topo da página

Política de Privacidade

Política de protecção de dados pessoais 

1.02 versão de 2018-06-29

 

1. Âmbito e objectivos

A Unipartner, como empresa de serviços de sistemas e tecnologias de informação estabelecida em Portugal e dirigida principalmente aos mercados europeus, assegura a protecção de dados pessoais como aspecto chave da sua actividade, presente e futura, e identifica-a como diferenciadora e geradora de negócios, não só devido à importância que a confiança dos empregados, parceiros e clientes tem na sua actividade, mas também porque esta prática constitui uma área de oferta, parte da sua carteira de produtos e serviços. 

Esta política de protecção de dados pessoais foi desenvolvida com o objectivo de sensibilizar os clientes, empregados, subcontratados e contactos da Unipartner para os princípios, direitos e obrigações a cumprir em termos de protecção de dados pessoais e para a forma como estes devem ser cumpridos no contexto de quaisquer actividades empresariais em que o tratamento de dados pessoais tem lugar e independentemente do papel da Unipartner (responsável, co-responsável ou subcontratante) nesse tratamento. 

A política baseia-se nas referidas normas jurídicas e técnicas, das quais o GDRP se destaca, devido à sua especificidade no domínio da protecção de dados pessoais e à transversalidade da sua aplicação, tanto material como territorial. 

A adopção das disposições destas normas tem em conta a sua aplicabilidade às actividades realizadas pela Unipartner, as avaliações de risco efectuadas e as opções estratégicas tomadas, salvaguardando os direitos dos seus titulares, a sustentabilidade da Unipartner e dos seus clientes e a sua diferenciação num contexto de mercado cada vez mais exigente, global e tecnológico. Relativamente às normas técnicas identificadas, a Unipartner continuará a formalizar a certificação nos casos em que os mercados em que opera a exijam ou quando este factor seja entendido como diferenciador, não deixando naturalmente de adoptar as boas práticas que considere relevantes e apropriadas para a protecção de dados pessoais. 

A política resultou de um diagnóstico envolvendo todas as áreas internas, os parceiros externos e subcontratantes mais relevantes, tendo estabelecido um conjunto de disposições específicas, que é parte integrante desta política e visa normalizar a operacionalização das disposições gerais contidas nos diplomas legais e nas normas técnicas, e um plano de implementação das medidas identificadas, um instrumento operacional a ser mantido independentemente desta política. A implementação incremental das medidas identificadas não afecta o cumprimento das obrigações da Unipartner, mas contribui para a operacionalização das medidas e para a evolução na maturidade das práticas a tornar mais eficazes. 

 

1.1.o que é a protecção de dados pessoais  

A protecção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8(1) da Carta dos Direitos Fundamentais da União Europeia (Carta) e o artigo 16(1) do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm o direito à protecção dos dados pessoais que lhes dizem respeito. 

Os princípios e regras nesta matéria visam respeitar os direitos e liberdades fundamentais das pessoas singulares independentemente da sua nacionalidade ou local de residência e contribuir para a liberdade, segurança e justiça, para o progresso económico e social, para a consolidação e convergência das economias. no mercado interno europeu e para o bem-estar das pessoas singulares. 

A Unipartner é responsável pelo cumprimento de todas as obrigações legais relativas ao tratamento de dados pessoais em que participa, na medida de tal participação (nível de responsabilidade estabelecido individualmente para cada tratamento de dados pessoais). 

A Unipartner subcontrata actividades de processamento de dados pessoais a empresas parceiras. Estas empresas podem também actuar como co-responsáveis, se intervierem na definição das finalidades e/ou meios de tratamento de dados pessoais. 

A Unipartner processa dados pessoais como subcontratante de empresas clientes. Pode também actuar como co-responsável, se intervir na definição das finalidades e/ou meios de tratamento de dados pessoais. A Unipartner é responsável por quaisquer violações das regras vinculativas aplicáveis a empresas cometidas por entidades envolvidas que não estejam estabelecidas na UE, excepto quando o facto que causou o dano não for imputável à Unipartner.

1.2.Caracterização e tratamento principal dos dados pessoais 

1.2.1. External Perspective

A Unipartner, no âmbito dos serviços que presta e dos projectos que desenvolve com os seus parceiros e para os seus clientes, pode processar dados pessoais de qualquer categoria de titulares, de qualquer tipo (incluindo categorias especiais e condenações/ofertas) e para qualquer finalidade, desde que sejam cumpridos todos os requisitos legais, em estrita conformidade com os contratos estabelecidos e com o nível de responsabilidade assumido (geralmente, como subcontratante). 

 

1.2.2. Actividades não abrangidas pelo GDRP 

A Unipartner não realiza, numa perspectiva interna, qualquer actividade fora do âmbito material do GDRP, nomeadamente actividades não sujeitas ao direito comunitário, à política externa e de segurança comum ou à investigação, detecção e repressão de infracções e execução de sanções penais. 

No entanto, devido à natureza dos serviços que presta, pode intervir no tratamento de dados pessoais abrangidos por estas excepções, no contexto das actividades comerciais dos seus parceiros e clientes. As disposições desta política aplicam-se igualmente nestes casos, desde que não contrariem os regimes específicos a que estes tratamentos de dados pessoais estão sujeitos. 

1.2.3. Finalidades do tratamento de dados pessoais 

Dada a importância de definir os objectivos do tratamento para a eficácia de todos os sistemas no cumprimento das disposições, em particular a universalidade da interpretação e aplicação nos diferentes contextos da actividade e da vida dos parceiros/clientes e proprietários, a Unipartner adopta uma abordagem baseada nos seguintes princípios 

  • Funcionais: as finalidades do tratamento de dados pessoais correspondem às finalidades dos processos empresariais no contexto dos quais estes tratamentos têm lugar; para fins de análise e comunicação, estas finalidades (específicas) podem ser agregadas em finalidades (genéricas) correspondentes às funções empresariais em que os processos se encaixam (um processo encaixa-se numa única função); 

  • Supra-organizacional: os objectivos são vistos da mesma forma independentemente do tipo de intervenção que a organização tem nos processos (ex: cliente ou fornecedor); a mesma organização pode desempenhar papéis diferentes em diferentes instâncias/ocorrências do mesmo processo e, em todos estes casos, define os objectivos da mesma forma.

Por estar alinhada com todos estes princípios, a Unipartner adopta a lista consolidada de processos empresariais (LC), integrada na macroestrutura funcional (MEF), definida pelo Estado Português, como referência para definir as finalidades do processamento de dados pessoais. Neste sentido, cada um dos processos/propósitos corresponderá a um único processo de negócio na LC. 

1.2.4. Transferência e fornecimento de dados pessoais a países terceiros e organizações internacionais 

A Unipartner respeita e aplica as disposições legais relativas à protecção de dados pessoais nas transferências de dados para países terceiros e organizações internacionais, nomeadamente no que diz respeito à decisão da Comissão Europeia sobre a adequação desse(s) país(es) no que diz respeito à protecção de dados ou, não a sua ausência, no que diz respeito à adequação das garantias para o exercício de direitos executórios e medidas legais correctivas eficazes desse(s) país(es). 

  • Decisão de adequação da Comissão (Estado de direito, autoridades de controlo independentes, compromissos internacionais); 

  • Garantias adequadas (sem autorização: instrumento juridicamente vinculativo, regras vinculativas, cláusulas-tipo, código de conduta, certificação; com autorização: cláusulas contratuais, disposições em acordos administrativos). 

 

1.2.5. Registo do tratamento de dados pessoais 

A Unipartner possui registos de actividades de tratamento de dados pessoais em que intervém, contendo os seguintes elementos: 

  • Finalidade do tratamento de dados pessoais (processo empresarial); 

  • Período de conservação, forma de contagem e destino final da informação; 

  • Categorias de titulares, dados pessoais e destinatários (se existirem); 

  • Responsáveis/responsáveis conjuntos e subcontratados [subcontratantes] (se existirem); 

  • Transferências de dados pessoais e salvaguardas adequadas (quando aplicável); 

  • Avaliação prévia do risco e referência para a avaliação de impacto e consulta prévia da autoridade de controlo (quando aplicável); 

  • Medidas técnicas e organizacionais adequadas aos riscos. 

 

1.2.6. Perspectiva Interna

De uma perspectiva interna, a Unipartner mantém dados sobre: 

  • Trabalhadores: Indivíduos com um contrato estabelecido directamente com a Unipartner; 

  • Subempreiteiros: pessoas individuais subcontratadas a parceiros da Unipartner, principalmente envolvidas na entrega de projectos e serviços, mas também capazes de apoiar outras actividades na organização; 

  • Parceiros: indivíduos que desempenham funções em empresas parceiras, com uma relação directa com a Unipartner; 

  • Clientes: pessoas individuais que desempenham funções em empresas clientes, com uma relação directa com a Unipartner; 

  • Contactos: pessoas individuais que, não cabendo nas categorias anteriores, poderão no futuro enquadrar-se numa destas categorias (ex: candidato, cliente potencial). 

A Unipartner não presta actualmente serviços directamente a clientes individuais nem, consequentemente, presta serviços da sociedade da informação a crianças (menores de 16 anos). 

O tratamento de dados pessoais efectuado nesta perspectiva resulta principalmente de: 

  • Obrigação legal: cumprimento das disposições legais com organismos e serviços públicos; 

  • Execução de contratos: formação e execução de contratos com trabalhadores, subempreiteiros, parceiros e clientes; 

  • Interesse legítimo: comunicação institucional, marketing de produtos e serviços. 

Há também tratamentos baseados em interesses vitais e consentimento. 

A Unipartner mantém e só processa dados pessoais que são adequados, pertinentes e limitados ao necessário para os fins a que se destinam. A Unipartner não processa dados de categorias especiais ou condenações/ofensas, excepto nos seguintes casos: 

  • Origem racial ou étnica, na medida em que esta possa ser identificável através da imagem (ex: fotografia) do titular; 

  • Dados biométricos (identificação), utilizados exclusivamente para controlar o acesso às instalações e para controlar a assistência (quando aplicável) por parte da Unipartner e/ou dos seus parceiros/clientes; 

  • Dados de saúde, quando exigidos por obrigação legal, pelo interesse vital do proprietário ou de terceiros ou tratados sob consentimento; 

  • Condenações/ofenças, quando exigidas por obrigação legal ou tratadas sob consentimento. 

A Unipartner desenvolve actividades com parceiros e clientes estabelecidos fora da UE, respeitando e fazendo cumprir as disposições aplicáveis a cada caso particular. 

 

1.3. Direitos dos titulares

Os direitos dos titulares a serem salvaguardados no âmbito da protecção de dados pessoais são os seguintes: 

  • Informação: informar o titular sobre os responsáveis, objectivos, categorias, destinatários, garantias, prazos, direitos, decisões automatizadas e fontes, se ainda não o souberem e poupar um esforço desproporcionado; 

  • Acesso: indicar se há dados a tratar; em caso afirmativo, dar acesso aos dados a tratar e informar sobre finalidades, categorias, destinatários, garantias, prazos, direitos, decisões automatizadas; se solicitado, entregar outras cópias (podem ser sujeitas a pagamento); 

  • Rectificação: rectificar dados incorrectos ou incompletos em processamento, sem atrasos injustificados; 

  • Apagamento: apagar dados, sem demora indevida, quando não for necessário, sem consentimento, oposição, delito, obrigação legal e serviços da sociedade da informação, excepto liberdade de expressão e informação, obrigação legal, saúde pública, ficheiro de interesse público, investigação científica/histórica, estatística ou declaração, exercício ou defesa dos direitos em processos judiciais; informar os responsáveis se os dados transmitidos ou tornados públicos, tomando medidas razoáveis, excepto se se tratar de um esforço desproporcionado; 

  • Portabilidade: entregar ao titular ou outros dados responsáveis fornecidos pelo titular num formato estruturado, em uso corrente e lido automaticamente, se tratamento automatizado e consentido; não se aplica a tratamento de interesse público ou de autoridade; 

  • Consentimento: tratar ou interromper o tratamento; o consentimento deve ser livre, informado, específico e expresso; se uma criança e um serviço da sociedade da informação, requer o consentimento ou autorização do titular dos direitos parentais, tendo em conta a tecnologia disponível; 

  • Limitação: limitar os tratamentos à conservação, consentimento, declaração, exercício ou defesa dos direitos em processos judiciais ou de interesse público em caso de inexactidão, ilícito, desnecessário ou oposição; notificar os destinatários se os dados transmitidos, poupar esforços desproporcionados; 

  • Oposição: cessação de tratamentos devido à situação particular do titular quando justificado por interesse ou autoridade pública, interesse legítimo ou compatibilidade, incluindo comercialização directa, excepto por razões imperiosas ou declaração, exercício ou defesa num processo legal; se investigação científica/histórica ou estatística, o interesse público continua a ser reservado; 

  • Sujeição não exclusiva: assegurar a intervenção humana numa decisão automatizada com efeitos na esfera jurídica ou similar do titular, excepto para a execução de um contrato, autorizado pela lei do Estado Membro ou da União ou com consentimento; se categorias especiais, excepto consentimento e interesse público; 

  • Reclamação: reclamar a autoridade de supervisão sobre a pessoa responsável/subcontratante; 

  • Acção judicial: tomar medidas legais sobre autoridade de supervisão ou responsável/subcontratante. 

1.4. Conservação de dados e tratamentos complementares

A retenção de dados pessoais e os tratamentos adicionais a que tais dados podem estar sujeitos resultam de aspectos específicos do contexto empresarial em que foram processados principalmente. A protecção de dados pessoais nestas fases requer uma abordagem sistemática, que pode ser aplicada de forma consistente por todas as entidades que participaram nestes processos principais ou que tiveram acesso aos mesmos como destinatários. 

1.4.1. Abordagem à gestão da informação 

A informação capturada/produzida no contexto das actividades comerciais da Unipartner e dos parceiros/clientes, em que a Unipartner intervém, é gerida de acordo com regras comuns, definidas com base em critérios: 

  • Funcional, de acordo com o processo empresarial no contexto do qual a informação é capturada/produzida, bem como o contexto em que este processo empresarial é integrado; por conseguinte, excluem-se critérios temáticos, tipológicos e/ou orgânicos que, apesar de comummente utilizados, se baseiam em pontos de vista específicos ou são mais efémeros do que os processos levados a cabo pela organização; 

  • Supra organizacional, na medida em que se aplicam igualmente independentemente do tipo de intervenção que a organização tenha nos processos (por exemplo, cliente ou fornecedor); 

  • Valores, estabelecendo para cada fase do ciclo de vida da informação (contínuo) os seus valores primários e secundários; visa assegurar que a informação valiosa seja preservada, enquanto a informação não-valorizada é eliminada, assegurando uma aplicação eficiente dos recursos e uma maior eficácia na gestão dos riscos subjacentes. 

Os dados pessoais são parte integrante desta informação, sendo (geralmente) mantidos durante os períodos estabelecidos para os processos a que se referem, pois são considerados necessários tendo em conta as respectivas finalidades principais de processamento, que justificaram a sua recolha, e complementares, quando prevalecem direitos, liberdades, obrigações e/ou responsabilidades decorrentes dos principais tratamentos (inclui declaração, exercício ou defesa de direitos em processos judiciais). 

Os dados pessoais podem ser retidos por períodos mais longos, se necessário para fins de arquivo de interesse público, investigação científica ou histórica ou fins estatísticos. 

1.4.2. Ciclo de vida da informação 

Por conseguinte, são consideradas as seguintes fases do ciclo de vida da informação: 

MicrosoftTeams-imagem (2).png

1.4.3. Critérios para a definição de prazos de conservação e destinos finais

Os prazos para a conservação administrativa e o destino final (ex: eliminação, conservação) a aplicar à informação são definidos no LC, com as seguintes adaptações: 

  • Os prazos definidos com base em critérios legais directos ou indirectos (ex: perda de direitos, limitação de responsabilidade) aplicam-se directamente, não observando dentro deste período o direito de apagamento de dados pessoais; 

  • Quaisquer prorrogações destes prazos definidos com base em critérios de utilidade administrativa ou de gestão não afectam o exercício do direito à eliminação dos dados pessoais, quando expressamente solicitadas pelo titular; 

  • As informações sem valor secundário, com destino final de eliminação, serão eliminadas após o período de conservação administrativa definido; 

  • A informação com valor secundário, com destino final de conservação, será mantida, caso em que poderão ser aplicadas medidas adicionais. 

 

1.4.4. Aplicação de medidas 

Nos casos em que a necessidade de preservar dados pessoais for verificada e se o titular solicitar expressamente o exercício do direito de limitar o tratamento ou apagar dados pessoais, podem ser aplicadas as seguintes medidas: 

  • Limitação do processamento à conservação, visando a declaração, exercício ou defesa de direitos em processos judiciais e/ou fins de arquivo de interesse público, investigação científica ou histórica ou fins estatísticos; 

  • Pseudonimização: tratamento de dados pessoais de tal forma que já não possam ser atribuídos a um titular específico sem recurso a informações adicionais, mantendo estas informações adicionais separadamente e sujeitas a medidas técnicas e organizacionais adequadas. 

Nos casos em que a necessidade de conservação de dados pessoais não é verificada, podem ser aplicadas as seguintes medidas: 

  • Anonimização: tratamento de dados pessoais de tal forma que já não podem ser definitivamente atribuídos a um proprietário específico; 

  • Eliminação: eliminação permanente de dados pessoais. 

Dada a necessidade de manter provas sobre a execução destas operações, inclusive para declaração, exercício ou defesa de direitos em processos administrativos ou judiciais, a anonimização e o apagamento podem dar origem a ou exigir a manutenção dos dados pessoais do titular. 

 

1.4.5. Preservação da informação digital 

A informação digital a preservar por um período superior a 7 anos (limiar de obsolescência), bem como os sistemas de informação que a mantêm, serão analisados no âmbito de um plano de preservação digital, a ser levado a cabo de acordo com o mesmo: 

  • As recomendações da DGLAB sobre esta matéria; 

  • A norma ISO 16363, relativa a repositórios digitais de confiança (quando aplicável).

 

1.5. Segurança de dados e tratamento 

A Unipartner implementou as medidas técnicas e organizacionais necessárias e apropriadas para proteger os dados pessoais sob a sua responsabilidade contra a sua divulgação, perda, utilização indevida, acesso não autorizado ou qualquer outro processamento ilegal. 

Quanto a terceiros que intervêm no tratamento de dados pessoais sob a sua responsabilidade, nomeadamente subcontratantes e parceiros, a Unipartner verifica, em relação a estas entidades, a prestação de garantias suficientes para a execução de medidas técnicas e organizacionais adequadas aos riscos de tal tratamento. 

Esta análise inclui as seguintes actividades: 

  • Definir a responsabilidade e ligar o co-responsável/subcontratante [subcontratante] às disposições aplicáveis aos tratamentos em que intervêm; 

  • Estabelecer objecto, duração, natureza, finalidade, categorias de dados e os titulares e direitos da pessoa responsável; 

  • Instruções documentais para a realização do processamento de dados pessoais; 

  • Verificar o compromisso de confidencialidade ou obrigação legal das pessoas autorizadas a processar dados pessoais; 

  • Verificar a adopção de medidas técnicas e organizacionais apropriadas. 

Estas actividades resultam num contrato ou outro acto normativo que, para além dos pontos anteriores, também declara: 

  • Estabelece as regras a serem aplicadas aos dados pessoais após a conclusão da prestação de serviços. 

  • Além disso, se for um subcontratante [subcontratante]: 

  • Que só processa dados pessoais mediante instruções da pessoa responsável (quando aplicável); 

  • Que apenas contrata outro subcontratante [subcontratante] com a autorização escrita da pessoa responsável e aplicando as mesmas obrigações de protecção de dados. 

A Unipartner compromete-se a subcontratar apenas entidades que ofereçam garantias suficientes para a execução de medidas técnicas e organizacionais adequadas ao cumprimento das disposições legais relativas à protecção de dados pessoais, bem como as previstas na presente política de privacidade. 

1.6. Política de links, "Cookies" e sua gestão 

1.6.1 Política de links

O website pode conter links para outros websites com políticas de privacidade diferentes deste. A Unipartner não se responsabiliza pelo conteúdo ou práticas dos websites ligados e recomenda-se ao utilizador que leia em pormenor a política de privacidade de qualquer website acedido através deste website. 

1.6.2 "Biscoitos" e a sua gestão

Os cookies utilizados no website da Unipartner estão apenas associados a utilizadores anónimos e ao seu computador, sem poderem fornecer, por si mesmos, os seus dados pessoais. Os cookies em si, não recolhem informações pessoais que permitam a identificação de um utilizador específico. 

Este ficheiro dar-lhe-á maior segurança, facilidade e rapidez no acesso ao website da Unipartner. 

A maioria dos navegadores aceita estes ficheiros (Cookies), mas o Proprietário pode eliminá-los ou definir automaticamente o seu bloqueio. Contudo, se não permitir a utilização de cookies, poderá haver algumas funcionalidades no website que não poderão ser utilizadas. 

 

 

1.7. Estrutura e contactos 

Unipartner é uma empresa privada, estabelecida em Portugal, detida por accionistas individuais e sem participações e/ou controlo sobre outras empresas, sendo representada pelo seu conselho de administração. 

Para assuntos ou o exercício de direitos directamente relacionados com a protecção de dados pessoais e/ou a política de privacidade da Unipartner, pode contactar-nos em qualquer altura através de e-mail gdpr@unipartner.com ou por carta registada com aviso de recepção para a Rua das Lagoas Pequenas 5B - 5th, 2740 - 245 Porto Salvo. 

 

1.8. Alterações à Política de Privacidade 

A Unipartner reserva-se o direito de, a qualquer momento, alterar esta Política de Privacidade e Protecção de Dados Pessoais, e estas alterações são devidamente colocadas à disposição do titular, de forma acessível, através dos vários canais de comunicação da empresa, nomeadamente na sua página na Internet. 

fim da página