No âmbito da sua atividade, a SITERJA, tem acesso a dados pessoais, que consiste em informações relativas a uma pessoa singular identificada ou identificável.
Essas informações são recolhidas diretamente dos titulares de dados, de funcionários e clientes. No entanto, as informações também são geradas por meio de uma série de operações realizadas pelo SITERJA no âmbito da sua atividade. Como poderá ser a prospeção e análise de sítios públicos da internet, associações empresariais e profissionais ou mesmo ordens profissionais, com vista a obter contactos de potenciais clientes.
Consequentemente, a atividade da SITERJA deve estar em conformidade com a legislação, regulamentos e práticas recomendadas para o processamento de dados pessoais.
Devido à natureza e complexidade da atividade da SITERJA, todos os membros dos corpos diretivos, empregados, independentemente da natureza de sua posição, prestadores de serviços e outros associados da SITERJA (doravante “Pessoas Sujeitas à presente Política”) estão vinculados a este Política de Proteção e Privacidade de Dados (doravante denominada “Política”) e, portanto, vinculada ao seu cumprimento e adesão, bem como a outras Políticas relacionadas a ela, que vigoram na SITERJA desde o início da relação de colaboração com a mesma.
A SITERJA está empenhada em proteger todos os dados pessoais pelos quais é responsável. Para este fim, a SITERJA elaborou esta Política, a fim de aumentar a consciência e importância deste tema, do seu compromisso e respeito às regras de privacidade e proteção de dados pessoais dos dados recolhidos e processados pelo SITERJA. A presente Política visa, ainda, estabelecer o cumprimento de práticas internas e definir os procedimentos internos para qualquer processamento de dados pessoais, seja ou não por meios automáticos, tais como recolha, registo, organização, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, cruzamento de dados, bloqueio ou destruição.
Todas as pessoas sujeitas à presente Política devem estar cientes de que o não cumprimento das regras estabelecidas pelo presente documento pode causar danos incomensuráveis à privacidade dos titulares dos dados e pode fazer com que a SITERJA seja responsabilizada.
A SITERJA garante que todas as informações sejam recolhidas e processadas de acordo com as leis, regulamentos e boas práticas.
Finalidades de processamento: As informações serão sempre recolhidas em conformidade com a lei aplicável e de acordo com as boas práticas, através de notificação prévia à Autoridade Nacional de Proteção de Dados (CNPD), quando necessário.
A SITERJA garante que os dados pessoais serão sempre:
- Processado de forma legal e com respeito pelo princípio da boa-fé;
- Obtidos para fins específicos, explícitos e lícitos e não devem ser processados de qualquer forma incompatível com esses fins;
- Adequado, relevante e não excessivo em relação a esses propósitos;
- Exato e atualizado;
Outros fins:
Se a SITERJA pretender continuar a processar dados pessoais com uma finalidade diferente daquela para a qual os dados pessoais foram inicialmente obtidos, a SITERJA fornecerá aos titulares de dados as informações e os elementos listados na seção Informações deste documento.
A SITERJA garante que o processamento de dados pessoais relativos a Pessoas Sujeitas à presente Política será feito legalmente.
Os motivos para a recolha e processamento de dados são baseados no:
- Consentimento para um ou mais propósitos específicos;
- Necessidade de celebrar um contrato com o titular dos dados, incluindo as ações pré-contratuais necessárias;
- Cumprimento de uma obrigação legal à qual a SITERJA está sujeita,
- Propósitos e interesses legítimos da SITERJA.
Sempre que necessário, o consentimento do titular dos dados será obtido da seguinte forma:
- Quando obtido através de um documento escrito, será apresentado de forma acessível;
- O documento apresentará os diferentes propósitos para os quais os dados serão usados, de forma individual e claramente diferenciada;
A SITERJA garante que o direito de retirada possa ser exercido a qualquer momento, de acordo com a legislação em vigor. Sempre que os dados pessoais são processados a SITERJA, garante que utiliza todas as medidas técnicas e organizacionais que garantam a conformidade da lei e a proteção dos dados.
Comunicação para terceiros.
Qualquer comunicação de dados pessoais a terceiros só ocorrerá em conformidade com as obrigações legais.
Período de retenção:
Os dados pessoais das Pessoas Sujeitas à presente Política recolhidos pela SITERJA serão mantidos por não mais do que o necessário para as finalidades para as quais os dados pessoais são processados. Os dados pessoais podem ser recolhidos e armazenados de acordo com as disposições legais que possam existir e obrigar o armazenamento acima mencionado durante um determinado período de tempo.
Segurança de dados:
Tendo em conta o estado da técnica, os custos de implementação, a natureza, âmbito, contexto e finalidades de processamento, bem como o risco para os direitos dos titulares de dados, a SITERJA implementou as medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco.
Violação de dados pessoais:
A SITERJA deverá notificar a Autoridade Portuguesa de Proteção de Dados (DPA) de qualquer violação de dados no prazo de 72 (setenta e duas) horas, bem como os titulares dos dados em conformidade com a lei, com as seguintes informações:
- Descrição da natureza dos dados pessoais violados, incluindo as categorias e o número de titulares de dados;
- Informações sobre a identidade e detalhes de contato do responsável pela proteção de dados ou outro ponto de contato onde informações adicionais podem ser obtidas;
- Descrição das consequências da violação de dados pessoais;
- Descrição das medidas tomadas ou propostas pela Empresa, para abordar a violação de dados pessoais e, quando apropriado, medidas para mitigar seus possíveis efeitos adversos.
A SITERJA documentará quaisquer violações de dados pessoais, incluindo os fatos relacionados à violação de dados pessoais, seus efeitos e as medidas corretivas tomadas de acordo com o presente documento e com o Procedimento de Gestão de Incidentes de Segurança da Informação.
Exercício de direitos:
A SITERJA garante aos titulares dos dados que podem exercer os seus direitos previstos na lei, nomeadamente, o acesso, a retificação, a objeção e o apagamento. Para exercer seus direitos, uma solicitação por escrito deve ser endereçada para a nossa morada ou correio eletrónico. A SITERJA responderá a todos os pedidos dentro de 30 dias.
Reforço do dever de sigilo:
Os titulares de dados são obrigados a um dever absoluto de sigilo, no que respeita à informação a que têm acesso e que pode conter dados sensíveis. Aqueles que possuem informação e sabem, ou sob as circunstâncias, devem saber que tais informações contêm dados sensíveis, devem abster-se de usá-las para qualquer ação que não sejam aquelas instruídas pela SITERJA e qualquer infração a estas regras implicará uma ação disciplinar e legal apropriada.
Prática e códigos de conduta:
Os titulares dos dados que obtenham acesso a informações que contenham dados sensíveis devem informar por escrito e sem demora, o diretor do departamento ao qual pertencem, sobre:
- Características da informação;
- Quando as informações foram consultadas;
O Diretor do Departamento deverá informar imediatamente o Responsável de Recursos Humanos, o Responsável de Segurança da Informação, os fatos relevantes relacionados ao incidente.
Quando as informações que incluem dados sensíveis são destinadas a um grupo de pessoas com a intenção de realizar um projeto, operação ou implementação de um serviço, a pessoa responsável pela equipa informará a cada membro do grupo a natureza sensível das informações, e informará o Responsável de Recursos Humanos, o Responsável de Segurança da Informação dos seguintes elementos:
- A identidade de todos que tiveram acesso à informação;
- Características da informação;
- Data em que cada um deles teve acesso à informação.
Segurança da informação contendo dados sensíveis:
Sem prejuízo das medidas técnicas e organizativas adequadas para proteger os dados pessoais nos termos da lei, os titulares de dados que possuam informações que incluam dados sensíveis e, sem prejuízo da política de segurança da informação e das obrigações contratuais de confidencialidade, devem sempre:
- Limitar o conhecimento da informação, dentro de cada área, às pessoas que necessariamente devem tê-la para o desempenho adequado de suas tarefas;
- Abster-se de quaisquer comentários sobre as informações, a fim de, direta ou indiretamente, evitar revelar a sua existência ou conteúdo;
- Use-o exclusivamente para os fins legítimos apropriados ou para os clientes.
Cumprir as medidas que permitem um controle apropriado para aceder as informações e os documentos e outros suportes nos quais estão incluídos. Exigir a assinatura prévia de um acordo de não divulgação, caso seja necessário disponibilizar dados confidenciais a terceiros, externos à empresa.
Restrições de uso:
Aqueles que possuem informação e conhecimento, ou sob as circunstâncias, devem saber que tais informações contêm dados sensíveis, devem abster-se de divulgá-las a Terceiros, exceto se forem indispensáveis para o desempenho normal de sua atividade. As Pessoas Sujeitas à presente Política, que sabem que outra pessoa, não sujeita, tem acesso a dados confidenciais, devem notificar, assim que possível, por escrito, o Responsável de Recursos Humanos, o Responsável de Segurança da Informação, com os seguintes elementos:
- Como a violação foi encontrada;
- A identidade de todas as pessoas que conhecem as informações;
- Características da informação;
- Data em que tiveram acesso às informações.
Caso os titulares dos dados tenham conhecimento de qualquer violação das regras estabelecidas para a segurança da informação, devem notificar essa violação, por escrito, ao Responsável de Segurança da Informação, com os elementos listados no parágrafo anterior.
Qualquer violação dessas restrições implicará ação disciplinar e legal apropriada.
Princípios Específicos:
Prestadores de serviços:
A relação entre os prestadores de serviços, sejam internos ou externos, deve sempre ser baseada em um instrumento contratual e deve atender aos seguintes elementos, estabelecidos nos princípios contratuais.
Onde a prestação de serviços envolve qualquer acesso a dados pessoais, deve haver cláusulas específicas que regulam a forma como o prestador de serviços acede a esses dados, e que qualquer ação executada é sempre feita em nome da SITERJA. A recusa, pelo prestador do serviço, em não aceitar as suas obrigações em matéria de proteção de dados e privacidade a que a SITERJA está vinculada nos termos da lei, deve levar a:
- Renegociação do contrato; ou Rescisão do contrato.
A violação das obrigações contratuais implica responsabilidades civis e legais para os prestadores de serviços.
Prestadores e parceiros:
A relação entre os fornecedores e os parceiros deve basear-se sempre num instrumento contratual e deve obedecer aos seguintes elementos, estabelecidos nos princípios contratuais. Quando o fornecimento e / ou parceria envolve qualquer acesso a dados pessoais, deve haver cláusulas específicas que regulam a forma como o fornecedor acede a esses dados. O fornecedor e / ou parceiro pode, para os propósitos do relacionamento, ser o processador ou o controlador. No caso de o fornecedor e / ou parceiro ser o processador, deve ser expresso e aceito pelo fornecedor que qualquer ação executada sempre será feita em nome da SITERJA e em conformidade com suas instruções escritas.
A violação das obrigações contratuais implica responsabilidades civis e legais para o fornecedor e / ou parceiro.
Clientes:
Qualquer processamento de dados pessoais pertencentes a Clientes ou de seus clientes será sempre baseado num instrumento contratual.
Princípios contratuais:
As ações envolvendo o processamento de dados pessoais em nome da SITERJA, ou em que, este último realiza o processamento em nome dos Clientes, terão como base mínima os seguintes elementos:
- Que as ações de processamento, transferências e / ou comunicação de dados pessoais são realizadas somente através de instruções documentadas da SITERJA ou do Cliente, enquanto responsáveis pelo processamento;
- Quando um acordo de confidencialidade é estabelecido;
- Quando um contrato de processamento de dados é estabelecido;
- Quando as medidas técnicas e organizacionais apropriadas forem asseguradas e definidas preferencialmente, para garantir um nível apropriado de segurança para os riscos de processamento e para os dados pessoais a serem tratados;
- A prestação de assistência ao responsável pelo tratamento, de modo a que este possa cumprir as suas obrigações, a fim de responder às exigências dos titulares dos dados relativamente ao exercício dos seus direitos;
Que, quando o processamento de dados ou a relação contratual expirar, os dados pessoais serão apagados ou devolvidos, e as cópias existentes apagadas, dentro dos limites exigidos pela lei à qual a SITERJA ou o Cliente estão vinculados;
- O objeto, duração, natureza e propósitos do processamento;
- As categorias de dados pessoais em causa;
- As categorias de titulares de dados em causa;
Medidas de segurança:
Princípio geral:
Os regulamentos sobre segurança de processamento impõem, a SITERJA, a obrigação de implementar as medidas técnicas e organizacionais apropriadas para evitar interferências não autorizadas nas operações de processamento de acordo com esta Política, política de segurança da informação e outras regulamentações estabelecidas em outras políticas internas.
Políticas Internas:
As políticas internas abrangerão os seguintes elementos:
- Informações sobre as políticas internas de segurança de dados, e as obrigações que resultam para os empregados em relação à proteção de dados, especialmente aquelas relacionadas ao sigilo, nos termos da lei;
- Uma distribuição clara de responsabilidades e uma descrição clara das competências relativas ao processamento de dados, particularmente as relacionadas com o processamento de dados pessoais, a tomada de decisões e a transferência de dados para Terceiros;
- O uso de dados pessoais apenas de acordo com as instruções da SITERJA ou com as obrigações legais às quais a SITERJA está vinculada;
- Proteção contra o acesso às instalações da SITERJA, bem como a qualquer hardware e software, incluindo controlos relacionados à autorização de acesso;
- Certificar que a autorização para aceder a dados pessoais foi concedida pela pessoa competente e requer a documentação apropriada;
- Automatização de protocolos de acesso a dados pessoais por meio eletrônico e monitoramento periódico desses protocolos pelo Departamento responsável;
- Documentação abrangente de outras formas de disseminação, diferente do acesso automatizado aos dados, a fim de provar que não houve transmissão ilegal ou não autorizada de dados;
- Fornecimento de formação e educação apropriada sobre segurança de dados;
- Revisão e avaliação anual das políticas internas;
- A execução de auditorias regulares, a fim de assegurar que todas as medidas consideradas apropriadas foram efetivamente implementadas e estão operacionais.
Medidas de segurança física:
As medidas de segurança física são implementadas por meio de políticas de segurança para todos os usuários de informações que têm acesso a dados pessoais.
Dentre essas medidas de segurança física estão incluídas, a saber:
- O controlo do acesso a edifícios, utilizando cartões de acesso e / ou controlos biométricos;
- Registros de entrada, monitoramento de portas e salas de acesso restrito;
Todos os indivíduos não autorizados a aceder a áreas controladas devem entrar e ser escoltados para a área controlada por uma pessoa com acesso autorizado. O direito de aceder a áreas controladas será totalmente reavaliado a cada ano e será revogado no final do contrato. As instalações onde os dados pessoais são armazenados devem ser protegidas contra fatores ambientais e contra falhas de energia.
Medidas de segurança lógicas:
- A SITERJA implementou políticas de segurança que incluem software específico para esses propósitos, particularmente:
- Software antivírus, firewall e perda de prevenção de dados;
- Restrições para compartilhar arquivos não autenticados;
- Restrições em aplicativos peer-to-peer;
- Senha da conta do usuário;
- Serviços de manutenção adequados e com níveis de correção aprovados.
Além disso, são usados controlos processuais e técnicos para detetar eventuais desvios de conformidade.
A transferência de dados é realizada, exclusivamente, através de uma conexão de rede segura.
Os controlos processuais são definidos pelo Responsável de Segurança da Informação e implementados pelo responsável pelo Departamento, que deve notificar o Responsável de Segurança da Informação.
No que diz respeito ao acesso privilegiado, somente usuários expressamente autorizados podem solicitar acesso.
De acordo com as instruções recebidas e para determinar quais titulares de credenciais de usuário ainda estão autorizados pela SITERJA, uma verificação periódica é realizada, bem como uma revalidação anual para determinar se os acessos são compatíveis com os usuários existentes.
As exceções identificadas durante o processo de revalidação serão corrigidas e o acesso do usuário será revogado no final do contrato.
As senhas de verificação devem sempre ser implementadas de acordo com os seguintes requisitos:
- Mínimo de 8 caracteres de comprimento;
- Contendo uma combinação de caracteres alfabéticos e não alfabéticos (números, pontuação ou caracteres especiais) ou uma mistura de, pelo menos, dois tipos de caracteres não alfabéticos;
- Não contém a identificação do usuário como parte da senha;
- Não pode ser banal / trivial.
As atividades no sistema são previamente solicitadas e registradas para fins de controlo e aprovação, de acordo com o procedimento definido.
Em relação a gestão de incidentes / problemas, um processo de registro e monitorização é implementado através de um conjunto de procedimentos e ferramentas de referência, que podem ser alterados ao longo do tempo.
Disposições finais:
Obrigatório:
A presente Política de Proteção de Dados e Privacidade vincula todos os colaboradores da SITERJA.
Consultas:
Quaisquer dúvidas de um titular de dados sobre o conteúdo da presente Política de Proteção e Privacidade de Dados ou sobre o processamento de seus dados pessoais devem ser encaminhadas, por escrito, ao Responsável de Segurança da Informação, no seguinte endereço de correio eletrónico: dpo@siterja.pt.
Quaisquer dúvidas de um Cliente sobre o conteúdo da presente Política de Proteção de Dados e Privacidade ou sobre o processamento de seus dados pessoais, deverão ser comunicadas ao Responsável do Departamento, que deverá seguir o procedimento acima mencionado.
Quaisquer dúvidas serão respondidas dentro de um período não superior a 30 (trinta) dias úteis.
Revisão e monitorização:
A presente Política será revista pelo menos uma vez por ano, a fim de detetar e, se aplicável, corrigir qualquer situação anómala que possa ocorrer na sua implementação.
A revisão da Política pode ocorrer sempre que, em virtude de circunstâncias específicas, necessidades decorrentes da atividade da SITERJA, fatos ou quaisquer emendas legislativas legais, possa exigir.
Comunicação e divulgação:
Após a aprovação, o Responsável de Segurança da Informação deverá divulgar, internamente, a presente Política, e será responsável por fazer circular a presente política dentro da organização da SITERJA.
Caso seja necessário comunicar a presente política ao público, isso será feito através da publicação dos princípios básicos da presente Política, através do sítio da internet da SITERJA, através do qual poderão aceder o resumo de seu conteúdo.
Entrada em vigor:
As atualizações desta Política incluídas neste documento serão válidas a partir da data de sua aprovação, sem prejuízo de alterações posteriores.
Ultima revisão e atualizado em 2018-04-05.