Política de Proteção de Dados Pessoais | Visabeira I&D
Última Atualização: 17-10-2023
Introdução e Objetivo
A Visabeira I&D, adiante designada por Organização, no âmbito do cumprimento das suas obrigações legais, tem envidado os melhores esforços para informar, de forma transparente, os trabalhadores, parceiros e público em geral sobre a forma como trata os dados pessoais das várias pessoas com quem se relaciona no desenvolvimento da sua atividade.
Nesse sentido, vem publicar a presente Política de Proteção de Dados, a qual pretende estabelecer os princípios orientadores do Tratamento de Dados Pessoais realizado pela Organização, com o objetivo de prestar a informação necessária à compreensão de como são tratados os dados pessoais dos diversos titulares de dados.
A terminologia e noções utilizadas nesta Política devem ser lidos como fazendo referência aos termos equivalentes previstos no Regulamento Geral de Proteção de Dados, aprovado pelo Regulamento UE n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, abreviadamente RGPD, e legislação conexa.
Se tiver alguma dúvida ou questão relativamente ao tratamento de dados pela Organização, poderá contactar o nosso Encarregado da Proteção de Dados “EPD”, para o seguinte endereço de correio eletrónico: dpo@grupovisabeira.com
Responsável pelo tratamento de dados pessoais
O responsável pelo tratamento de dados é a Visabeira Investigação e Desenvolvimento, S.A., com sede no Palácio do Gelo Shopping, n.º 1, Piso 3, 3500-606 Viseu, Portugal.
Categorias dados pessoais
A Organização, é uma empresa do Grupo Visabeira focada na criação de valor através da realização de atividades de investigação, desenvolvimento e inovação (I&D+i), no domínio técnico-científico das TIC, para as empresas do Grupo Visabeira e também para entidades externas públicas ou privadas.
As atividades de I&D+i visam o desenvolvimento, o crescimento e a transformação digital das organizações, através da entrega de soluções digitais ou tecnológicas que promovem:
- Uma melhor gestão, apoio à tomada de decisão e inteligência competitiva.
- Uma melhor comunicação, alicerçada na otimização da interação e envolvimento da força de trabalho ao longo do ciclo de vida das operações.
No âmbito do escopo da sua atividade e de modo a gerir as diversas relações jurídicas – laborais, comerciais e outras – a Organização tem necessidade de tratar, entre outras, as seguintes categorias de dados pessoais:
- Dados de identificação: p. ex., nome próprio e apelidos, Número de documento de identificação, NIF, data de nascimento, fotografia, composição de agregado familiar;
- Dados de contacto: p. ex., endereço de correio eletrónico, número de telefone fixo e telemóvel, morada, domicílio profissional;
- Dados socioeconómicos: p. ex., formação académica, profissão, dados relativos a certificações e habilitações profissionais, número de inscrição em ordens profissionais;
- Dados contratuais: p. ex., dados constantes de contratos celebrados com a Organização;
- Dados bancários: p. ex., números de conta bancária, IBAN, SWIFT e quaisquer dados necessários ao processamento de pagamentos ou recebimentos;
- Dados de saúde: p. ex., os necessários às subscrições de seguros para trabalhadores e outros prestadores de serviços, quando aplicável;
- Dados biométricos: p. ex., matriz de impressão digital, imagem facial, quando necessários para controlo de acessos;
- Dados de som e imagem: p. ex., fotografias, vídeo, som em eventos;
- Dados de navegação na internet: p. ex., endereço de IP; user ID; browser utilizado; cookies de sessão; cookies de utilizador.
Titulares, finalidades e fundamentos de tratamento
| Titular dos dados | Categoria dos dados | Finalidade do tratamento de dados pessoais | Fundamentos de licitude |
|---|---|---|---|
| Candidatos | -Dados de identificação; -Dados de contacto; -Dados socioeconómicos. | -Apreciação e eventual seleção para desempenhar funções na Organização. | Diligências pré contratuais. |
| Trabalhadores | -Dados de identificação; -Dados de contacto; -Dados socioeconómicos; -Dados bancários; -Dados de saúde; -Dados biométricos; - Imagem e voz. | -Celebração e gestão do contrato de trabalho, incluindo controlo de assiduidade e acessos às instalações; -Contratação de seguro de acidentes de trabalho; -Obrigações legais inerentes à relação laboral; - Videovigilância para proteção de pessoas e bens; - Eventos empresariais. | Execução de contrato; Cumprimento de obrigação legal; Interesse legítimo; Consentimento. |
| Fornecedores | -Dados de identificação; -Dados de contacto; -Dados bancários; - Imagem e voz. | -Celebração e gestão dos contratos de fornecimento e prestação de serviços; -Gestão dos acessos quando necessária à execução do contrato; - Eventos empresariais. | Execução de Contrato; Cumprimento de obrigação legal; Interesse legítimo; Consentimento. |
| Clientes | -Dados de identificação; -Dados de contacto; -Dados bancários; - Imagem e voz. | -Celebração e gestão dos contratos de fornecimento e prestação de serviços; -Gestão dos acessos quando necessária à execução do contrato; - Eventos empresariais. | Execução de Contrato; Cumprimento de obrigação legal; Interesse legítimo; Consentimento. |
| Trabalhadores e parceiros de Entidades Públicas e privadas | -Dados de identificação; -Dados de contacto; -Dados socioeconómicos; -Dados bancários. | -Quando necessários à contratação de financiamentos e candidatura a subsídios públicos ou privados. | Diligências pré contratuais/ Execução de contrato |
| Visitantes das páginas web e subscritores de newsletters | -Dados de navegação; -Dados de identificação; -Dados de contacto. | -Análise estatística e gestão do tráfego no site; -Envio de Informação e Publicidade. | Consentimento |
| Visitantes de Instalações da Organização | -Controlo de acessos; - Proteção de pessoas e bens. | -Controlo de acessos; - Proteção de pessoas e bens. | Interesse legítimo |
Em situações específicas, poderá haver necessidade de tratar os seus dados por outros motivos, sendo que nesses casos, serão os titulares dos dados informados do tratamento que na situação concreta será efetuado, bem como de todos os detalhes relevantes para o entendimento das operações que serão executadas.
Partilha, transferência de dados e destinatários
No âmbito das diversas operações de tratamento de dados pessoais necessárias às finalidades acima elencadas, a organização poderá necessitar de os partilhar e transmitir a várias entidades, designadamente:
- Subcontratantes – terceiros que levam a cabo parte da atividade de tratamento de dados;
- Pessoas autorizadas – pessoas individuais que tenham sido designadas para desempenhar tarefas de tratamento de dados;
- Clientes e fornecedores – no âmbito da atividade comercial da empresa, por exemplo, prestações de serviços;
- Entidades fiscalizadoras ou autoridades supervisoras, no âmbito da participação em projetos financiados por fundos europeus e noutras situações;
- Autoridades públicas e autoridades judiciais – quando obrigatório por lei (e.g. efeitos fiscais).
Por regra, a Organização não procede à transferência de dados pessoais para países fora do Espaço Económico Europeu (EEE). Se tal for absolutamente necessário para as finalidades de tratamento consagradas, a Organização só realizará transferências de dados pessoais para fora do EEE, de acordo com as seguintes medidas:
- Quando a transferência for realizada para uma localização ou através de um método ou em circunstâncias em que a Comissão Europeia considere garantirem a proteção adequada dos dados pessoais;
- Quando tiver implementado cláusulas contratuais-tipo de proteção de dados aprovadas pela Comissão Europeia ou por uma autoridade de controlo competente;
- Quando nenhuma das opções anteriores se aplicar, mas, ainda assim, a lei autorizar essa transferência, por exemplo, se a mesma for necessária para a declaração, o exercício ou a defesa de um direito num processo judicial.
Prazos de conservação
A Organização conservará os dados pessoais dos titulares conforme a sua utilização e exigências legais, nos termos abaixo descritos:
| Tipo de utilização | Prazo de conservação |
|---|---|
| Processo do trabalhador | 5 anos após a cessação do contrato de trabalho. |
| Acidentes de trabalho | 5 anos pós a cessação do contrato de trabalho; ou Até ao fim do prazo de prescrição de quaisquer direitos e obrigações, incluindo responsabilidade civil. |
| Dados biométricos para controlo de assiduidade e acessos | Até ao fim da vigência do contrato de trabalho. |
| Registo das contribuições para a Segurança Social, no âmbito do Contrato de Trabalho | 5 anos após a data em que a obrigação deveria ter sido cumprida. |
| Auxílio na reconstituição da carreira contributiva | Sem limite de prazo. |
| Obrigações fiscais e contabilísticas, decorrentes de contratos, incluindo de trabalho. | 10 anos após a cessação do contrato. |
| Avaliação de orçamentos e outras atividades pré-contratuais | 6 meses após a receção do orçamento. |
| Gestão e execução de contratos | Até ao fim da vigência do contrato; Até ao fim do prazo de prescrição de quaisquer direitos e obrigações decorrentes do contrato, incluindo responsabilidade civil. |
| Obrigações fiscais e contabilísticas, decorrentes de contratos, incluindo de trabalho. | 10 anos após a cessação do contrato. |
| Prevenção de branqueamento de capitais e financiamento ao terrorismo | 7 anos após a cessação do contrato. |
| Controlo de acessos de visitantes | Esgotada a finalidade. |
| Gestão de reclamações | 3 anos. |
| Finalidades publicitárias | Até à revogação do consentimento (de notar que a revogação do consentimento não prejudica a licitude de tratamentos passados de dados). |
Diretos dos titulares dos dados
Os titulares dos dados pessoais que estejam a ser tratados pela Organização têm os seguintes direitos, legalmente previstos:
Informações sobre como os seus dados pessoais estão a ser utilizados:
Os titulares dos dados têm o direito de ser informados sobre a forma como os seus dados pessoais são utilizados e partilhados.
Direito de acesso:
Os titulares dos dados têm direito a saber que dados pessoais estão a ser tratados e com que finalidade, podendo requerer o acesso aos mesmos a qualquer momento.
Direito de retificação:
Os titulares dos dados têm o direito de solicitar a retificação e atualização de quaisquer dados pessoais inexatos ou incompletos.
Direito ao apagamento (nas circunstâncias em que tal seja admitido):
Os titulares dos dados têm o direito de solicitar que, quando aplicável, determinadas informações detidas pela Organização sejam eliminadas, sendo que a eliminação não deverá prejudicar as operações de tratamento anteriores ao pedido.
Em alguns casos, por exemplo, se a informação for necessária para propor ou servir de defesa em quaisquer reclamações administrativas, ações judiciais ou para o cumprimento de obrigações legais, a Organização poderá manter os dados pessoais cuja eliminação foi solicitada.
Direito à limitação do tratamento:
Os titulares dos dados, em determinadas circunstâncias, têm o direito de solicitar à Organização a limitação do tratamento futuro dos seus dados pessoais.
Direito à portabilidade de dados:
Em determinadas circunstâncias, os titulares dos dados têm do direito de obter e reutilizar num formato eletrónico comummente utilizado os seus dados pessoais.
Mais, têm o direito de pedir que aqueles dados sejam diretamente transmitidos para outro responsável pelo tratamento, desde que tecnicamente possível.
Este direito aplica-se apenas às informações que os titulares dos dados tenham fornecido à Organização com o seu consentimento ou que por aquela sejam tratados por meios automatizados.
A entrega destes dados pode ter custos, nomeadamente em casos tecnicamente complexos.
Direito de oposição:
Os titulares dos dados têm o direito de se opor a determinados tipos de tratamento, por motivos relacionados com a sua situação particular, a qualquer altura em que decorra esse tratamento, para efeitos do legítimo interesse da Organização ou de terceiros.
A Organização poderá continuar a tratar esses dados se puder fazer prova de “razões legítimas preponderantes para o tratamento que se sobreponham aos seus interesses, direitos e liberdades” ou se esses dados forem necessários para o estabelecimento, o exercício ou a defesa de um direito num processo judicial.
Direitos em relação à tomada de decisão automatizada e criação de perfis:
Os titulares dos dados têm o direito de não ficar sujeitos a uma decisão baseada exclusivamente num tratamento automatizado, incluindo definição de perfis, que produza um efeito legal na sua esfera ou os afete significativamente de forma similar, sobre eles.
Direito de apresentar reclamação:
Para além do direito de apresentarem reclamação junto da Organização, os titulares dos dados têm o direito de apresentar reclamação junto das autoridades de controlo competentes (em Portugal, a Comissão Nacional de Proteção de Dados – CNPD), se considerarem que o tratamento realizado viola os seus direitos e/ou a Legislação de Proteção de Dados.
Exercício dos direitos dos titulares dos dados
Os titulares dos dados poderão exercer os seus direitos mediante contacto com a Organização através de envio de correio eletrónico para a caixa de correio eletrónico dpo@grupovisabeira.com.
A reclamação à CNPD poderá efetuar-se em www.cnpd.pt.
Medidas de segurança
A Organização protege a informação referente a todos aqueles que com ela se relacionam, através da implementação de medidas técnicas e organizativas que, tendo em conta as técnicas mais avançadas, os custos de aplicação, a natureza, o âmbito, o contexto e as finalidades de cada tratamento de dados pessoais desenvolvido sob a sua responsabilidade, permitam mitigar os riscos, de geometria e intensidade variáveis, que possam afetar os direitos e liberdades fundamentais dos titulares afetados no caso de uma violação de dados pessoais.
Em particular, estão implementadas as seguintes medidas com vista a assegurar a confidencialidade, a integridade e a disponibilidade de quaisquer informações qualificadas como dados pessoais:
- Controlos de Acesso: Apenas pessoas autorizadas e cuja função exija o acesso a dados pessoais têm permissões para os consultar, sendo este acesso gerido por fortes sistemas de autenticação e monitorizado regularmente.
- Criptografia: Os dados pessoais estão protegidos durante o armazenamento e transmissão por meio de mecanismos de criptografia, reduzindo o risco de acesso não autorizado.
- Monitorização e Auditoria: A Organização implementa sistemas de monitorização contínua e auditorias regulares para identificar e mitigar potenciais vulnerabilidades e prevenir incidentes de segurança.
- Proteção contra Ameaças: A Organização utiliza soluções de segurança, como firewalls, sistemas de prevenção de intrusões, antivírus e gestão de vulnerabilidades, para prevenir ataques cibernéticos e acessos não autorizados.
- Segurança Física: As instalações da Organização estão protegidas com controlos de acesso físico, sistemas de vigilância e medidas adicionais para garantir que os dados armazenados em formato físico ou digital estejam em locais seguros.
- Gestão de Riscos e Continuidade: O Sistema de Gestão da Segurança da Informação da Organização, inclui uma análise regular de riscos e um plano de continuidade do negócio, assegurando a preparação para responder eficazmente a incidentes que possam afetar a segurança dos dados.
- Formação e Sensibilização: Todos os colaboradores da Organização são sujeitos a formações regulares em boas práticas de segurança e proteção de dados, promovendo uma cultura organizacional focada na segurança da informação.
- Gestão de Incidentes: A Organização possui um procedimento robusto para identificar, reportar, investigar e mitigar incidentes de segurança relacionados com dados pessoais, garantindo uma resposta célere e eficaz.
As violações à presente Política de Privacidade por colaboradores da Organização poderão dar origem a ação disciplinar.
Alterações da Política de Proteção de Dados
Uma cópia integral desta Política de Proteção de Dados pode ser obtida, digitalmente, no site da Organização.
Para que este documento seja mais eficaz, não estão previstas alterações significativas, no entanto, por uma questão de detalhe, a Organização reserva-se o direito de atualizar esta Política de Proteção de Dados, em qualquer altura, sendo todas as alterações consideradas eficazes a partir da data da sua publicação.
Outras políticas
No que diz respeito aos tratamentos de dados pessoais que a Organização realiza aquando da visita à página web, bem como mediante a utilização de cookies, os titulares dos dados devem consultar a Política de Privacidade e Política de Cookies, respetivamente.