Política de Gestão da Privacidade de Dados Pessoais

Identificação do documento
POL.GDPR.001 – Política de Gestão da Privacidade de Dados Pessoais

Documentos Associados
POL.SGSI.002 – Política de Gestão da Segurança da Informação

Classificação do Documento
Público

Controlos de segurança aplicáveis ao documento
Norma ISO 27001:2013
Controlos A.8.2.1 – A.8.2.2 – A.8.2.3

 

Lista de Distribuição
Todos os colaboradores[1] do Grupo Pluris

[1] Por colaboradores entende-se todos aqueles que, independentemente da natureza e validade do vínculo contratual, exercem a sua atividade dentro ou fora das instalações do grupo Encontram-se também abrangidos pela presente Política, os colaboradores ou entidades que utilizem as instalações ou recursos fornecidos pelo grupo e pela via dos quais acedem à informação protegida.

1. Âmbito de aplicação

Esta política tem como objetivo apresentar os compromissos da Pluris Investments S.A. (doravante denominada por PLURIS ou Grupo[1]) em relação à gestão da privacidade e proteção de dados pessoais dos titulares cujo tratamento é da sua responsabilidade e responder às exigências do Regulamento Geral de Proteção de Dados[2] e respetiva legislação nacional de execução[3].

Pretende-se ainda demonstrar como serão tratados os dados pessoais no contexto da atividade desenvolvida pelo Grupo e seus colaboradores, através da definição de regras internas que cumpram com os requisitos exigidos pelo Regulamento, nomeadamente, da legitimidade, do tratamento e da conservação. 

Todos os dados pessoais serão tratados e geridos nos termos da presente política em conjunto com a Política da Segurança da Informação, tendo em conta um inventário realizado e atualizado desses dados pessoais.

 

[1] Por Grupo deve entender-se todas as empresas que são participadas, direta ou indiretamente, em pelo menos 10% do seu capital social pela empresa Pluris Investments, S.A.

[2] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 e subsequentes alterações,.

[3] A Lei n.º 58/2019, de 8 de Agosto (e suas subsequentes alterações) que assegura a execução na ordem jurídica nacional do Regulamento Geral de Proteção de Dados.

[2] Por Grupo deve entender-se todas as empresas que são detidas direta ou indiretamente pela empresa Pluris Investments, S.A.

[3] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE. O RGPD entrou em vigor no dia 24 de maio de 2016 e é obrigatório e automaticamente aplicável em todos os Estados-Membros desde 25 de maio de 2018.

[4] A Lei n.º 58/2019, de 8 de Agosto assegura a execução na ordem jurídica nacional do Regulamento Geral de Proteção de Dados.

2. Funções e Responsabilidades

A Administração da Pluris assegurará que a presente política está alinhada com a estratégia do Grupo, para assim garantir a sua melhoria contínua no que respeita à segurança da informação e privacidade.

O Encarregado de Proteção de Dados (EPD) tem como função assegurar a conformidade para com os requisitos do Regulamento de forma contínua e sistemática, que todos os direitos dos titulares estão a ser cumpridos e que são operacionalizados os controlos de segurança adequados para os objetivos aqui definidos.

A Administração da PLURIS designa e atribui ao Encarregado de Proteção de Dados (ou “DPO” – Data Protection Officer) as funções e responsabilidades descritas supra em relação a todas as empresas do Grupo.  

Todos os colaboradores do Grupo, e bem assim os seus subcontratantes – no que a estes seja aplicável – têm a responsabilidade de colaborar com e cumprir e fazer cumprir os compromissos desta política.

Para o caso dos navios de rio e navios de mar, há lugar ainda à definição de um “Local DPO” por navio, cuja missão consiste na  no exercício de funções de DPO local quando os navios se encontram em situação de cruzeiro, e qua atuará de acordo com as regra da presente politica.

3. Titulares de dados pessoais

Para execução das suas atividades e finalidades de tratamento associadas são recolhidos pela Pluris dados pessoais das seguintes origens:

  • Clientes corporativos por contrato
  • Clientes registados através de ferramentas Web
  • Clientes por aquisição de bilhética
  • Colaboradores internos e de prestadores de serviços contratados
  • Fornecedores e prestadores de serviços
  • Visitantes das instalações físicas ou náuticas

    4. Garantia de confidencialidade e privacidade dos dados pessoais

    Os dados pessoais identificados na presente Política serão tratados pela Pluris enquanto entidade responsável pelo tratamento de dados pessoais.

    Por forma a garantir a confidencialidade e a privacidade dos dados, o Grupo assegura que estes apenas serão acedidos por colaboradores formalmente autorizados para o desempenho das suas funções.

    As responsabilidades de cada colaborador em matérias de Segurança, Privacidade e Proteção de Dados Pessoais encontram-se detalhada nos contratos celebrados com a Pluris, incluindo, as obrigações de confidencialidade e sigilo às quais estejam adstritos.

    Identificação do responsável pelo tratamento de dados pessoais

    O responsável pelo tratamento de dados pessoais é a Pluris Investments, S.A. com sede na Rua de Miragaia 103, 4050-387, Porto, Portugal, com o número de registo de pessoa coletiva 508 767 881.
    O grupo PLURIS lidera um conjunto de empresas às quais são aplicáveis as responsabilidades e obrigações decorrentes desta Política.

    Avaliação de Impacto da proteção de dados

    Nos casos em que as operações de tratamento de dados sejam suscetíveis de resultar num risco cujo nível não seja aceite pelo grupo, a PLURIS levará a cabo, antes do início do tratamento, uma avaliação de impacto com o objetivo de os identificar e tratar.
    O resultado das avaliações realizadas é acompanhado do fundamento para a seleção dos controlos de segurança a aplicar para cada situação, de acordo com os critérios pela metodologia de gestão de risco em vigor.

    Recolha, processamento, partilha e retenção de dados pessoais

    a) Recolha de dados pessoais

    1. Para situações que não envolvam ferramentas Web

    Os dados pessoais são recolhidos diretamente, através das seguintes formas:

    • Candidaturas espontâneas ou resposta a ofertas de emprego com partilha do Curriculum Vitae
    • Preenchimento de formulários em papel
    • Captação de imagens e vídeos nas instalações fixas e a bordo de navios de mar ou rio
    • Dados biométricos
    • E-mail ou telefone
    • Na compra de bilhética, produtos de marketing ou outros materiais adquiridos em lojas físicas ou navios do Grupo, incluindo serviços de restauração

    Os dados pessoais podem ser recolhidos indiretamente, através das seguintes formas:

    • Importação do conteúdo do Curriculum Vitae para o registo de cadastro de recursos humanos.
    • Importação de dados com responsabilidade partilhada com parceiros comerciais contratados para esse objetivo
    • Pontos de venda de marketing, serviços de restauração ou afins
    • Empresas de seleção de candidatos a emprego
    • Empresas de prestação de serviços médicos
    • Empresas prestadoras de serviços de seguros de vida

    Além das formas descritas anteriormente, não poderão ser usadas outros métodos de recolha indireta de dados pessoais, salvo autorização prévia e expressa do Encarregado de Proteção de Dados.
    A recolha de dados pessoais sensíveis só será realizada para os casos estritamente necessários e justificáveis pela legislação em vigor.

    2. Para situações que envolvam ferramentas Web

    Os dados pessoais são recolhidos diretamente através de ferramentas Web oficiais da organização, nomeadamente websites de compras online, ou indiretamente através de ferramentas de marketing automation e publicidade online de parceiros subcontratantes devidamente autorizados e em total cumprimento da nossa política de gestão da privacidade de dados pessoais.
    Poderão ainda ocorrer recolhas indiretas através de parceiros subcontratantes referentes à colocação de encomendas, nomeadamente, a aquisição de bilhética para acesso exposições ou a serviços da empresa.
    A política de gestão de cookies complementa este tema, apresentando as opções de “opt-in” e “opt-out” que estão disponíveis para este componente dos websites.
    O titular de dados pessoais poderá ainda realizar o “opt-out” de serviços de publicidade online nas ferramentas sociais, designadamente, no Facebook, Google Ads, Instagram e Linkedin.
    A Pluris garante que nenhum formulário manual ou informatizado terá opções previamente preenchidas, sendo todas as alternativas selecionadas pelo titular dos dados.
    Os dados pessoais serão recolhidos com base nos fundamentos de licitude previstos na presente política e em respeito pelo princípio da minimização.

     

    b) Processamento de dados pessoais

    Além dos tipos de processamento descritos abaixo, não poderão ser usadas outros tipos de processamento de dados pessoais, salvo autorização prévia e expressa do Encarregado de Proteção de Dados.

    1. Para situações que não envolvam ferramentas Web

    Não haverá utilização de dados pessoais para efeitos de criação e utilização de perfis de vendas ou indicadores de produtos, regiões ou tendências.

    2. Para situações que envolvam ferramentas Web

    Tais atividades incluem:

    c) Partilha de dados pessoais

    1. Para situações que não envolvam ferramentas Web

    Além das finalidades de partilha descritas abaixo, não poderão ser realizadas outras, salvo autorização prévia e expressa do Encarregado de Proteção de Dados.

    Os dados pessoais podem ser partilhados a entidades subcontratadas para os efeitos acima referidos, nos termos dos contratos celebrados com as mesmas. A Pluris apenas recorre a subcontratantes que garantam a implementação de medidas técnicas e organizativas adequadas à proteção dos seus dados através de acordos de subcontratantes, assegurando assim a defesa dos seus direitos à luz da lei de proteção de dados aplicável.
    A partilha de dados classificados como sensíveis apenas será realizada com entidades legais, parceiros prestadores de serviços médicos e similares.

    Estas partilhas de dados serão, em regra, realizadas no espaço europeu.

    Existem situações especificas que exigem a partilha de dados para entidades fora do espaço europeu, nomeadamente:
    • Com as autoridades portuárias: para efeitos de segurança e controlo de imigração em navios de cruzeiro de mar, em conformidade com as disposições legais aplicáveis.
    • Com empresas do Grupo: para suporte de atividades de interesse legítimo, garantindo a minimização do tratamento de dados pessoais

     

    2. Para situações que envolvam ferramentas Web

    Existe lugar à partilha de dados com subcontratantes formalmente autorizados para efeitos de marketing digital, sendo que os dados pessoais envolvidos nestas partilhas estão sujeitos ao consentimento por parte do respetivo titular, havendo em qualquer momento lugar à possibilidade de realizar “opt-out”.

    Estas partilhas podem dar origem a transferências de dados para fora do espaço europeu, para os casos de segmentação de campanhas de marketing digital com parceiros subcontratantes intercontinentais. Nestes casos, a organização terá o cuidado de implementar controlos de segurança apropriados a cada situação de risco identificada, assim como assegurar ao titular a garantia da execução incondicional dos seus direitos e todos os requisitos do Regulamento Geral de Proteção de Dados.

    d) Conservação de dados pessoais

    O período de tempo durante o qual serão conservados os dados pessoais varia conforme a finalidade para a qual os dados são tratados, descritas na tabela infra.
    O não cumprimento dos prazos abaixo indicados será imediatamente comunicado ao Encarregado de Proteção de Dados.
    As práticas de conservação dos dados pessoais estão descritas na Política de Classificação da Informação vigente.

    Por retenção entende-se o armazenamento seguro de dados, em formato digital ou em papel, assegurando as condições de gestão de acesso para garantia de confidencialidade, da integridade e disponibilidade da informação, assim como da sua preservação nas devidas condições de utilização em função do tempo definido.

    A par da retenção dos dados, serão ser cumpridos os requisitos legais que exigem a conservação de dados pessoais durante um período mínimo. Quando tal período mínimo não existir, os dados pessoais serão conservados apenas durante o período estritamente necessário à prossecução das finalidades para as quais os dados foram recolhidos ou são posteriormente tratados ou, se e quando aplicável, pelo período determinado pela autoridade de proteção de dados competente, após o qual os dados serão definitivamente apagados.

    Direitos dos titulares

    Aos titulares de dados serão asseguradas as condições de exercer os seus direitos previstos pelo regulamento geral de proteção de dados.

    O Encarregado de Proteção de Dados nomeado pelo grupo estará envolvido em todas as questões relacionadas com a proteção de dados pessoais, devendo ser preferencialmente colocadas por escrito através do endereço de email dpo.mysticinvest@mysticinvest.com todas as questões que os titulares de dados pessoais entendam necessárias.

    Caso o titular dos dados pretenda apresentar uma reclamação ou reportar uma violação de privacidade, o titular poderá comunicar através do email complaint.mysticinvest@mysticinvest.com ou diretamente com a autoridade de controlo que selecionar.

    Em alternativa, o titular terá ao seu dispor um portal de comunicação via Web, onde poderá realizar todas as interações acima citadas e obter informação sobre o processamento de tais pedidos.

    Na sequência dos registos de reclamação ou de violação de privacidade, o Grupo compromete-se a informar o titular sobre cada passo e avanço do processo de da sua reclamação, sem prejuízo do cumprimento dos prazos definidos pelo regulamento.

    Revisão e melhoria contínua

    Esta política será revista anualmente, ou sempre que existirem alterações significativas no inventário de dados pessoais e/ou nos suportes informáticos ou documentais.

    Cada uma destas revisões dará origem a uma nova versão deste documento. 

    Divulgação e publicação

    A Política de Gestão de Privacidade está classificada como informação de acesso público. (cfr. Política de classificação da informação) e estará disponível para consulta através da Internet, seja no Website institucional, nas ferramentas na Internet de suporte ao negócio e também nas redes sociais do grupo.

    Durante o processo de acolhimento, será dado aos novos colaboradores conhecimento da presente Política, bem como fará parte deste processo a participação obrigatória daqueles nas ações de formação e sensibilização em matéria de segurança, privacidade e proteção de dados pessoais que farão parte do processo de acolhimento.

    Os colaboradores poderão consultar a presente Política a qualquer momento através da plataforma de gestão documental da rede interna do grupo.

    As entidades/colaboradores que, por razões inerentes à sua função, não tenham acesso à plataforma, terão conhecimento da presente política através da partilha no formato adequado a cada caso.

    Vigência da Política:

    A presente política foi aprovada pela Administração do grupo Pluris e torna-se vigente na data em que é publicada. Qualquer alteração posterior entrará em vigor imediatamente após a sua publicação.

    Registo da revisão: