Política de Privacidade e Tratamento de Dados

I. RESPONSÁVEL PELO TRATAMENTO DE DADOS PESSOAIS

Firma: RESIDUOS DO NORDESTE, EIM, S.A. (“RESÍDUOS DO NORDESTE DO NORDESTE”)

NIPC: 505542331

Sede: Rua da Fundação Calouste Gulbenkian, 5370-340 Mirandela

A RESÍDUOS DO NORDESTE é uma empresa pública intermunicipal e regional que abrange os municípios de Alfândega da Fé, Bragança, Carrazeda de Ansiães, Freixo de Espada à Cinta, Macedo de Cavaleiros, Miranda do Douro, Mirandela, Mogadouro, Torre de Moncorvo, Vila Flor, Vila Nova de Foz Côa, Vimioso e Vinhais. Na prossecução da sua atividade, a RESÍDUOS DO NORDESTE promove o tratamento e eliminação de outros resíduos não perigosos, fornecendo meios adequados de gestão de resíduos, garantindo, assim, um tratamento apropriado, proteção do ambiente e promoção da sustentabilidade dos recursos.

Nos termos do RGPD e ao abrigo da presente POLÍTICA, a RESÍDUOS DO NORDESTE é considerada como Responsável pelo Tratamento de Dados Pessoais, podendo ser responsabilizada por eventuais danos que resultem para os titulares dos dados, objeto das operações de tratamento que realiza. Esta qualidade deriva do facto de recolher e tratar (operações de tratamento) dados pessoais de pessoas singulares que, independentemente da sua nacionalidade ou local de residência, se encontram na União Europeia.

Como tal, a RESÍDUOS DO NORDESTE considerou a necessidade de desenvolver um plano de controlo, manutenção e proteção da privacidade dos titulares dos dados que tratam, na qualidade de Responsáveis pelo Tratamento, em conformidade e nos termos do RGPD.

Com efeito, a RESÍDUOS DO NORDESTE assume o dever de:

  1. Aplicar medidas técnicas e organizativas adequadas a assegurar e a comprovar que as operações de tratamento que realiza são conformes com o RGPD;
  2. Cooperar com a Autoridade de Controlo – Comissão Nacional de Proteção de Dados (CNPD) –, reportando situações de incidentes e solicitando pareceres, quando necessário e/ou adequado;
  3. Adotar mecanismos e procedimentos de comunicação, céleres e eficazes, com o titular dos dados pessoais, bem assim como as medidas técnicas e organizativas necessárias à assistência e salvaguarda dos seus respetivos direitos;
  4. Identificar subcontratantes por forma a regular as suas relações com os mesmos nos termos do RGPD;
  5. Cooperar ativamente com o Encarregado de Proteção de Dados nomeado.

II. SOBRE OS DADOS PESSOAIS E SEU TRATAMENTO

A RESÍDUOS DO NORDESTE reconhece que, para que esta POLÍTICA seja o mais transparente e esclarecedora possível, é necessário identificar o tipo de dados pessoais tratados e as operações de tratamento por si conduzidas, bem como compreender o que está em causa em cada uma delas.

Além disto, revela-se fundamental que os titulares dos dados pessoais tratados pela empresa consigam entender e assimilar quais os deveres e/ou direitos que lhes assistem em matéria de proteção de dados pessoais.

A. IDENTIFICAR DADOS PESSOAIS E OPERAÇÕES DE TRATAMENTO

DADOS PESSOAIS

Englobam qualquer informação, independentemente da natureza e do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular, suscetível de a identificar ou de a tornar identificável, direta ou indiretamente, por referência a um identificador, designadamente:

  1. Nome.
  2. Números de identificação (como o número de cliente e número de matrículas).
  3. Elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou recolhidos através da representação por fotografias, voz, impressão digital e serviços de videovigilância, de publicações em redes sociais, do historial clínico e/ou escolar, etc.
  4. Dados de localização (ex: coordenadas).
  5. Identificadores por via eletrónica (endereços IP, cookies e outras tecnologias semelhantes).

OPERAÇÃO DE TRATAMENTO DE DADOS PESSOAIS

Engloba toda a atividade que incida sobre dados pessoais, independentemente do meio – automatizado ou não –, através do qual é realizada, como “a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou a interconexão, a limitação, o apagamento ou a destruição”, em conformidade com o RGPD.

TRATAMENTO QUE NÃO EXIGE IDENTIFICAÇÃO

Não serão considerados como dados pessoais, as informações anónimas ou as que forem tornadas de tal modo anónimas que o seu titular não seja – ou deixe de ser –, identificado ou identificável (“dados anónimos”). Por outro lado, já o serão os dados “pseudoanónimos”, que permitem a identificação do seu titular através de informações adicionais (ex: endereço de e-mail criptografado ou um ID de usuário).

Sempre que, no processamento de dados pessoais em que a RESÍDUOS DO NORDESTE não tenha obtido, não mantenha ou não trate informações que permitam identificar um titular de dados pessoais, a mesma só está obrigada a assistir os direitos deste último se este tiver fornecido informações adicionais. Tal acontece, por exemplo, relativamente ao tratamento de dados anónimos ou anonimizados.

DECISÕES BASEADAS EM TRATAMENTO AUTOMATIZADO DE DADOS

O “tratamento automatizado” compreende operações de tratamento de dados efetuadas com recurso a meios tecnológicos – as quais podem ou não contar com algum envolvimento humano. Quando estas decisões contem com alguma intervenção humana, denominam-se de “decisões parcialmente automatizadas”. No âmbito do tratamento de dados realizado pela RESÍDUOS DO NORDESTE, os titulares dos dados não estarão sujeitos a decisões tomadas exclusivamente com base em tratamento automatizado dos seus dados pessoais – sobretudo para criação e avaliação de perfis baseados em qualidades da pessoa ou da sua situação particular, determinação de hábitos, interesses ou comportamentos –, a não ser que nisso expressamente consintam. Porém, estamos perante uma exceção a esta regra quando o tratamento automatizado seja necessário à celebração ou execução de um contrato em que o titular seja parte, ou se tal estiver legalmente previsto. Em todos os casos, o titular dos dados pessoais será devidamente informado de que será realizado esse tratamento, de quais os motivos inerentes ao mesmo e de quais as consequências que dele poderão advir para os seus direitos, liberdades e interesses. Serão também informados que têm a possibilidade de:

  1. Se opor ao tratamento dos seus dados pessoais, realizado nestes termos;
  2. Obter intervenção humana por parte da RESÍDUOS DO NORDESTE no tratamento dos dados;
  3. Manifestar o seu ponto de vista e contestara decisão.

B. FUNDAMENTO DO TRATAMENTO

As operações de tratamento de dados pessoais levadas a cabo pela RESÍDUOS DO NORDESTE estarão sempre condicionadas à verificação de um fundamento, que – nos termos do art. 6.º do RGPD –, poderá ser:

A EXECUÇÃO DE UM CONTRATO NO QUAL O TITULAR É PARTE OU DILIGÊNCIAS PRÉ-CONTRATUAIS A PEDIDO DO MESMO

As operações de tratamento de dados pessoais com fundamento num contrato a que o titular dos dados se submeteu ou pretende submeter (ex: contrato de trabalho, prestação de um serviço ou venda de um bem), dependem da sua necessidade para celebração do contrato pretendido, na medida em que tal esteja devidamente justificado e documentado. Estes dados poderão ser utilizados para preparar ofertas comerciais e propostas contratuais, no seguimento do pedido do titular relacionado com a execução e/ou celebração de um contrato.

A NECESSIDADE DE CUMPRIMENTO DE UMA OBRIGAÇÃO JURÍDICA

Os dados do titular podem ser tratados na medida em que tal tratamento seja necessário ao cumprimento de obrigações jurídicas a que o Responsável pelo Tratamento esteja sujeito em virtude das exigências da legislação da União Europeia ou de um Estado-Membro, como é o caso de Portugal.

A EXISTÊNCIA DE UMA FINALIDADE COMPATÍVEL COM AQUELA PARA A QUAL OS
DADOS FORAM INICIALMENTE RECOLHIDOS: Se os dados forem recolhidos com um propósito (finalidade) poderão ser usados para outro propósito, desde que este seja compatível com o primeiro. Nestes casos não é necessário justificar as operações de tratamento de dados pessoais com um fundamento jurídico distinto daquele que permitiu a recolha inicial daqueles dados. No entanto, deve a RESÍDUOS DO NORDESTE verificar:

  1. O cumprimento dos requisitos de licitude do tratamento inicial;
  2. A existência de uma ligação entre a primeira finalidade e aquela a que se destina a nova operação de tratamento;
  3. O contexto em que os dados pessoais foram recolhidos, em especial das expectativas razoáveis do titular dos dados quanto à sua posterior utilização, baseadas na sua relação com o responsável pelo tratamento;
  4.  A natureza dos dados pessoais;
  5. As consequências que o posterior tratamento dos dados possa ter para os titulares;
  6. A existência de garantias adequadas tanto no tratamento inicial como nas outras operações de tratamento previstas.

A EXISTÊNCIA DE INTERESSES LEGÍTIMOS PROSSEGUIDOS PELO RESPONSÁVEL PELO TRATAMENTO DE DADOS PESSOAIS OU POR OUTREM

O tratamento de dados fundamentado com base em interesses legítimos da RESÍDUOS DO NORDESTE ou de eventuais parceiros apenas será lícito se não implicar que algum direito ou liberdade fundamental do titular seja descurado. Poderá existir interesse legítimo, por exemplo, quando:

  1. Se verifique uma relação relevante e apropriada entre a RESÍDUOS DO NORDESTE e o titular dos dados (por exemplo, em caso de o titular ser cliente ou colaborador da mesma), e este consiga espectar tratamento adicional dos seus dados;
  2. O tratamento de dados é necessário à prevenção e controlo de fraude.
  3. O tratamento de dados sirva efeitos de comercialização direta.

Atendendo que os interesses legítimos redundam num conceito bastante amplo, sempre que a RESÍDUOS DO NORDESTE pretenda realizar alguma operação de tratamento legitimada por este fundamento de licitude, deverá concretizar qual o interesse subjacente. Esta concretização deverá ter lugar quando aquele consubstanciar um interesse real e atual, correspondendo a atividades ou benefícios esperados num futuro próximo e não como uma mera previsão, uma vez que os interesses demasiado vagos ou meramente especulativos são insuficientes para legitimar o tratamento dos dados. Sempre que proceda a tal tratamento, a RESÍDUOS DO NORDESTE informará os titulares dos dados pessoais de quais os interesses inerentes ao mesmo.

O CONSENTIMENTO

O consentimento será o último fundamento de tratamento de dados a ser utilizado pela RESÍDUOS DO NORDESTE, para justificar as operações de tratamento de dados que realiza. A RESÍDUOS DO NORDESTE apenas solicitará consentimento do titular para o tratamento dos seus dados, quando não se verificar nenhum outro fundamento de licitude previsto. Sempre que seja o caso, a RESÍDUOS DO NORDESTE recorrerá a mecanismos que permitam documentar os justos termos em que o consentimento for prestado.

Para que o consentimento possa ser considerado válido, o mesmo terá de resultar de um ato positivo, claro e que reflita a vontade livre, específica, informada e inequívoca do titular, dirigida a determinado tratamento sobre os seus dados pessoais – podendo este ser revogado a todo o tempo. Não podem ser utilizados meios destinados à obtenção indevida do consentimento do titular de dados, como são exemplo o uso de opções pré-validadas, ou do silêncio como forma de consentimento implícito. Nas situações de pessoas com deficiência visual ou auditiva, estas sempre terão direito a um processo comunicacional adaptado à sua condição particular. O mesmo acontecerá nos casos em que a pessoa não saiba ler ou escrever, ocasião em que pode recorrer à assinatura a rogo, depois de lhe ser dada toda a informação necessária e de lhe ser lido o consentimento que presta. Pode ainda ser este ser prestado verbalmente, se o seu titular permitir que seja devidamente documentado e arquivado.

O CONSENTIMENTO NO ÂMBITO DAS RELAÇÕES LABORAIS

Sendo o consentimento um dos vários fundamentos que presidem ao tratamento de dados pessoais – e não o principal –, nada obsta a que em determinadas circunstâncias se configure como mais apropriada a adoção de um dos outros fundamentos previstos. No âmbito laboral, o consentimento não constitui requisito de legitimidade do tratamento dos dados pessoais relativos aos colaboradores – uma vez que é pouco provável que o mesmo se arrogue como livre e espontâneo –, se deste resultar uma vantagem jurídica ou económica para aqueles, ou, se o tratamento for no âmbito da execução de um contrato ou de diligências pré-contratuais. Desta feita, o consentimento de um trabalhador só poderá ser validado no âmbito laboral, quando se verifique que o titular dos dados exerceu de facto uma escolha livre, não existindo qualquer risco de daí poderem advir consequências negativas que possam pressionar aquele na sua decisão.

C. DURAÇÃO E FINALIDADE DO TRATAMENTO

O tratamento de dados pessoais poderá ainda pressupor a identificação de uma finalidade específica de tratamento, e dependerá sempre da definição dos períodos de duração do mesmo e da consequente conservação dos dados pessoais tratados.

SOBRE A DURAÇÃO

As operações de tratamento de dados pessoais devem ser realizadas pelo período mínimo necessário, findo o qual, a RESÍDUOS DO NORDESTE cessará a atividade de tratamento ou solicitará a autorização do titular para continuar o tratamento dos seus dados.

A duração da operação de tratamento poderá ultrapassar o prazo previsto, no caso de existirem normas legais que obriguem ao tratamento (em especial, à conservação dos dados) por um prazo mais alargado.

SOBRE A FINALIDADE

No momento da recolha de dados pessoais o titular deve fornecer ou autorizar (nos casos em que o fundamento de licitude de tratamento seja o consentimento) os seus dados para a(s) finalidade(s) específica(s) e concreta(s) que lhe seja(m) transmitida(s).

D. CATEGORIAS DE DADOS PESSOAIS

O RGPD além de definir o conceito de dados pessoais introduziu também a necessidade de os categorizar, inclusive, através da consagração de obrigações que impendem sobre o Responsável pelo Tratamento de Dados Pessoais a este respeito.

Desta categorização, podem identificar-se várias tipologias de dados pessoais, tais como: dados de identificação, dados relacionados com características físicas e psicológicas, dados financeiros, dados sociais, dados de rastreamento, dados de saúde, etnia, raça, entre outras.

No que toca a categorias especiais de dados pessoais, a saber, «que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa» os mesmos merecem uma proteção acrescida, uma vez que o seu tratamento poderá não justificar o risco sobre os direitos, liberdades e interesses fundamentais do titular (nomeadamente, o seu direito à reserva da vida privada e demais direitos conexos). O tratamento destes dados, também apelidos “sensíveis” é por regra proibido, a menos que:

  1. O titular dos dados preste consentimento explícito para o tratamento dentro de uma ou mais finalidades específicas;
  2. O tratamento seja necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos do Responsável pelo Tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social;
  3. O tratamento seja necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa, no caso de incapacidade física ou legal de prestar consentimento;
  4. O tratamento seja efetuado no âmbito de atividades legítimas e mediante garantias adequadas, por uma fundação, associação ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos, religiosos ou sindicais, e desde que esse tratamento se refira exclusivamente aos membros ou antigos membros desse organismo ou a pessoas que com ele tenham mantido contactos regulares relacionados com os seus objetivos, e que os dados pessoais não sejam divulgados a terceiros sem o consentimento dos respetivos titulares;
  5. O tratamento se refira a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;
  6. O tratamento seja necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício da sua função jurisdicional;
  7. O tratamento seja necessário por motivos de interesse público importante proporcional ao objetivo visado, desde que respeite a essência do direito à proteção dos dados pessoais e preveja medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados;
  8. O tratamento seja necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base no direito ou por força de um contrato com um profissional de saúde. O tratamento é permitido também se for realizado sob a responsabilidade de um profissional sujeito à obrigação de sigilo profissional, (ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade).
  9. O tratamento seja necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou para assegurar um elevado nível de qualidade e de segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos, sempre tendo por base o sigilo profissional;
  10. O tratamento seja necessário para fins de arquivo de interesse público, de investigação científica ou histórica ou estatísticos.

III. DADOS PESSOAIS NA ESTRUTURA EMPRESARIAL

Os dados pessoais dizem sempre respeito a um titular de dados pessoais. No âmbito empresarial, consideram-se titulares de dados os colaboradores, prestadores de serviços ou, outras pessoas com quem a empresa se relacione, mormente clientes ou utilizadores do seu website.

A. DADOS PESSOAIS DOS COLABORADORES

No exercício de atividade que prossegue, a RESÍDUOS DO NORDESTE recolhe dados pessoais de colaboradores em vários e distintos momentos, pautando tal recolha e tratamento com os limites plasmados no Código do Trabalho e demais legislação conexa e, bem ainda, com os princípios inerentes ao tratamento decorrentes do RGPD.

A RESÍDUOS DO NORDESTE recolhe e trata dados pessoais dos seus colaboradores

NO ÂMBITO DE RECRUTAMENTO E CONTRATAÇÃO

O recrutamento tanto pode ter por base um processo promovido pela RESÍDUOS DO NORDESTE – direcionado para os Municípios, podendo eventualmente ser aberto um concurso público –, como pode ter também por base a receção de Currículos Vitae, a título de candidaturas espontâneas por e-mail ou em mão. Pode inclusivamente recorrer a empresas de trabalho temporário, especialmente contratadas para o efeito.

Em qualquer dos casos supra enunciados, são recolhidos e alvo de tratamento os dados pessoais dos candidatos, para efeitos do recrutamento.

O procedimento de recrutamento poderá implicar que a RESÍDUOS DO NORDESTE estabeleça várias fases de tratamento de informação, que podem ir desde a receção e avaliação dos currículos à seriação e seleção de candidatos. Em última linha, o recrutamento culmina num momento negocial e de contratação, no qual os dados recolhidos em sede de recrutamento serão transversais ao contrato de trabalho a celebrar.

Esta informação pessoal – respeitante, mormente, a dados pessoais identificativos como o nome e contactos, e dados académicos e profissionais como certificados de curso e experiência profissional –, será tratada pela RESÍDUOS DO NORDESTE, sendo garantida a confidencialidade no seu tratamento, nos termos desta POLÍTICA.

Este tratamento será sempre feito com intervenção humana e por referência ao prazo legal de conservação de 5 anos.

NO CUMPRIMENTO DE OBRIGAÇÕES LEGAIS

No que concerne ao tratamento de dados de colaboradores, existe um formato de tratamento de dados bem vincado que tem por génese as obrigações legais existentes, nomeadamente:

  1. Obrigações para com a Segurança Social: envio de dados para a Segurança Social, nomeadamente, para efeitos de inscrição e cessação de colaboradores junto da mesma, para efeitos de inscrição e cessação de colaboradores no Fundo de Garantia Salarial e ainda, para a resolução das demais questões em geral que possam surgir, referentes aos colaboradores e relacionadas com esta entidade.
  2. Obrigações emergentes do Código de Trabalho, mormente no que respeita às obrigações do empregador com vista à realização de formação profissional e ainda no respeitante aos registos de horário, de férias, de distribuição, manutenção de mapas de deslocações, publicação de Relatório Único, entre outras decorrentes do mesmo diploma legal.
  3. Obrigações para com a Autoridade para as Condições de Trabalho, das quais se destacam as comunicações relativas a acidentes mortais ou a lesões físicas graves.
  4. Obrigações relativas ao envio de informações à Autoridade Tributária e Aduaneira, como é o caso das declarações de rendimentos para efeitos de descontos.
  5. Obrigações relativas a comunicações a autoridades judiciárias, nomeadamente, o envio de informação a Tribunais, ou a outras entidades, tais como solicitadores e agentes de execução (v.g. envio de informação relativa ao vencimento dos colaboradores).
  6. Obrigações de informação ao Instituto Nacional de Estatística, I.P., para efeitos de estatística oficial sobre acidentes de trabalho.
  7. Obrigações emergentes no âmbito da gestão da informação dos Serviços de Segurança, Higiene e Saúde no trabalho, como é o caso dos exames médicos de trabalho realizados e respetivas fichas de aptidão dos trabalhadores.
  8. Obrigações relacionadas com o envio de dados dos colaboradores para Seguradoras – tais como recibos de vencimento e dados de identificação dos colaboradores (participações e comunicações ao seguro para efeitos de ativação e execução do seguro) para efeitos relacionados com o seguro de acidentes de trabalho.

As operações que tenham por base o cumprimento de obrigações legais não prejudicam o dever da RESÍDUOS DO NORDESTE no que diz respeito à limitação do tratamento de dados ao mínimo necessário e às garantias de segurança destes dados.

NO ÂMBITO DA GESTÃO DOS SERVIÇOS DE SEGURANÇA, HIGIENE E SAÚDE NO TRABALHO

Assumindo a qualidade de entidade empregadora, a RESÍDUOS DO NORDESTE é obrigada a organizar as suas atividades de Segurança, Higiene e Saúde no Trabalho, por forma a prevenir riscos profissionais e a promover a saúde dos colaboradores. Para tal, e em cumprimento das obrigações legais relacionadas com a organização das atividades de Segurança, Higiene e Saúde no Trabalho, a RESÍDUOS DO NORDESTE contrata uma empresa externa que presta esse serviço, e nesse âmbito, trata dados pessoais dos seus colaboradores – entre os quais se encontram dados sensíveis (mormente dados de saúde).

Os dados pessoais tratados em sede de Higiene, Segurança e Saúde no Trabalho – como a realização de relatórios com vista a identificar o risco de doença profissional –, serão tratados por técnicos de segurança devidamente qualificados pelo título profissional legalmente exigido, e aptos para assegurar as condições de segurança necessárias. Já a informação de saúde, respetiva responsabilidade técnica, e efetivo tratamento, estarão adstritos aos médicos, médicos assistentes e enfermeiros do trabalho.

Todos estes profissionais cooperarão entre si no exercício das suas funções, em total respeito pelas obrigações de sigilo e de confidencialidade a que estão legal e profissionalmente vinculados.

Face à sensibilidade inerente aos dados de saúde dos colaboradores – como o é a informação relativa aos seus resultados médicos, à ocorrência de baixas por doença e/ou sinistro –, e bem ainda, aos dados relativos a hábitos pessoais – como a tendência para o tabagismo –, a RESÍDUOS DO NORDESTE compromete-se a:

  1. Assegurar medidas de não discriminação;
  2. Controlar os hábitos pessoais apenas no estritamente necessário, quando estas informações se possam relacionar com certas sintomatologias e outros dados de saúde;
  3. Garantir medidas de segurança da informação. Tal inclui a própria conservação dos documentos de forma segura e pelo período legalmente definido, a adoção de medidas internas quanto à circulação e acesso dessa informação, e a separação física e lógica destes dados pessoais, dos demais que circulem na sua estrutura.

Desde logo, em relação à informação de saúde, a RESÍDUOS DO NORDESTE apenas terá acesso à Ficha de Aptidão do colaborador e a outras indicações médicas sobre a condição dos titulares de dados que sejam necessárias ao exercício das suas funções e que não estejam abrangidas pelo sigilo profissional.

Em termos organizacionais, cada colaborador será associado a uma “Ficha Clínica Individual” onde consta todo o registo relativo a informação de saúde que lhe diga respeito. Esta integrará a “informação médica” inscrita pelo profissional de saúde responsável por assistir o colaborador no âmbito da Medicina no Trabalho, designadamente, os resultados dos exames médicos realizados.

O acesso à informação de saúde por parte do colaborador será sempre feito por intermediário do profissional de saúde que o assiste, sem prejuízo de o médico responsável dever entregar-lhe cópia da sua ficha clínica quando deixe de prestar serviço na empresa.

Os registos e arquivos relativos aos serviços de segurança e de saúde no trabalho devem ser mantidos, pelo menos durante 40 anos, a contar do final da exposição aos perigos inerentes ao seu posto de trabalho. Não obstante a circulação desta informação por tais profissionais estar limitada à comunicação dos dados de saúde dos colaboradores às autoridades de saúde e aos médicos da Autoridade para as Condições de Trabalho. Esta informação sempre circulará de forma a impedir a sua visualização e acesso por pessoa não autorizada, e, preferencialmente, diretamente entre profissionais de saúde obrigados ao sigilo profissional.

NAS RELAÇÕES COM SEGURADORAS

Em cumprimento das suas obrigações legais em matéria de transferência de responsabilidade, a RESÍDUOS DO NORDESTE relaciona-se com Seguradoras que cobrem acidentes de trabalho sobre os seus colaboradores.

Para tal, a RESÍDUOS DO NORDESTE comunica às Seguradoras contratadas a informação relativa à atividade profissional do colaborador, como o salário e outras remunerações regulares (ex: subsídio de refeição) – e os sinistros ocorridos, através do preenchimento da participação do

seguro. Pode, também, comunicar informação não detalhada dos cuidados prestados aos colaboradores se for estritamente necessário à faturação e cobrança de valores, dentro da gestão desses serviços de saúde.

A informação de saúde do colaborador apenas será comunicada a profissional de saúde obrigado ao sigilo indicado pela seguradora.

NO SEGUIMENTO DA BOA GESTÃO DOS RECURSOS HUMANOS E DA RELAÇÃO CONTRATUAL

No que diz respeito à gestão dos postos de trabalho e da estrutura humana da empresa, a RESÍDUOS DO NORDESTE adota várias medidas administrativas que envolvem o tratamento de dados pessoais de colaboradores, tais como:

  1. Troca de correspondência com os colaboradores, por e-mail;
  2. Implementação de programas de gestão empresarial (ERP’s) organizados por módulos, de pastas partilhadas em rede, de programas de gestão documental e outras plataformas, todos associados a políticas de acesso.
  3. Envio de comunicações internas, por exemplo através de circulares;
  4. Conservação e destruição de Curricula Vitae;
  5. Elaboração de contratos de trabalho;
  6. Implementação de procedimentos seguros para recolha de informação pessoal do colaborador, nomeadamente, a criação de depósitos de para justificação de faltas;
  7. Comunicação de elementos de identificação do colaborador aos serviços que lhe prestem cuidados de saúde em caso de acidente, no caso de este estar incapacitado de o fazer por si;
  8. Comunicação de informação identificativa e relativa à atividade profissional do colaborador para efeitos de processamento salarial a entidades suas parceiras.

Estão em causa – no mais –, dados essencialmente de foro identificativo do colaborador (nome, número de colaborador, categoria profissional e eventuais contactos).

O colaborador será informado desta POLÍTICA e das operações de tratamento que a RESÍDUOS DO NORDESTE realiza sobre os seus dados pessoais.

A conservação destes dados será feita pelo período em que durar a relação contratual, salvo se as disposições legais aplicáveis a cada momento estabelecerem outros prazos de conservação,

o colaborador nisso expressamente consentir, ou se existirem interesses superiores devidamente identificados e definidos em conformidade com esta POLÍTICA.

PRAZOS LEGAIS DE CONSERVAÇÃO DE DADOS PESSOAIS EM CONTEXTO LABORAL

Considera-se enquanto prazo de conservação, aquele que estiver fixado por norma legal ou regulamentar, ou, caso tal não se verifique, o que se considerar necessário para a prossecução das finalidades do tratamento. Aplicam-se os seguintes prazos legais de conservação de dados pessoais em contexto laboral:

  1. Dados obtidos durante o recrutamento: 5 anos. No entanto, se o colaborador for contratado, os dados deverão ser conservados durante a relação laboral. Caso não seja, os dados serão de imediato eliminados integral e eficazmente, sem prejuízo de eventual consentimento para manutenção dos mesmos pelo período consentido caso a caso.
  2. Contratos de trabalho: até 12 anos após o fim dos mesmos.
  3. Documentos de inscrição e cessação junto da Segurança Social, Fundo de Garantia Salarial, Autoridade para as Condições do Trabalho: até 12 anos após o fim do contrato de trabalho.
  4. Elementos contabilísticos, como os recibos de vencimento ou o relatório único: até 12 anos após o fim do contrato de trabalho.
  5. Elementos obrigatórios para a Segurança, Higiene e Saúde no trabalho – o prazo de conservação está definido em 40 anos, mas existe a obrigação de transferir todos estes dados para os Ministérios competentes se, antes de decorridos 40 anos, a entidade empregadora (RESÍDUOS DO NORDESTE) for extinta.
  6. Elementos de formação profissional: obrigação legal de conservação da formação dos últimos 3 anos e sempre até 1 ano após o fim do contrato de trabalho.
  7. Registos laborais obrigatórios (como o registo de horário e de férias e o mapa de horário de trabalho): em princípio, o período de conservação será de até 1 ano após o fim do contrato de trabalho, mas poderão ser guardados até 12 anos, sendo necessária uma avaliação da situação em cada caso.
  8. Documentos sobre seguros: no mínimo 5 anos, dependendo da apólice de seguro que pode fazer variar este prazo, podendo atingir o prazo de 1 ano após o fim do contrato de trabalho.

B. DADOS PESSOAIS DE PRESTADORES DE SERVIÇOS

No exercício de atividade que prossegue, a RESÍDUOS DO NORDESTE pode contratar prestadores de serviços em nome individual, pelo que recolhe e trata os respetivos dados pessoais em vários e distintos momentos – nomeadamente, no âmbito de diligências pré contratuais. Durante estes momentos negociais e de contratação, pode ser recolhida informação pessoal – mormente dados pessoais identificativos como o nome e contactos, e dados profissionais como, Curriculum vitae, referências e experiência profissional –, que será tratada pela RESÍDUOS DO NORDESTE, sendo garantida a confidencialidade no seu tratamento, nos termos desta POLÍTICA.

SÃO PRAZOS LEGAIS DE CONSERVAÇÃO DE DADOS PESSOAIS EM CONTEXTO DE CONTRATAÇÃO DE PRESTADORES DE SERVIÇOS

  1. Dados obtidos através de Curriculum Vitae ou semelhantes: durante a vigência da relação contratual.
  2. Contratos de prestação de serviços: até 12 anos após a cessão dos mesmos.
  3. Elementos contabilísticos (i.e. recibos verdes, declaração de rendimentos, entre outros): até 12 anos após a cessão do contrato de prestação de serviços.

C. DADOS PESSOAIS DE CLIENTES

No exercício das atividades que prossegue, a RESÍDUOS DO NORDESTE poderá recolher dados pessoais de clientes, mormente, para efeitos de CONTRATAÇÃO DOS SEUS SERVIÇOS (OU DILIGÊNCIAS PRÉ CONTRATUAIS)

Em sede negocial, a RESÍDUOS DO NORDESTE poderá recolher dados pessoais de clientes particulares que pretendam contratar os seus serviços, nomeadamente os seus dados identificativos – nome, morada e dados fiscais. Poderão ainda ser recolhidos endereços de contacto (telefónico ou eletrónico) de clientes para envio de faturação, orçamentos ou, outras diligências ou contactos pré contratuais.

Os dados fornecidos neste âmbito serão usados em diligências pré-contratuais e de execução do próprio contrato a que o cliente se submeteu, mais concretamente, para:

  1. Prestar    apoio    pós    prestação    de    serviços,   nomeadamente    gerindo    eventuais reclamações.
  2. Responder a pedidos de informação.
  3. Prestar serviços associados.

A RESÍDUOS DO NORDESTE respeitará as obrigações de informação, registo e documentação associadas a operações de tratamento de dados pessoais cuja base é um contrato, e demais resultantes desta POLÍTICA.

SÃO PRAZOS DE CONSERVAÇÃO EM SEDE DE SERVIÇOS PRESTADOS A CLIENTES

  1. Prazo de conservação dos livros, registos contabilísticos e respetivos documentos de suporte: 12 anos.
  2. Prazo de prescrição geral, nomeadamente para o caso de o cliente se entender lesado contratualmente: 20 anos.
  3. Prazo de prescrição de procedimento criminal: 15 anos.

D. DADOS PESSOAIS DE UTILIZADORES:

UTILIZAÇÃO DO WEBSITE

A RESÍDUOS DO NORDESTE detém um website sob o domínio “http://www.residuosdonordeste.pt/” – que possibilita ao utilizador conhecer a entidade e os serviços por ela promovidos.

Neste website estão disponíveis ao utilizador alguns contactos – morada, número de telefone, de e endereço de e-mail –, através dos quais poderá encetar comunicações com a RESÍDUOS DO NORDESTE. Poderá também fazê-lo através do preenchimento do formulário de contacto disponível no website, o qual implica o envio de dados pessoais à RESÍDUOS DO NORDESTE.

Como em qualquer outro website, a RESÍDUOS DO NORDESTE recorre ao uso de tecnologias suscetíveis de tratarem dados pessoais dos seus utilizadores – como é o caso dos testemunhos de conexão (“cookies”), mas não só.

A recolha de todos estes dados pessoais e mais alguns no âmbito da utilização de um website, não será feita sem mais. A RESÍDUOS DO NORDESTE informará os seus utilizadores, na qualidade de titulares de dados pessoais, desta POLÍTICA e de outras, específicas do website – dedicadas a regulamentar o tratamento que é feito sobre os mesmos. Estas informações serão

facilmente acessíveis e prestadas de forma clara e transparente, associadas a um pedido de consentimento para o tratamento que se pretenda fazer dos dados a recolher, sempre que tal seja necessário.

COMUNICAÇÕES VOLUNTÁRIAS DE TITULARES DE DADOS PESSOAIS

No seu website a RESÍDUOS DO NORDESTE fornece contactos que estão publicamente disponíveis aos utilizadores dos mesmos. Estes contactos estarão devidamente identificados e limitados à medida do necessário, uma vez que poderão ser utilizados para a solicitação de informações, esclarecimentos e sugestões relativamente aos serviços prestados, bem como para realização de reclamações e outras comunicações semelhantes.

SÃO PRAZOS DE CONSERVAÇÃO EM FUNÇÃO DE DADOS RECOLHIDOS ATRAVÉS DO WEBSITE

  1. Prazo previsto na “Política de cookies” relativamente à data de expiração dos dados armazenados por estas tecnologias.
  2. Prazo em relação ao qual as comunicações trocadas entre as partes durarem.

IV. PARCEIROS E PRESTADORES DE SERVIÇOS

No âmbito de uma prestação de serviços, a RESÍDUOS DO NORDESTE poderá cooperar com outras entidades que tratem dados pessoais por sua conta (“subcontratantes”), ou que estejam autorizadas a ter contacto com os mesmos, ou até que com eles lidem de forma puramente incidental (“terceiros”).

Tanto poderá estar em causa a prestação de um serviço de limpeza das suas instalações cujo objeto do contrato não é a realização de operações de tratamento de dados pessoais, como poderá estar em causa a subcontratação de Prestadores de Serviços que, no âmbito de execução de um contrato, terão de aceder e tratar dados recolhidos e inicialmente tratados pela RESÍDUOS DO NORDESTE.

Quando estejamos perante a subcontratação de Prestadores de Serviços cujo objeto do contrato passe pela realização de operações de tratamento de dados pessoais, a RESÍDUOS DO NORDESTE poderá transferir os dados pessoais que trata para essas pessoas ou entidades, que poderão ser: instituições financeiras, seguradoras, serviços de assessoria técnica ou de auditoria, entidades de deteção e prevenção de fraude ou de prestação de serviços de segurança, medicina no trabalho ou empresas de formação profissional (entre outros).

Os Parceiros e Prestadores de Serviços que com a RESÍDUOS DO NORDESTE se relacionem celebrarão com esta, acordos de regulação de responsabilidades em matéria de proteção de dados pessoais. Tais acordos deverão ser reduzidos a escrito, devendo ainda fazer menção ao objeto do contrato, com especial incidência sobre a concreta operação de tratamento de dados a realizar, respetiva duração, finalidade do tratamento, tipo de dados pessoais tratados e categorias de titulares de dados pessoais envolvidos.

O titular dos dados poderá, a qualquer momento, solicitar informações acerca dos termos em que os seus dados são tratados pelos Parceiros e Prestadores de Serviços da RESÍDUOS DO NORDESTE.

A RESÍDUOS DO NORDESTE apenas aceitará relacionar-se com entidades que assegurem o cumprimento das suas obrigações nos termos desta POLÍTICA, (sem prejuízo de outras que as partes entendam ser mais vantajosas para o titular dos dados pessoais), a saber:

  1. Não podem subcontratar uma outra entidade para tratar os dados objeto do acordo existente com a RESÍDUOS DO NORDESTE, sem o seu consentimento anterior e expresso, fornecido por escrito. E, quando o façam, devem garantir que o subcontratante ulterior cumpre as demais obrigações do RGPD em iguais termos.
  2. Não podem transferir os dados pessoais dos titulares para pessoas ou entidades fora da União Europeia, exceto quando tal for necessário por exigência legal ou perante a existência de interesse público prevalecente, devendo informar a RESÍDUOS DO NORDESTE.
  3. Devem guardar sigilo sobre todas as informações a que tenham acesso na execução do acordo.
  4. Devem possuir e manter as medidas técnicas e organizativas adequadas e suficientes para que as operações de tratamento dos dados pessoais levadas a cabo cumpram os requisitos previstos no RGPD, nomeadamente, no que respeita à defesa dos direitos dos respetivos titulares e à segurança do referido tratamento, de forma a não colocar em risco os dados pessoais tratados.
  5. Devem apagar ou devolver à RESÍDUOS DO NORDESTE os dados pessoais a que tenham acesso, aquando do término do acordo ente si celebrado, apagando todas as cópias existentes, a menos que exista uma obrigação legal ou um interesse público prioritário, devendo informar a RESÍDUOS DO NORDESTE quando tal se verifique.
  6. Devem disponibilizar à RESÍDUOS DO NORDESTE todas as informações necessárias para que esta cumpra as obrigações a que esteja sujeita ao abrigo do RGPD, facilitando e contribuindo para as auditorias, inspeções e demais fiscalizações.
  7. Devem conservar registos escritos das operações de tratamento de dados pessoais realizadas em nome da RESÍDUOS DO NORDESTE nos termos do RGPD, disponibilizando os registos das mesmas à CNPD.
  8. Não podem tratar dados pessoais para qualquer outra finalidade que não seja afim daquela que é objeto da prestação dos serviços, muito menos para prosseguir os próprios interesses.
  9. Devem disponibilizar a formação necessária em proteção de dados pessoais, ao pessoal autorizado a tratar dados pessoais.
  10. Quando necessário, devem designar um Encarregado de Proteção de Dados e divulgar os respetivos contactos à RESÍDUOS DO NORDESTE.
  11. Devem informar a RESÍDUOS DO NORDESTE quando considerarem que as suas instruções se mostram contrárias ao RGPD, ao direito da União Europeia ou dos Estados-Membros.

Sempre que a RESÍDUOS DO NORDESTE figure na qualidade de Parceiro ou Prestador de Serviço num acordo celebrado com outra entidade, atuará segundo as orientações e instruções fornecidas por esse Responsável pelo Tratamento de dados e nos termos da presente POLÍTICA.

V. PRINCÍPIOS QUE VINCULAM O TRATAMENTO DE DADOS PESSOAIS

A RESÍDUOS DO NORDESTE compreende que a salvaguarda da dignidade, liberdade e autonomia dos titulares dos dados que trata depende do respeito de um conjunto de princípios basilares, nomeadamente:

PRINCÍPIO DA LICITUDE

Apenas serão tratados dados pessoais quando para tal exista um fundamento legítimo previsto por lei, em total salvaguarda dos direitos dos respetivos titulares.

PRINCÍPIO DA TRANSPARÊNCIA

Todas as comunicações e informações relacionadas com as operações de tratamento de dados pessoais serão de fácil acesso e formuladas em linguagem clara e precisa. A RESÍDUOS DO NORDESTE privilegia a recolha de dados pessoais junto do titular dos dados, atuando na medida do possível para salvaguardar que o mesmo se encontra devidamente informado sobre as operações de tratamento conduzidas sobre os seus dados pessoais.

PRINCÍPIO DA LIMITAÇÃO DAS FINALIDADES

Apenas serão tratados dados pessoais na medida em que os fins do tratamento não possam ser atingidos por outros meios.

PRINCÍPIO DA MINIMIZAÇÃO DOS DADOS E DA LIMITAÇÃO DO SEU TRATAMENTO

Apenas serão usados os dados pessoais adequados, pertinentes e limitados ao necessário, de acordo com os fins objeto do seu tratamento, assim como apenas serão conservados pelo período mínimo para o efeito. A RESÍDUOS DO NORDESTE garante estabelecer prazos de conservação de dados para cada operação de tratamento que lhes diga respeito, findo os quais apagará os mesmos, mais se comprometendo a rever, regular e periodicamente, a licitude dos dados tratados. Sempre que possível, os dados pessoais usados deverão ser anonimizados.

PRINCÍPIO DA EXATIDÃO, DA INTEGRIDADE E DA LEALDADE DOS DADOS

Por forma a evitar que os dados pessoais tratados sejam indevidamente manuseados, a RESÍDUOS DO NORDESTE adotará medidas capazes de manter estes dados corretos, atualizados e íntegros, nomeadamente contra a sua perda, destruição ou danificação sob pena de serem apagados.

PRINCÍPIO DA CONFIDENCIALIDADE

Os dados pessoais serão tratados de uma forma que garanta a devida segurança e confidencialidade.

VI. DIREITOS DOS TITULARES DOS DADOS PESSOAIS 

A privacidade da pessoa é um direito fundamental cada vez mais privilegiado.

A. DIREITOS DOS TITULARES DOS DADOS PESSOAIS

DIREITO DE ACESSO

O titular dos dados pessoais pode solicitar à RESÍDUOS DO NORDESTE o acesso aos dados por si facultados, assim como pode procurar obter junto daquela, as informações que estejam relacionadas com o seu tratamento – sobre quem realmente trata os seus dados pessoais, quais os prazos de tratamento associados, as categorias de dados em que se inserem, e até os direitos de que dispõe sobre os mesmos. Contudo, este direito de informação e/ou de acesso poderá ser recusado, quando se verifique a um dever de segredo legalmente imposto à RESÍDUOS DO NORDESTE, oponível ao próprio titular dos dados. Nestes casos, sempre poderá o titular de dados solicitar parecer à CNPD quando à oponibilidade do dever de segredo

DIREITO DE RETIFICAÇÃO

O titular dos dados pessoais pode e deve retificar os mesmos, não sendo a RESÍDUOS DO NORDESTE responsável pelos danos que resultem da negligencia e do descuido do titular na retificação dos seus dados sempre que as medidas de segurança pertinentes e adequadas tenham sido tomadas.

DIREITO À LIMITAÇÃO E AO APAGAMENTO (DIREITO A SER ESQUECIDO)

Quando o titular dos dados pessoais entender que as políticas de privacidade apresentadas não são suficientes e quiser “ser esquecido” pelas bases de dados da RESÍDUOS DO NORDESTE, pode requerer a limitação de tratamento relativamente a todos ou alguns dos dados pessoais tratados e, em última instância, o apagamento dos mesmos quando:

  1. Verifique que os dados mantidos não estão exatos.
  2. Considere ou não que os dados são desnecessários às finalidades para as quais foram recolhidos.
  3. Em caso de ter exercido o seu direito de oposição.
  4. Se os dados forem tratados ilicitamente.
  5. Para cumprimento de uma obrigação legal.
  6. Quando o consentimento para o tratamento foi dado por um menor.

No entanto, sempre que exista um prazo de conservação dos dados em crise, imposto por lei, este direito só poderá ser exercido no final de tal prazo.

DIREITO DE PORTABILIDADE

O titular pode requerer portabilidade dos seus dados pessoais mediante pedido dirigido à RESÍDUOS DO NORDESTE, sendo que, desde que tal seja tecnicamente possível, em formato estruturado, de uso corrente e de leitura automática, esta deverá transferir os dados solicitados nos termos do solicitado. Este direito cinge-se apenas aos dados que tenham sido fornecidos pelos respetivos titulares dos dados.

DIREITO DE OPOSIÇÃO

Sempre que os dados pessoais tratados sejam utilizados para salvaguardar interesses legítimos próprios da RESÍDUOS DO NORDESTE, de eventuais parceiros com quem se relacione, ou de interesses públicos identificados, e o titular de dados pessoais entenda que a forma como os seus dados pessoais são tratados não é a mais indicada à sua situação particular ou que não serve as finalidades para as quais foram facultados, tem o direito de opor-se a tal tratamento.

LIMITAÇÕES AOS DIREITOS DO TITULAR

O exercício de qualquer direito por parte do titular dos dados tratados pela RESÍDUOS DO NORDESTE será por esta assistido no prazo de 30 dias, a menos que se sobreponha razão de interesse público, de interesse legítimo superior próprio da RESÍDUOS DO NORDESTE ou de terceiros, obrigação legal ou contratual, ou ainda se o pedido for manifestamente infundado. Tais factos impeditivos poderão, inclusive, justificar que os dados facultados sejam conservados para além do período inicialmente previsto.

Sempre que assistirem os titulares dos dados no exercício dos seus direitos, a RESÍDUOS DO NORDESTE poderá pedir informações adicionais com vista a comprovar titularidade dos dados e natureza do pedido.

B. TUTELA DOS DIREITOS DO TITULAR

A presente POLÍTICA visa propósitos essencialmente informativos e de transparência, não invalidando que o titular de dados pessoais que se sinta prejudicado nos seus direitos se socorra dos meios adequados à sua tutela.

O titular pode apresentar reclamações à CNPD ou recorrer às vias judiciais ou ainda, tentar a resolução da sua situação diretamente junto da RESÍDUOS DO NORDESTE, ou do respetivo Encarregado de Proteção de Dados.

Para efeitos de processamento de reclamações, os dados facultados serão tratados em função da duração da comunicação estabelecida e do tempo necessário à resolução do conflito apresentado.

C. OBRIGAÇÃO DE INFORMAÇÃO

Além de outros deveres de informação plasmados nesta POLÍTICA, os titulares de dados pessoais tratados pela RESÍDUOS DO NORDESTE, serão informados sobre:

  1. A identidade e os contactos da RESÍDUOS DO NORDESTE;
  2. Os contactos do Encarregado de Proteção de Dados;
  3. As finalidades do tratamento a que os dados pessoais se destinam ou o fundamento jurídico para o tratamento;
  4. Os destinatários ou categorias de destinatários dos dados pessoais;
  5. A transferência dos dados pessoais para um país terceiro ou uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão Europeia;
  6. A existência de interesses legítimos da RESÍDUOS DO NORDESTE ou de entidade terceira, subjacentes ao tratamento de dados;
  7. O prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;
  8. Os seus direitos e forma de exercício dos mesmos;
  9. A existência de decisões automatizadas, incluindo a definição de perfis e das consequências que daí advém.

VII. TRANSFERÊNCIA DE DADOS PESSOAIS

COOPERAÇÃO DE PARCEIROS

A RESÍDUOS DO NORDESTE poderá cooperar com parceiros ou prestadores de serviços suscetíveis de tratarem dados pessoais por sua conta (subcontratantes) ou de lidarem com eles de forma puramente incidental (terceiros).

Em todo o caso, a RESÍDUOS DO NORDESTE adotará as medidas adequadas a garantir que os seus parceiros cumprem todas as suas obrigações relativas à proteção dos dados pessoais objeto das operações de tratamento que conduzem, e em última linha, responsabilizar-se-á pela sua realização, nos termos desta POLÍTICA. 

Para este efeito, todos os parceiros devem concordar em manter um nível de proteção de dados pessoais, equivalente ao plasmado nesta POLÍTICA.

Sempre que os direitos, liberdades e interesses fundamentais dos titulares dos dados pessoais não consigam ser adequadamente salvaguardados – nomeadamente por não existirem garantias pertinentes e suficientes à proteção dos seus dados – tal transferência depende de consentimento expresso.

Sem prejuízo, poderá haver transferência de dados – para países fora da União Europeia ou organizações internacionais –, por razões relacionadas:

  1. Com exigências legais sempre que estejam previstas decisões de adequação que o permitam, ou, outras regras que vinculem a RESÍDUOS DO NORDESTE.
  2. Com a proteção dos titulares dos dados, por exemplo, para evitar spam ou tentativas de defraudar os utilizadores dos nossos produtos, ou para ajudar a evitar lesões graves ou a perda de vidas;
  3.  Com a operabilidade e manutenção da segurança dos serviços da empresa, incluindo evitar ou impedir um ataque nos nossos sistemas informáticos ou redes de utilizados;
  4. Com a proteção dos direitos próprios das empresas, incluindo a aplicação dos termos que regem a utilização dos serviços – sendo que, nestas situações, vida privada do titular não pode ser investigada por conta própria da empresa ofendida, mas esta poderá denunciar a questão às autoridades competentes;
  5. Com exigências contratuais promovidas pelo próprio titular.

As transferências para países fora da União Europeia ou organizações internacionais que sejam realizadas no cumprimento de obrigações legais, por entidades públicas no exercício de poderes de autoridade, são consideradas de interesse público.

A RESÍDUOS DO NORDESTE sempre assegurará a segurança dos dados pessoais que lhe forem transferidos e aos quais tenha acesso e trate em conformidade com esta POLÍTICA.

VIII. CONFIDENCIALIDADE DO TRATAMENTO

As operações de tratamento de dados pessoais conduzidas – quer diretamente pela RESÍDUOS DO NORDESTE, quer indiretamente por subcontratantes –, são abrangidas por um dever de confidencialidade transversal aos respetivos colaboradores.

Nesta senda, os colaboradores e demais profissionais estão proibidos de aceder a dados pessoais cujo acesso não lhe seja autorizado (no âmbito das suas funções), e, bem assim, de dispor dos mesmos em violação dos termos contratuais aos quais se encontrem vinculados. Serão estes informados, deste dever de confidencialidade que os vincula por força dos contratos celebrados com a RESÍDUOS DO NORDESTE, mesmo após término das suas funções, e sempre não obstante diferente solução resultar de legislação europeia.

A RESÍDUOS DO NORDESTE estabelecerá políticas de acesso a dados pessoais em razão das necessidades decorrentes das funções inerentes aos vários postos de trabalhos da sua estrutura, e será respeitado o princípio da “necessidade de informação”, impedindo, na medida do possível, a apropriação indevida de dados pessoais objeto das operações de tratamento conduzidas.

PROFISSIONAL OBRIGADO AO SIGILO

Os dados sensíveis recolhidos dos colaboradores da RESÍDUOS DO NORDESTE em sede de medicina preventiva ou do trabalho para efeitos de avaliação da capacidade de trabalho do empregado, diagnóstico médico, prestação de cuidados de saúde ou de ação social, só serão usados por ou sob responsabilidade de um profissional sujeito à obrigação de sigilo profissional imposta pelas normas deontológicas da profissão.

O mesmo acontece com os dados dos titulares de dados, sejam colaboradores, prestadores de serviços ou clientes (incluindo dados contabilísticos, bancários ou de identificação), os quais serão tratados por Contabilista Certificado, Advogado ou Solicitador, igualmente sujeitos à obrigação de sigilo profissional por força dos respetivos Estatutos ou Códigos Deontológicos que regem as respetivas Ordens Profissionais.

IX. AVALIAÇÃO DE IMPACTO PARA A PROTEÇÃO DE DADOS (“AIPD”)

O RGPD estipula que o Responsável pelo Tratamento de Dados tem o ónus de implementar medidas e procedimentos eficazes na proteção dos direitos e liberdades das pessoas singulares, de forma a mitigar elevados riscos que sobre estes recaiam aquando do tratamento de dados pessoais que leva a cabo.

Sempre que o tratamento de dados pessoais que a RESÍDUOS DO NORDESTE realize, suscite dúvidas quanto a saber se implica ou não um elevado risco para os direitos e liberdades das pessoas singulares, deverão realizar uma Avaliação de Impacto “a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco” – em conformidade com o considerando (90) do RGPD.

Esta obrigação é, aliás, extensível aos subcontratantes com quem se relacione.

A AIPD consiste num processo destinado a descrever o tratamento de dados realizado por um Responsável pelo Tratamento, a aferir da necessidade e proporcionalidade desse mesmo tratamento, permitindo assim conhecer quais os riscos que desse mesmo tratamento possam advir, e bem ainda, quais as consequências para os titulares dos dados. Através desta avaliação, torna-se possível determinar, consoante os riscos verificados, as medidas necessárias para as mitigar e garantir o compliance com o RGPD. Considera-se assim que, a AIPD consiste num processo destinado a estabelecer e demonstrar a conformidade das operações de tratamento de dados com o RGPD, podendo ser realizada para este efeito, ainda que não seja obrigatória no caso concreto.

A AIPD é obrigatória nos termos legais se/quando a RESÍDUOS DO NORDESTE:

  1. Trate dados pessoais com vista à tomada de decisões baseadas em tratamento automatizado de dados, concretamente, na sequência de qualquer avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares baseada na definição dos perfis desses dados ou na sequência do tratamento de categorias especiais de dados pessoais.
  2. Realize operações de tratamento de dados em grande escala, que impliquem elevado risco para o exercício dos direitos dos seus titulares, nomeadamente, em razão da sensibilidade destes dados.
  3. Introduza um sistema de controlo sistemático de zonas acessíveis ao público em grande escala.
  4. Introduza novas tecnologias nas operações de tratamento de dados.
  5. Proceda ao estabelecimento de interconexões de dados pessoais ou realize uma operação de tratamento de dados previstos no n.º 1 do artigo 9.º ou no artigo 10.º do RGPD ou dados de natureza altamente pessoal.
  6. Realize um tratamento que permita rastrear a localização ou os comportamentos dos respetivos titulares (por exemplo, trabalhadores, clientes ou apenas transeuntes), que tenha como efeito a avaliação ou classificação destes, exceto quando tal seja indispensável para a prestação de serviços requeridos especificamente pelos mesmos.
  7. Utilize uma nova tecnologia de forma massiva e para controlo de dados em grande escala.

A RESÍDUOS DO NORDESTE deverá servir-se destas avaliações para demonstrar o bom cumprimento do seu dever de proteção de dados pessoais, obrigando-se a solicitar a opinião dos titulares dos dados pessoais ou o parecer da CNPD sempre que necessário.

Para o efeito deverá guiar-se por procedimentos transparentes e eficazes, capazes de:

  1. Efetuar uma descrição sistemática das operações de tratamento e quais as finalidades subjacentes.
  2. Avaliar a necessidade e proporcionalidade das operações de processamento.
  3. Identificar, gerir e avaliar os riscos que advêm para os direitos e liberdades dos titulares dos dados pessoais.
  4. Identificar os mecanismos de segurança e controlo existentes.
  5. Desenvolver medidas de mitigação de riscos.
  6. Identificar a periodicidade da realização de Avaliação de Impacto.
  7. Verificar se a CNPD deve ser previamente consultada. Isto acontece quando da avaliação de impacto resulte na verificação da falta de garantias e de medidas e procedimentos de segurança para atenuar os elevados riscos que o tratamento implica para os direitos e liberdades das pessoas singulares, e o Responsável pelo Tratamento considere que o risco não poderá ser atenuado através de medidas razoáveis, atendendo à tecnologia disponível e aos custos de aplicação.
  8. Determinar quando será necessária a assistência de um subcontratante para assegurar o cumprimento das obrigações decorrentes da realização de avaliações do impacto.

X. VIOLAÇÃO DE DADOS PESSOAIS 

A. OBRIGAÇÃO DE REPORTAR INCIDENTES 

Sempre que se verifique qualquer tipo de incidente que represente uma violação dos dados pessoais tratados (“Data Breach”), a RESÍDUOS DO NORDESTE deverá ser avisada, quando tenham sido os seus colaboradores, prestadores de serviços ou parceiros com quem se relacione, a aperceber-se da respetiva ocorrência.

Os titulares dos dados violados serão informados – sem demora injustificada –, quando o incidente represente elevado risco para os seus direitos, liberdades e interesses fundamentais, mediante comunicação escrita em linguagem clara e de fácil compreensão que informe:

  1. Dos contactos da pessoa responsável dentro da empresa, para que possam ser solicitadas mais informações;
  2. Das consequências prováveis da violação ocorrida;
  3. Da capacidade da empresa para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento de dados;
  4. Da capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada, no caso de um incidente físico ou técnico;
  5. Do processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.

Esta obrigação não é aplicável se as medidas técnicas e organizativas existentes ou adotadas forem suficientes e adequadas à tutela dos titulares dos dados pessoais ou se implicar um esforço desproporcionado, casos em que é feita uma comunicação pública para o efeito.

B. COOPERAÇÃO E COMUNICAÇÃO COM A AUTORIDADE DE CONTROLO 

Sempre que algum incidente de violação de dados pessoais cause um risco para os direitos, liberdades e interesses fundamentais dos seus titulares, a RESÍDUOS DO NORDESTE informará a CNPD da ocorrência, com a maior brevidade e num prazo máximo de 72 horas, sob pena de ter de justificar a sua demora.

Eventuais subcontratantes com quem a RESÍDUOS DO NORDESTE se relacione estão obrigados a informar de ocorrências de incidentes de violação de dados pessoais logo após conhecimento de facto.

Deverão existir relatórios de reporte que documentem as violações que ocorram e que identifique as medidas de reparação adotadas face à necessidade de reparação de danos presentes e de mitigação de danos futuros; assim como mecanismos e procedimentos céleres e eficientes de comunicação.

A RESÍDUOS DO NORDESTE cooperará, a par dos subcontratantes com quem se relacione, com a CNPD, da forma mais tendencial possível, com o envio de relatórios, solicitações de pareceres e orientações, e sempre que a pedido daquela entidade.

Em Portugal, a Autoridade de Controlo é a Comissão Nacional de Proteção de Dados.

XI. SEGURANÇA E PRIVACIDADE NO TRATAMENTO DE DADOS: TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO, E OUTRAS MEDIDAS DE SEGURANÇA

A RESÍDUOS DO NORDESTE assume o compromisso de garantir a proteção e segurança dos dados pessoais que lhe são disponibilizados, através da implementação de medidas de segurança físicas e lógicas contra a sua difusão, perda, e uso indevidos, bem como contra o seu tratamento ou acesso não autorizado ou qualquer outra forma de tratamento ilícito.

Tal implica, desde logo, que os pontos de acesso a dados pessoais devam estar devidamente identificados, autenticados e restringidos mediante políticas de atribuição de direitos de acesso e privilégio, em prol da proteção de dados contra acessos não autorizados e indevidos, contra a sua perda, destruição e corrupção (independentemente de os dados serem tratados digitalmente ou não). Implica também que o fluxo de dados preveja a encriptação dos mesmos, bem como outras medidas que permitam o secretismo da informação transmitida.

Todas as operações de tratamento de dados estarão devidamente monitorizadas e registadas não só para efeitos de controlo sobre as mesmas, mas também para prova de proteção dos dados. Tal sistema de monitorização e registo deve:

  1. Identificar quais os dados tratados, quais os ativos onde os mesmos se encontram conservados e quem acede a quais dados;
  2. Identificar o responsável pelo tratamento, subcontratantes e terceiros;
  3. Identificar a finalidade do processamento;
  4. Categorizar os dados e descrever as respetivas categorias;
  5. Registar detalhes do fluxo de transferências de dados: categorias de destinatários, prova de garantias adequadas, etc.;
  6. Descrever genericamente as medidas de segurança implementadas (técnicas e organizacionais), por ex., por remissão a políticas internas, normas, etc.
  7. Atualizar a informação recolhida e assegurar a manutenção da integridade do seu conteúdo.
  8. Envolver sistemas de “backup data up to date” e de “disaster recovery testing”.

XII. ENCARREGADO DE PROTEÇÃO DE DADOS PESSOAIS

ENCARREGADO DE PROTEÇÃO DE DADOS

HEDA – ENCARREGADOS DE PROTEÇÃO DE DADOS

Rua João Ramalho, n.º 141 4200-292 Porto
(+351) 220 995 423
info@hedadpo.pt
http://www.hedadpo.pt

Tendo designado um Encarregado de Proteção de Dados em prol do bom cumprimento do RGPD, a RESÍDUOS DO NORDESTE garantirá que este desempenha as suas funções com independência dentro da organização, que não o instruirá no desempenho das mesmas, nem o destituirá ou penalizará por esse facto. Este não será responsabilizado civil ou penalmente por incumprimentos da organização onde se insere ou a quem presta funções, nem será usado como “álibi” em casos de incumprimento.

A RESÍDUOS DO NORDESTE assegurará que o Encarregado de Proteção de Dados é envolvido em todas as questões relacionadas com a proteção de dados, apoiando-o no exercício das suas funções, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, dando-lhe acesso a toda a documentação; permitindo-lhe o acesso aos dados pessoais e às operações de tratamento, bem como a outros serviços dentro da organização. Irá igualmente envolvê-lo nos seguintes aspetos:

  1. Registo ou inventário de dados pessoais.
  2. Desenvolvimento e implementação de políticas de proteção de dados e procedimentos internos de tratamento.
  3. Controlo da segurança.
  4. Redação e alteração de contratos.
  5. Notificações de privacidade.
  6. Eventuais queixas e ações judiciais.
  7. Violações de dados.

O exercício das funções de Encarregado de Proteção de Dados pressupõe obrigação de sigilo e confidencialidade de todas as informações de que tenha conhecimento no exercício da sua atividade. Tais funções consistem no seguinte:

  1. Aconselhar, monitorizar e controlar o cumprimento com as regras de proteção de dados, devendo informar e aconselhar a RESÍDUOS DO NORDESTE, seus parceiros e colaboradores a respeito das obrigações nos termos do RGPD;
  2. Promover a formação e sensibilização das entidades com quem a RESÍDUOS DO NORDESTE se relaciona para matérias de proteção de dados, especialmente os seus colaboradores;
  3. Realizar auditorias periódicas de forma a averiguar da conformidade com o RGPD;
  4. Aconselhar, controlar e emitir pareceres no âmbito das Avaliações de Impacto;
  5. Colaborar com a CNPD, devendo servir de ponto de contacto com a mesma, notifica-la das operações de controlo com mais risco para os titulares de dados e monitorizar a implementação das suas recomendações;
  6. Relacionar-se com os titulares dos dados nomeadamente no âmbito do exercício dos seus direitos.

Política de Privacidade e Tratamento de Dados em pdf.

TOP Skip to content