Política de Privacidade
Política de protecção de dados pessoais
1.02 versão de 2018-06-29
1. Âmbito e objectivos
A Unipartner, como empresa de serviços de sistemas e tecnologias de informação estabelecida em Portugal e primariamente dirigida aos mercados europeus, assume a protecção de dados pessoais como um aspecto chave para a sua atividade, presente e futura, e identifica-o como diferenciador e gerador de negócio, não só pela importância que a confiança de
colaboradores, parceiros e clientes tem na sua atividade, mas também porque
esta prática constitui uma área de oferta, integrante do seu portefólio de
produtos e serviços.
A presente política de proteção de dados pessoais foi desenvolvida com o objetivo de dar a conhecer aos clientes, colaboradores, subcontratados e contactos da Unipartner os princípios, direitos e obrigações a cumprir em sede de proteção de dados pessoais e o modo como deverão ser cumpridos no contexto de quaisquer atividades de negócio em que os tratamentos de dados pessoais ocorram e independentemente do papel da Unipartner (responsável, responsável conjunta ou subcontratante [subcontratado]) nesses tratamentos.
A política tem por base as normas legais e técnicas anteriormente referidas, das quais se destaca o RGPD, pela sua especificidade no domínio da proteção de dados pessoais e pela transversalidade da sua aplicação, quer material, quer territorial.
A adoção das disposições dessas normas tem em conta a sua aplicabilidade face às atividades desenvolvidas pela Unipartner, as avaliações de risco realizadas e as opções estratégicas tomadas, visando a salvaguarda de direitos dos seus titulares, a sustentabilidade da Unipartner e dos seus clientes e a sua diferenciação num contexto de mercado cada vez mais exigente, global e tecnológico. Em particular e relativamente às normas técnicas identificadas, a Unipartner prosseguirá a formalização de certificação nos casos em que os mercados em que opera o exijam ou em que esse fator seja percecionado como diferenciador, não deixando naturalmente de adotar as boas práticas que considere relevantes e adequadas para a proteção de dados pessoais.
A política resultou de um diagnóstico envolvendo todas as áreas internas, os parceiros e subcontratados externos mais relevantes, tendo-se estabelecido um conjunto de disposições específicas, que é parte integrante desta política e visa normalizar a operacionalização das disposições gerais constantes dos diplomas legais e das normas técnicas, e um plano de implementação das medidas identificadas, instrumento operacional a manter de forma independente desta política. A implementação incremental das medidas identificadas não condiciona o cumprimento das obrigações da Unipartner, mas contribui para que a operacionalização das medidas e a evolução na maturidade das práticas se faça de forma mais efetiva.
1.1. O que é a proteção de dados pessoais
A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8º, nº1, da Carta dos Direitos Fundamentais da União Europeia (Carta) e o artigo 16º, nº 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.
Os princípios e as regras nesta matéria visam respeitar os direitos e liberdades fundamentais das pessoas singulares independentemente da nacionalidade ou do local de residência e contribuir para a liberdade, segurança e justiça, para o progresso económico e social, para a consolidação e a convergência das economias a nível do mercado interno europeu e para o bem-estar das pessoas singulares.
A Unipartner é responsável pelo cumprimento de todas as obrigações legais relativamente aos tratamentos de dados pessoais em que participa, na medida dessa participação (nível de responsabilidade estabelecido individualmente para cada tratamento de dados pessoais).
A Unipartner subcontrata atividades de tratamento de dados pessoais a empresas parceiras. Essas empresas podem também atuar como responsável conjunto, caso intervenham na definição das finalidades e/ou dos meios de tratamento dos dados pessoais.
A Unipartner realiza tratamentos de dados pessoais como subcontratante [subcontratado] de empresas cliente. Pode também atuar como responsável conjunto, caso intervenha na definição das finalidades e/ou dos meios de tratamento dos dados pessoais. A Unipartner é responsável por eventuais violações das regras vinculativas aplicáveis às empresas cometidas por entidades envolvidas que não se encontrem estabelecidas na UE, salvo quando o facto que causou o dano não for imputável à Unipartner.
1.2. Caraterização e tratamentos principais de dados pessoais
1.2.1. External Perspective
A Unipartner, no âmbito dos serviços que presta e dos projetos que desenvolve com os seus parceiros e para os seus clientes, pode tratar dados pessoais de quaisquer categorias de titulares, de quaisquer tipos (incluindo categorias especiais e condenações/infrações) e para quaisquer finalidades, desde que cumpridos todos os requisitos legais, na estrita medida dos contratos estabelecidos e com o nível de responsabilidade assumido (regra geral, enquanto subcontratante [subcontratado]).
1.2.2. Atividades não abrangidas pelo RGPD
A Unipartner não desenvolve, na perspetiva interna, qualquer atividade fora do âmbito material do RGPD, nomeadamente atividades não sujeitas ao direito da UE, de política externa e de segurança comum ou de investigação, deteção e repressão de infrações e execução de sanções penais.
Não obstante, pela natureza dos serviços que presta, pode intervir em tratamentos de dados pessoais enquadráveis nessas exceções, no contexto das atividades de negócio dos seus parceiros e clientes. As disposições desta política aplicam-se também nesses casos, desde que não contrariem os regimes específicos a que esses tratamentos de dados pessoais estão sujeitos.
1.2.3. Finalidades de tratamento de dados pessoais
Face à importância que a definição das finalidades de tratamento tem para a eficácia de todos os sistemas no cumprimento das disposições, em particular a universalidade de interpretação e aplicação nos diferentes contextos da atividade e vida de parceiros/clientes e titulares, a Unipartner adota uma abordagem baseada nos seguintes princípios:
-
Funcional: as finalidades de tratamento de dados pessoais correspondem às finalidades dos processos de negócio no contexto dos quais esses tratamentos ocorrem; para efeitos de análise e comunicação, essas finalidades (específicas) podem ser agregadas em finalidades (genéricas) correspondentes às funções de negócio em que os processos se enquadram (um processo enquadra-se numa única função);
-
Supra organizacional: as finalidades são vistas de igual modo independentemente do tipo de intervenção que a organização tem nos processos (ex: cliente ou prestador); a mesma organização pode desempenhar papéis diferentes em diferentes instâncias/ocorrências do mesmo processo e, em todos esses casos, define as finalidades de igual modo.
Por se encontrar alinhado com todos estes princípios, a Unipartner adota como referencial para a definição das finalidades de tratamento de dados pessoais a lista consolidada de processos de negócio (LC), integrados na macroestrutura funcional (MEF), definida pelo Estado português. Neste sentido, cada um dos processos/finalidades terá correspondência com um único processo de negócio na LC.
1.2.4. Transferência e disponibilização de dados pessoais para países terceiros e organizações internacionais
A Unipartner respeita e faz respeitar as disposições legais relativas à proteção de dados pessoais nas transferências de dados para países terceiros e organizações internacionais, designadamente quanto à decisão da Comissão Europeia quanto à adequabilidade desse(s) pais(es) no que respeita à proteção de dados ou, não sua ausência, quanto à adequabilidade das garantias do exercício de direitos oponíveis e medidas jurídicas corretivas eficazes desse(s) país(es).
-
Decisão de adequação da Comissão (Estado de direito, autoridades de controlo independentes, compromissos internacionais);
-
Garantias adequadas (sem autorização: instrumento juridicamente vinculativo, regras vinculativas, cláusulas-tipo, código de conduta, certificação; com autorização: cláusulas contratuais, disposições em acordos administrativos).
1.2.5. Registo de tratamentos de dados pessoais
A Unipartner dispõe de registos das atividades de tratamento de dados pessoais em que intervém, que contêm os seguintes elementos:
-
Finalidade do tratamento de dados pessoais (processo de negócio);
-
Prazo de conservação, forma de contagem e destino final da informação;
-
Categorias de titulares, de dados pessoais e de destinatários (caso existam);
-
Responsável/responsáveis conjuntos e subcontratantes [subcontratados] (caso existam);
-
Transferências de dados pessoais e garantias adequadas (quando aplicável);
-
Avaliação prévia de riscos e referência para avaliação de impacto e consulta prévia à autoridade de controlo (quando aplicável);
-
Medidas técnicas e organizativas adequadas aos riscos.
1.2.6. Perspectiva Interna
Na perspetiva interna, a Unipartner mantém dados sobre:
-
Trabalhadores: pessoas individuais com contrato estabelecido diretamente com a Unipartner;
-
Subcontratados: pessoas individuais subcontratadas a parceiros da Unipartner, maioritariamente afetas à entrega de projetos e serviços, mas podendo também suportar outras atividades na organização;
-
Parceiros: pessoas individuais que desempenham funções em empresas parceiras, com relação direta com a Unipartner;
-
Clientes: pessoas individuais que desempenham funções em empresas clientes, com relação direta com a Unipartner;
-
Contactos: pessoas individuais que, não se enquadrando nas categorias anteriores, podem futuramente vir a enquadrar-se numa dessas categorias (ex: candidato, potencial cliente).
A Unipartner não presta atualmente serviços diretamente a clientes individuais nem, consequentemente, presta serviços da sociedade de informação a crianças (menores de 16 anos).
Os tratamentos de dados pessoais realizados nesta perspetiva decorrem maioritariamente de:
-
Obrigação jurídica: cumprimento de disposições legais junto de organismos e serviços públicos;
-
Execução de contrato: formação e execução de contratos com trabalhadores, subcontratados, parceiros e clientes;
-
Interesse legítimo: comunicação institucional, comercialização de produtos e serviços.
Existem ainda tratamentos baseados em interesses vitais e consentimento.
A Unipartner mantém e trata apenas os dados pessoais adequados, pertinentes e limitados ao que é necessário para as finalidades. A Unipartner não trata dados de categorias especiais ou de condenações/infrações, salvo nos seguintes casos:
-
Origem racial ou étnica, na medida em que esta possa ser identificável através da imagem (ex: fotografia) do titular;
-
Dados biométricos (identificativos), usados exclusivamente para controlo de acesso às instalações e para controlo de assiduidade (quando aplicável) por parte da Unipartner e/ou dos seus parceiros/clientes;
-
Dados de saúde, quando requeridos por obrigação jurídica, por interesse vital do titular ou terceiros ou tratados ao abrigo de consentimento;
-
Condenações/infrações, quando requeridos por obrigação jurídica ou tratados ao abrigo de consentimento.
A Unipartner desenvolve atividades com parceiros e clientes estabelecidos fora do território da UE, respeitando e fazendo respeitar as disposições aplicáveis a cada caso em particular.
1.3. Direitos dos titulares
Os direitos dos titulares a salvaguardar no âmbito da proteção de dados pessoais são os seguintes:
-
Informação: informar o titular sobre responsáveis, finalidades, categorias, destinatários, garantias, prazos, direitos, decisões automatizadas e fontes, caso não tenha ainda tido conhecimento e salvo esforço desproporcionado;
-
Acesso: indicar se há dados objeto de tratamento; se sim, dar acesso aos dados em tratamento e informar sobre finalidades, categorias, destinatários, garantias, prazos, direitos, decisões automatizadas; se solicitado, entregar outras cópias (pode ser sujeito a pagamento);
-
Retificação: retificar dados inexatos ou incompletos em tratamento, sem demora injustificada;
-
Apagamento: apagar dados, sem demora injustificada, quando não necessários, sem consentimento, oposição, ilícito, obrigação jurídica e serviços da sociedade da informação, salvo liberdade de expressão e informação, obrigação legal, saúde pública, arquivo de interesse público, investigação científica/histórica, estatística ou declaração, exercício ou defesa de direito em processo judicial; informar responsáveis se dados transmitidos ou tornados públicos, tomando medidas razoáveis, salvo esforço desproporcionado;
-
Portabilidade: entregar ao titular ou a outro responsável dados fornecidos pelo titular em formato estruturado, de uso corrente e de leitura automática, se tratamento automatizado e consentido; não se aplica a tratamento de interesse ou autoridade públicos;
-
Consentimento: tratar ou cessar tratamento; consentimento deve ser livre, informado, específico e expresso; se criança e serviço da sociedade da informação, requer consentimento ou autorização do titular dos direitos parentais, tendo em conta a tecnologia disponível;
-
Limitação: limitar tratamentos a conservação, consentidos, declaração, exercício ou defesa de direito em processo judicial ou interesse público em caso de inexatidão, ilícito, não necessários ou oposição; notificar destinatários se dados transmitidos, salvo esforço desproporcionado;
-
Oposição: cessar tratamentos por situação particular do titular quando justificados por interesse ou autoridade públicos, interesse legítimo ou compatibilidade, incluindo comercialização direta, salvo razões imperiosas ou declaração, exercício ou defesa em processo judicial; se investigação científica/histórica ou estatística, ressalva-se ainda interesse público;
-
Não sujeição exclusiva: assegurar intervenção humana em decisão automatizada com efeitos na esfera jurídica ou similar do titular, salvo execução de contrato, autorizada pelo direito do Estado-Membro ou União ou consentida; se categorias especiais, ressalva-se consentimento e interesse público;
-
Reclamação: reclamar a autoridade de controlo sobre responsável/subcontratante [subcontratado];
-
Ação judicial: intentar ação judicial sobre autoridade de controlo ou responsável/ subcontratante [subcontratado].
1.4. Conservação de dados e tratamentos complementares
A conservação de dados pessoais e os tratamentos complementares a que esses dados podem ser sujeitos decorrem de aspetos específicos do contexto de negócio no qual foram primariamente tratados. A proteção de dados pessoais nestas fases requer uma abordagem sistemática, que possa ser aplicada de forma coerente por todas as entidades que participaram nesses tratamentos principais ou que tenham tido acesso aos mesmos enquanto destinatários.
1.4.1. Abordagem à gestão da informação
A informação capturada/produzida no contexto das atividades de negócio da Unipartner e de parceiros/clientes, nas quais a Unipartner intervém, é gerida segundo regras comuns, definidas com base em critérios:
-
Funcionais, segundo o processo de negócio no contexto do qual a informação é capturada/produzida, bem como do contexto em que esse processo de negócio se integra; excluem-se, portanto, critérios temáticos, tipológicos e/ou orgânicos que, apesar de comummente utilizados, assentam em pontos de vista específicos ou têm caráter mais efémero que o dos processos realizados pela organização;
-
Supra organizacionais, na medida em que se aplicam de igual modo independentemente do tipo de intervenção que a organização tem nos processos (ex: cliente ou prestador);
-
Valorativos, estabelecendo para cada fase do ciclo de vida (continuum) da informação os valores primários e secundários da mesma; visa assegurar que a informação com valor é conservada, enquanto que a informação sem valor é eliminada, assegurando uma aplicação eficiente dos recursos e uma maior eficácia na gestão dos riscos subjacentes.
Os dados pessoais são parte integrante desta informação, sendo (regra geral) mantidos pelos prazos estabelecidos para os processos a que dizem respeito, por se considerarem necessários tendo em conta as respetivas finalidades de tratamento principais, que justificaram a sua recolha, e complementares, quando prevaleçam direitos, liberdades, obrigações e/ou responsabilidades decorrentes dos tratamentos principais (inclui declaração, exercício ou defesa de direito em processo judicial).
Os dados pessoais podem ser mantidos por períodos mais longos, caso sejam necessários para fins de arquivo de interesse público, investigação científica ou histórica ou estatísticos.
1.4.2. Ciclo de vida da informação
Assim sendo, consideram-se as seguintes fases no ciclo de vida da informação:
1.4.3. Critérios para definição de prazos de conservação e destinos finais
Os prazos de conservação administrativa e o destino final (ex: eliminação, conservação) a aplicar à informação encontram-se definidos na LC, com as seguintes adaptações:
-
Prazos definidos com base em critérios legais diretos ou indiretos (ex: caducidade de direitos, prescrição de responsabilidades) aplicam-se de forma direta, não se observando nesse prazo o direito ao apagamento de dados pessoais;
-
Eventuais extensões a esses prazos definidas com base em critérios de utilidade administrativa ou gestionária não condicionam o exercício do direito ao apagamento de dados pessoais, quando expressamente requerido pelo titular;
-
Informação sem valor secundário, com destino final de eliminação, será eliminada após o prazo de conservação administrativa definido;
-
A informação com valor secundário, com destino final de conservação, será mantida, podendo nestes casos aplicar-se medidas adicionais.
1.4.4. Aplicação de medidas
Nos casos em que a necessidade de conservação dos dados pessoais se verifique e caso o titular solicite expressamente o exercício de direito de limitação de tratamento ou de apagamento de dados pessoais, podem aplicar-se as seguintes medidas:
-
Limitação de tratamento a conservação, visando a declaração, exercício ou defesa de direito em processo judicial e/ou fins de arquivo de interesse público, investigação científica ou histórica ou estatísticos;
-
Pseudonimização: tratamento de dados pessoais de forma a que deixem de poder ser atribuídos a um titular específico sem recorrer a informações suplementares, mantendo essas informações suplementares separadamente e sujeitas a medidas técnicas e organizativas adequadas.
Nos casos em que a necessidade de conservação dos dados pessoais não se verifique, podem aplicar-se as seguintes medidas:
-
Anonimização: tratamento de dados pessoais de forma a que deixem definitivamente de poder ser atribuídos a um titular específico;
-
Apagamento: eliminação definitiva dos dados pessoais.
Atendendo à necessidade de manter evidências sobre a execução destas operações, incluindo para declaração, exercício ou defesa de direito em processo administrativo ou judicial, a anonimização e o apagamento poderão dar origem ou requerer a manutenção de dados pessoais do titular.
1.4.5. Preservação da informação digital
A informação digital a conservar por um período superior a 7 anos (limiar de obsolescência), bem como os sistemas de informação que a mantêm, serão objeto de análise no âmbito de um plano de preservação digital, a realizar segundo:
-
As recomendações da DGLAB nesta matéria;
-
A norma ISO 16363, relativa a repositórios digitais confiáveis (quando aplicável).
1.5. Segurança de dados e tratamento
A Unipartner implementou as medidas técnicas e organizacionais necessárias e adequadas à proteção dos dados pessoais sob a sua responsabilidade contra a sua difusão, perda, uso indevido, acesso não autorizado ou qualquer outro tratamento ilícito.
Quanto a entidades terceiras que intervenham nos tratamentos de dados pessoais sob sua responsabilidade, designadamente subcontratados e parceiros, a Unipartner verifica, relativamente a essas entidades, a prestação de garantias suficientes de execução de medidas técnicas e organizativas adequadas aos riscos desses tratamentos.
Esta análise inclui as seguintes atividades:
-
Definir responsabilidade e vincular responsável conjunto/subcontratante [subcontratado] às disposições aplicáveis aos tratamentos em que intervêm;
-
Estabelecer objeto, duração, natureza, finalidade, categorias de dados e de titulares e direitos do responsável;
-
Documentar instruções para execução dos tratamentos de dados pessoais;
-
Verificar compromisso de confidencialidade ou obrigação legal de pessoas autorizadas a tratar dados pessoais;
-
Verificar adoção de medidas técnicas e organizativas adequadas.
Destas atividades resulta contrato ou outro ato normativo que, em acréscimo aos pontos anteriores, refere ainda:
-
Estabelece as regras a aplicar aos dados pessoais depois de concluída a prestação de serviços.
-
Acresce ainda, caso seja subcontratante [subcontratado]:
-
Que só processa dados pessoais mediante instruções da pessoa responsável (quando aplicável);
-
Que só contrata outro subcontratante [subcontratado] mediante autorização escrita do responsável e aplicando as mesmas obrigações de proteção de dados.
A Unipartner compromete-se a subcontratar apenas entidades que apresentem garantias suficientes de execução das medidas técnicas e organizativas adequadas ao cumprimento das disposições legais relativas à proteção dos dados pessoais bem como aqueles dispostos na presente política de privacidade.
1.6. Política de ligações, “Cookies” e sua gestão
1.6.1 Política de ligações
O website pode conter ligações a outros sítios web com políticas de privacidade diferentes à deste. A Unipartner não é responsável pelo conteúdo ou práticas dos sítios interligados e recomenda-se ao utilizador a leitura detalhada da política de privacidade de qualquer sítio web ao qual aceda a partir deste.
1.6.2 “Cookies” e sua gestão
Os cookies que emprega o sítio web da Unipartner apenas se associam a utilizadores anónimos e ao seu computador sem que possam fornecer, por si mesmos, dados pessoais daqueles. Os cookies, per si. não recolhem informação pessoal que permita a identificação de um utilizador concreto.
Este ficheiro vai permitir-lhe uma maior segurança, facilidade e rapidez no acesso ao sítio web da Unipartner.
A maioria dos browsers aceita estes ficheiros (Cookies), mas o Titular poderá apagá-los ou definir automaticamente o seu bloqueio. No entanto, caso não permita o uso de cookies poderá haver algumas funcionalidades do sítio web que não conseguirá utilizar.
1.7. Estrutura e contatos
A Unipartner é uma empresa privada, estabelecida em Portugal, detida por acionistas individuais e sem participações e/ou controlo sobre outras empresas, sendo representada pelo seu conselho de administração.
Para matérias ou exercício de direitos diretamente relacionadas com a proteção de dados pessoais e ou a política de privacidade da Unipartner, poderá contactar-nos, a qualquer momento, através do email gdpr@unipartner.com ou por carta registada com aviso de receção para Rua das Lagoas Pequenas 5B – 5º, 2740 - 245 Porto Salvo.
1.8. Alterações à Política de Privacidade
A Unipartner reserva-se o direito de, a qualquer altura, alterar a presente Política de Privacidade e de Proteção de dados Pessoais, sendo essas modificações devidamente disponibilizadas ao titular, de forma acessível, através dos diversos canais de comunicação da empresa, nomeadamente na sua página de internet.