúde do
paciente.
4. Responsável Pelo Tratamento: A pessoa singular ou coletiva que determina as finalidades
e os meios de tratamento de dados pessoais. Poderão existir responsáveis conjuntos.
5. Subcontratante: A pessoa singular ou coletiva que tratam os dados por conta do
responsável pelo tratamento.
6. Titular dos Dados: A pessoa singular titular da informação tratada ou “a quem a
informação respeita ou está associada”.
7. Tratamento de Dados Pessoais: qualquer operação ou conjunto de operações sobre dados
pessoais, com ou sem meios automatizados, tais como a recolha, consulta utilização,
conservação, recuperação, alteração, registo ou divulgação.
8. Encarregado de proteção de dados: Pessoa designada pela organização que estará
envolvida em todas as questões relacionadas com a proteção de dados pessoais e
determina as finalidades e os meios de tratamento de dados.
PRINCÍPIOS RELATIVOS AO TRATAMENTO DE DADOS PESSOAIS
O Grupo Sogrape procede ao tratamento de dados pessoais de clientes, fornecedores e
colaboradores e estes tratamentos respeitam os seguintes princípios:
– Princípio da Informação adequada, proporcionada e necessária (“Minimização dos
dados”) (Artigo 5.º, n.º 1 c) do RGPD)
Os dados pessoais devem ser objeto de um tratamento leal, lícito e transparente em relação ao
titular dos dados. Estes são recolhidos para determinadas finalidades, explícitas e legítimas,
pelo que não poderão ser usados posteriormente de uma forma incompatível com essas
finalidades.
Os dados recolhidos devem cingir-se apenas ao que é estritamente necessário e adequado
relativamente às finalidades para os quais são recolhidos e tratados. Este é um dos novos
conceitos introduzidos que devem nortear todo o processo de tratamento de dados pessoais,
a Privacidade por Defeito (“Privacy by Default”), que significa que devem ser introduzidos
mecanismos para garantir que, por defeito, apenas são recolhidos a quantidade necessária de
dados pessoais.
O Grupo Sogrape procede ao tratamento de dados pessoais em vários momentos da sua
atividade. Neste sentido, os dados solicitados aos clientes, fornecedores e ainda aos
colaboradores são restringidos às finalidades necessárias para os quais são recolhidos.
PRINCÍPIO DA LIMITAÇÃO DAS FINALIDADES
Os dados são recolhidos para determinadas finalidades, sendo estas explícitas e legítimas, não
sendo posteriormente ser sujeitos a um tratamento posterior de forma incompatível com essas
finalidades. Este princípio, que se encontra consagrado no Artigo 5.º, n.º 1, alínea b) do RGPD,
implica que, quando as empresas do Grupo Sogrape recolhem dados para uma ou mais
finalidade, este tratamento será compatível com as finalidades para as quais tenham sido
inicialmente recolhidos.
PRINCÍPIO DA EXATIDÃO
As empresas que integram o Grupo Sogrape garantem a atualização e possibilidade de
retificação dos dados pessoais, de forma a garantir a exatidão dos dados nas suas bases de
dados.
De forma a respeitar este princípio, foram adotadas as medidas adequadas para que dados
que se encontrem desatualizados ou incorretos de acordo com as finalidades para que são
tratados sejam apagados ou retificados de modo célere.
PRINCÍPIO DA LIMITAÇÃO DA CONSERVAÇÃO
Os dados sujeitos a tratamento, como revela o princípio da limitação das finalidades, são
recolhidos para finalidades específicas, determinadas e explícitas (artigo 5.º, n.º 1, alínea e) do
RGPD). Findo o tempo necessário para as finalidades para as quais são tratados, os dados são
eliminados ou anonimizados.
PRINCÍPIO DA INTEGRIDADE E CONFIDENCIALIDADE
Os dados pessoais são tratados de uma forma que garanta a confidencialidade e a segurança,
de modo a não causar danos na esfera jurídica do titular dos dados (Artigo 5.º, n.º 1, alínea f)).
PRINCÍPIO DA RESPONSABILIDADE
As empresas que integram o Grupo Sogrape, nos termos do Artigo 5.º, n.º 2 do Regulamento,
são responsáveis pelo cumprimento de todos os princípios acima elencados e têm de poder
comprová-lo.
DIREITOS DOS TITULARES DOS DADOS PESSOAIS
As empresas que integram o Grupo Sogrape asseguram os direitos dos clientes, fornecedores
e colaboradores em matéria de proteção de dados e tomaram as medidas necessárias para
disponibilizar informações e qualquer comunicação a respeito do tratamento de dados de
forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e
simples.
Estas informações são apresentadas por escrito ou por meios eletrónicos ou, se assim o
solicitar, poderá ser prestada a informação oralmente.
É importante que cada empresa que integra o Grupo Sogrape tome medidas no sentido de
garantir que a pessoa que solicita os dados pessoais é o titular dos dados. Se, porventura, a
empresa tiver dúvidas razoáveis quanto à identidade da pessoa singular que apresenta o
pedido, poderá solicitar informações adicionais que forem necessárias para confirmar a
identidade do titular dos dados.
Se a empresa não der seguimento ao pedido, terá de informar o titular dos dados das razões
que o levaram a não tomar medidas e das possibilidades que aquele tem de reclamação a uma
autoridade de controlo ou mesmo através de uma ação judicial, no prazo de um mês a contar
da data de receção do pedido.
As informações e comunicações de medidas devem ser concedidas a título gratuito. Contudo,
se os pedidos forem infundados ou excessivos, a empresa poderá:
i) ou exigir o pagamento de
uma taxa razoável tendo em conta os seus custos;
ii) ou recusar o seguimento do pedido.
Os titulares dos dados pessoais podem solicitar também que os seus dados sejam totalmente
apagados das bases de dados das empresas, sem demora injustifica e, neste sentido, estas
deverão proceder ao apagamento dos mesmos.
Este direito apenas poderá ser concedido por partes das empresas que integram o Grupo
Sogrape nas seguintes situações:
a. Os dados pessoais deixaram de ser necessários para a finalidade que motivou a
sua recolha ou tratamento;
b. O titular de dados pessoais retirou o consentimento no qual se baseia o tratamento
dos dados pessoais, não existindo qualquer outro fundamento jurídico que
justifique o tratamento dos mesmos;
c. O titular exerce o direito de oposição, por motivos relacionados com a sua situação
particular, ao tratamento dos seus dados pessoais que lhe digam respeito quando
a base de licitude for o interesse legítimo, desde que não existam outras razões
imperiosas e legítimas prevalecentes;
d. O titular exerce o direito de oposição ao tratamento, quando os dados pessoais são
tratados para efeitos de marketing direto;
e. Exista uma obrigação jurídica para o apagamento dos dados pessoais;
f. A recolha dos dados pessoais foi feita no contexto da oferta de serviços da
sociedade de informação;
g. Quanto tiver sido ultrapassado o período de conservação definido para os dados.
No entanto, as empresas que integram o Grupo Sogrape não irão deferir o apagamento
quando o tratamento se revele necessário:
a. Ao exercício da liberdade de expressão e de informação;
b. Ao cumprimento de uma obrigação legal que exija o tratamento prevista pelo
direito da União Europeia ou de um Estado-Membro a que o responsável esteja
sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade
pública de que esteja investido o Responsável pelo Tratamento de Dados Pessoais;
c. Para fins de arquivo de interesse público, para fins de investigação científica ou
histórica ou para fins estatísticos, na medida em que o direito referido seja
suscetível de tornar impossível ou prejudicar gravemente a obtenção dos objetivos
desse tratamento; ou
d. Para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
O titular dos direitos tem também direito a que a empresa, sem demora injustificada, retifique
os dados que se encontrem inexatos.
ENTIDADES SUBCONTRATADAS
No âmbito do tratamento de dados pessoais, as empresas do Grupo Sogrape recorrem ou
podem recorrer a entidades terceiras, por si subcontratadas, para, que em nome de cada
entidade do Grupo Sogrape, e de acordo com as instruções dadas por esta, procederem ao
tratamento de dados pessoais, em estrito cumprimento com o disposto na lei e na presente
Política de Privacidade.
Estas entidades subcontratadas não poderão transmitir os dados pessoais comunicados a
outras entidades sem que a empresa do Grupo Sogrape tenha dado, previamente e por escrito,
autorização para tal, estando também impedidas de contratar outras entidades sem
autorização prévia da empresa do Grupo Sogrape.
As empresas do Grupo Sogrape assumem o compromisso de subcontratar apenas entidades
que apresentem garantias suficientes de execução das medidas técnicas e organizativas
adequadas, de forma a assegurar a defesa dos direitos dos titulares dos dados.
Todas as entidades subcontratadas pelas empresas do Grupo Sogrape ficam vinculadas
através de um contrato escrito no qual são regulados, nomeadamente, o objeto e a duração do
tratamento, a natureza e finalidade do tratamento, o tipo de Dados Pessoais, as categorias dos
titulares dos dados e os direitos e obrigações das partes.
SEGURANÇA NO TRATAMENTO
As empresas que integram o Grupo Sogrape aplicaram medidas técnicas e organizativas
adequadas para que seja assegurado um nível de segurança adequado ao risco de forma a
evitar a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não
autorizado dos dados.
É necessário ter em conta as potenciais vulnerabilidades do sistema e efetuar uma previsão
do impacto que essas podem causar nas pessoas de modo a avaliar os riscos e definir as
medidas que melhor se adaptam. Após a avaliação de impacto efetuada, o resultado desta
poderá influenciar as medidas que são adotadas.
As empresas que integram o Grupo Sogrape gozam de liberdade na escolha dos meios que
considera adequados sendo que o RGPD apenas estabelece uma obrigação de resultado aos
responsáveis pelo tratamento.
As medidas que são tomadas dependem do que se considera necessário para cada caso
concreto, podendo ser:
i) a pseudononimização e a cifragem dos dados;
ii) a capacidade de assegurar a confidencialidade, integridade,
disponibilidade e resiliência permanentes dos sistemas e dos serviços de
tratamento;
iii) a capacidade de restabelecer a disponibilidade e o aceso aos dados pessoais
de forma atempada no caso de um incidente físico e técnico;
iv) um processo para estar, apreciar e avaliar regulamente e a eficácia das
medidas técnicas e organizativas para garantir a segurança no tratamento.
VIOLAÇÃO DE DADOS PESSOAIS (“PERSONAL DATA BREACH”)
As violações de dados pessoais são violações de segurança que provoque, de modo acidental
ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados
pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
A deteção de um incidente de segurança da informação poderá ter origem em diversas
situações (e.g. um colaborador perde o portátil e comunica o incidente, um cliente verifica
uma situação anómala e comunica-a a um colaborador, uma equipa de segurança deteta
atividades suspeitas no comportamento de uma aplicação).
Uma violação de dados pessoais poderá ter origem em:
a. Violação de confidencialidade: sempre que se verifique a divulgação de ou acesso a
dados pessoais de forma não autorizada ou acidental;
b. Violação de disponibilidade: sempre que se verifique a perda de acesso ou a
destruição de dados pessoais de forma não autorizada ou acidental; e
c. Violação de integridade: sempre que se verifique a alteração de dados pessoais de
forma não autorizada ou acidental.
Caso ocorra uma violação de dados pessoais, a empresa terá de notificar a autoridade de
controlo competente, sem demora injustificada e, sempre que possível, até 72 horas após ter
tido conhecimento da mesma, a menos que a violação não apresente risco para os direitos
liberdades e garantias dos titulares dos dados.
Se esta notificação exceder o prazo de 72 horas, a empresa deverá fundamentar o atraso.
No caso de a empresa ser subcontratante a notificação é feita ao responsável pelo tratamento
de dados pessoais, sem demora injustificada.
Para além da notificação à autoridade de controlo competente, poderá ser necessário a
comunicação da violação de dados pessoais ao titular dos dados. Esta comunicação é
necessária quando a violação dos dados pessoais implicar um risco elevado para os direitos e
liberdades das pessoas singulares, tendo neste sentido de ser efetuada sem demora
injustificada.
Para caracterizar a extensão do incidente de segurança haverá que ter em consideração, por
exemplo, uma estimativa do número de titulares de dados pessoais afetados pela violação de
dados pessoais, o momento do incidente e duração do incidente ou consequências
permanentes ou temporárias.
As empresas que integram o Grupo Sogrape enquanto responsáveis pelo tratamento de dados
pessoais devem documentar quaisquer violações de dados pessoais. Esta documentação inclui
os factos relacionados com as violações, os efeitos e a medida que foi adotada de modo a
permitir à autoridade de controlo verificar o cumprimento destas exigências.
Por outro lado, as empresas que integram o Grupo Sogrape deverão garantir um plano de
ação corretivo, de modo a evitar uma repetição futura.
As empresas que integram o Grupo Sogrape são responsáveis por manter um registo de
evidências das ações corretivas implementadas (e.g. relatório de testes que confirmem que a
vulnerabilidade que deu origem à violação de dados pessoais foi corrigida).
Exemplos de medidas técnicas e organizativas de resolução incluem, entre outras:
a. A alteração de passwords em sistemas operativos e/ou aplicações impactadas pela
violação de dados pessoais;
b. A revogação e geração de novos certificados digitais;
c. A revogação de sessões de contas de utilizador;
d. A comunicação a utilizadores do dever de alterar credenciais nos sistemas e/ou
aplicações;
e. A formatação e reinstalação de sistemas e aplicações em equipamentos impactados;
f. A recuperação de informação através de backups.
EXERCÍCIO DE DIREITOS
O direito de acesso, o direito de retificação, o direito de apagamento, o direito à limitação, o
direito de portabilidade e o direito à oposição podem ser exercidos pelo titular dos dados
mediante contacto com a empresa do Grupo Sogrape respetiva, através do email
privacy@sogrape.pt .
A empresa do Grupo Sogrape respetiva dará resposta por escrito (incluindo por meios
eletrónicos) ao pedido do titular dos dados no prazo máximo de um mês a contar da receção
do pedido, salvo em casos de especial complexidade, em que esse prazo pode ser prorrogado
até dois meses.
Se os pedidos apresentados pelo titular dos dados forem manifestamente infundados ou
excessivos, nomeadamente devido ao seu carácter repetitivo, a empresa do Grupo Sogrape
reserva-se o direito de cobrar custos administrativos ou recusar-se a dar seguimento ao
pedido.
Rua 5 de Outubro nº 4527,
4430-809 Avintes – Portugal
A maneira mais rápida de saber todas as novidades do Clube.