Política de Proteção de Dados e Privacidade

Introdução

Comprometemo-nos a proteger os dados pessoais a que tenhamos acesso no âmbito da nossa atividade, assegurando que o tratamento que fazemos tem sempre em conta as disposições legais em vigor em Portugal (e outras aplicáveis), nas quais assenta esta política;

Comprometemo-nos a respeitar os direitos, liberdades e garantias dos seus titulares, incluindo a privacidade;

Esta PPDP regula a utilização de informação nos processos (de negócio, suporte e gestão), aplicados pelas empresas do Grupo e em toda a nossa oferta, em relação a todos os titulares individuais;

Com esta PPDP estabelecemos um nível de proteção de dados pessoais que assegura o cumprimento dos compromissos afirmados nos pontos 1. e 2. e que contribui para o cumprimento da Política da Qualidade (PQ) e do nosso Código de Ética e Conduta (CE);

Divulgamos esta PPDP a todos nossos colaboradores e subcontratados, e estes estão obrigados a cumpri-la. Esta Política é mantida atualizada e divulgada na intranet e no site do Grupo;

Para assegurar o cumprimento desta PPDP, definimos uma estrutura de PDP que inclui o Comité de Risco, no qual está integrado o Encarregado de Proteção de Dados (DPO), e definimos as responsabilidades associadas;

Promovemos, a todos os que estão obrigados a cumpri-las e na medida do aplicável, formação sobre esta PPDP e as medidas técnicas e organizacionais implementadas.

Apenas tratamos os dados pessoais necessários à nossa atividade, respeitando o princípio da minimização.

Os titulares dos dados pessoais que a Reditus trata podem ser:

  • Colaboradores (trabalhadores, independentemente do tipo de vínculo ou relação laboral, prestadores de serviço, formandos, etc.), ex-colaboradores ou candidatos a colaboradores;
  • Clientes (embora a maioria dos clientes da Reditus não sejam pessoas singulares) e os seus representantes;
  • Fornecedores e parceiros;
  • Terceiros (por exemplo, colaboradores, clientes ou fornecedores dos clientes), quando são tratados por conta e em nome do cliente.

Os tipos de dados que tratamos incluem:

  • Profissionais (email e telefone profissional, ou dados típicos do cartão de visita ou assinatura do mail);
  • Oficiais (dados incluídos nos documentos de identificação pessoal: morada, foto, …);
  • Competências (experiência, formação e percurso profissional e académico, típicos dos curricula);
  • Privados (dados relativos à família e vida privada: morada e contactos pessoais, remunerações, despesas, informação bancária (IBAN, penhoras, cartões)):
  • Sensíveis (biométricos, dados de saúde, filiação sindical, ou outros).
  • Secretos (Passwords ou código de acesso; Nºs de cartões de crédito; …)

Tratamento de dados pessoais

Entende-se por tratamento de dados pessoais qualquer operação ou conjunto de operações sobre dados pessoais, efetuadas com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, o apagamento ou a destruição.

O tratamento de dados pessoais só é feito quando existir um dos seguintes fundamentos:

  • Os dados são necessários para a execução de um contrato com o titular;
  • Obtivemos previamente o consentimento informado para o tratamento por parte do titular;
  • O tratamento insere-se no âmbito da execução de um contrato de prestação de serviços, no qual nos comprometemos a tratar os dados em nome e por conta do responsável do tratamento - nesse caso apenas o fazemos de acordo com as instruções escritas do cliente;
  • Temos um interesse legítimo que não colide com as liberdades e garantias dos titulares;
  • O tratamento é necessário para cumprir uma obrigação jurídica.

O tratamento de dados pessoais é sujeito a controlos:

  • Mantemos registo sobre os dados que tratamos e os controlos aplicados;
  • Os controlos, os métodos de recolha e tratamento de dados pessoais (ou a sua alteração) são comunicados ao DPO, que verifica a sua viabilidade e conformidade com as normas aplicáveis.

Principais diplomas relativos à privacidade e a proteção de dados aplicáveis às atividades da Reditus:

Proteção de dados pessoais

Artigo 35º da Constituição da República Portuguesa – utilização da informática

Regulamento (EU) 2016/679 de 27 de Abril

Comunicações eletrónicas

Lei n.º 41/2004, de 18 de Agosto - regula a proteção de dados pessoais no sector das Comunicações Eletrónicas

Decreto-Lei n.º 7/2004, de 7 de Janeiro – transpõe a Diretiva do Comércio Eletrónico

Lei n.º 32/2008, de 17 de Julho – regula a conservação de dados no contexto dos serviços de comunicações

Trabalho

Lei n.º 99/ 2003, de 27 de Agosto – aprova o Código do Trabalho

Lei n.º 35/ 2004, de 29 de Julho – regulamenta o Código do Trabalho

Criminalidade informática

Lei n.º 109/ 91, de 17 de Agosto - lei da criminalidade informática

Quando tratamos os dados em nome e por conta de outra entidade (Cliente), podem ser aplicáveis ainda outros diplomas específicos

Lei n.º 43/ 2004, de 18 de Agosto – lei da organização e funcionamento da CNPD Saúde; (*)

Lei n.º 12/2005, de 26 de Janeiro - informação genética pessoal de saúde; (*)

 

Abrangência da Política de Proteção de Dados e Privacidade

A PPDP aplica-se a todas as empresas do Grupo Reditus de direito nacional ou não, no âmbito das normas legais aplicáveis, nomeadamente, entre outras, à Reditus Consulting, Reditus Business Solutions, Ogimatech Portugal, All2IT, SolidNetworks, Reditus Gestão e Reditus SGPS

A PPDP aplica-se a todos os processo de gestão e melhoria, negócio e suporte para a venda e execução dos produtos e serviços no âmbito da oferta da Reditus, que inclui:

  • Infraestruturas de TI;
  • Segurança da Informação;
  • Consultoria de TI e de Gestão;
  • Desenvolvimento Aplicacional e Integração;
  • Outsourcing Especializado;
  • Formação;
  • Serviços de Contact Center;
  • Outsourcing de Processos;
  • Serviços Partilhados.

Estrutura de proteção de dados e privacidade

A Administração, enquanto responsável pela gestão das empresas:

  • É responsável pelo tratamento dos dados pessoais, sempre que é definido ‘como’ e ‘porquê’, e se procede ao respetivo tratamento. É também complementarmente responsável quando o tratamento de dados pessoais é feito em nome e por conta de um cliente ou parceiro;
  • Tem a incumbência de implementar estruturas e garantir recursos adequados ao bom funcionamento da PPDP.

O Comité de Risco funciona de acordo com o definido na Norma Interna nº 8 – Comité de Risco, e:

  • É responsável por identificar riscos (incluindo riscos relativos à PPDP) e propor medidas para o respetivo tratamento antes de assumirmos compromissos contratuais com os clientes e, por indicação dos respetivos gestores, durante a prestação dos serviços;
  • É consultado e revê os procedimentos e medidas de controlo definidas, para a operacionalização desta PPDP.

O Encarregado de Proteção de Dados (DPO), nomeado pela Administração e que, neste âmbito, lhe reporta diretamente, e que faz parte do Comité de Risco. O contacto do DPO nomeado é dpo@reditus.pt. O DPO:

  • Zela pelo cumprimento da regulamentação de proteção de dados, através do fornecimento de informação neste domínio a todos os colaboradores da empresa e à Administração;
  • Monitoriza a conformidade com o GDPR e outras leis aplicáveis;
  • Participa e aconselha na análise de risco;
  • Mediante aprovação da Administração, determina a implementação de medidas PPDP em qualquer área, devendo para este fim dispor de controlos e acessos adequados;
  • Coopera com a Autoridade de Supervisão;
  • Age como ponto de contacto privilegiado da Autoridade de Supervisão e dos titulares dos dados.

Equipas de Gestão:

  • Garantem que os serviços pelos quais são responsáveis operam de acordo com a PPDP;
  • Implementam as medidas adequadas ao cumprimento da PPDP e informam o DPO dos tratamentos efetuados no âmbito dos respetivos serviços.

Colaboradores:

  • São individualmente responsáveis pelo cumprimento das disposições legais e regulamentares aplicáveis;
  • Têm obrigação de garantir a confidencialidade dos dados, como parte indissociável das suas funções previstas no contrato de trabalho;
  • Devem proceder em conformidade com toda a informação e formação recebida e cumprir todas as orientações definidas na PPDP, sob pena de consequências disciplinares em caso de incumprimento;
  • Devem reportar ao DPO todas as falhas no âmbito da PPDP de que tiverem conhecimento.

Direitos dos titulares

Licitude, Lealdade, Transparência e Exatidão:

  • Tratamos os dados pessoais de forma lícita, leal e transparente para o seu titular;
  • Informamos os titulares de qual a finalidade e o tratamento que daremos aos seus dados, quando os recolhemos. Informamos também dos seus direitos;
  • Recolhemos dados para finalidades específicas e apenas os necessários para o processo em causa, não incidindo, a não ser com o consentimento prévio do titular, sobre dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, origem racial ou étnica, saúde ou vida sexual.

Acesso, Retificação, Apagamento, Limitação e Portabilidade:

  • Facultamos, a pedido, o acesso aos dados pessoais pelo respetivo titular. Para tal basta que o titular, devidamente identificado, assim o solicite;
  • Manteremos os dados pessoais atualizados; procedemos à retificação dos dados pessoais inexatos quando tal situação seja detetada;
  • Sempre que solicitado pelo titular e quando não exista impedimento, procederemos ao apagamento dos seus dados pessoais, com a brevidade possível;
  • Cessaremos ou limitaremos o tratamento sempre que solicitado (e não exista impedimento), assim que deixar de haver fundamento para tal ou se for detetado um eventual tratamento indevido;
  • Notificaremos o titular da retificação, apagamento ou limitação efetuada;
  • Quando solicitado pelo titular, garantimos o direito da portabilidade.

Segurança

Medidas técnicas:

  • Aplicamos políticas de utilização dos sistemas, que monitorizamos e melhoramos continuamente no sentido de garantir a segurança da informação;
  • Dispomos de uma infraestrutura protegida por equipamentos de segurança, nomeadamente firewalls perimétricas devidamente configurados, com segmentação de redes internas para cada serviço. Todos os referidos equipamentos são acedidos por credenciais seguras;
  • Toda a informação é encriptada, em transmissões para fora da rede da Reditus;
  • Os dados guardados são mantidos em equipamentos com acesso restrito aos utilizadores devidamente autorizados. São regularmente feitas cópias de segurança e estas mantidas em segurança;
  • De acordo com as boas práticas, os equipamentos terminais são regularmente sujeitos a todas as atualizações de antivírus, sistemas operativos e aplicações comuns;
  • Os acessos às áreas operacionais são restritas aos utilizados devidamente autorizados, para a realização do seu trabalho, e as aplicações usadas têm mecanismos de segurança e de autenticação;
  • São mantidos logs que permitem monitorizar o desempenho dos sistemas e seguir e analisar qualquer tipo de acesso indevido;
  • São feitos testes de segurança regulares para avaliar as medidas implementadas.

Outras medidas:

  • Os colaboradores e subcontratados são contratualmente obrigados a compromissos de confidencialidade e são sensibilizados para a importância da mesma. A seleção dos colaboradores inclui a avaliação da respetiva integridade, em particular através da comprovação do registo criminal quando legalmente exigido;
  • Informamos e formamos os colaboradores em matéria de Segurança da Informação e Privacidade;
  • Refletimos nos contratos com os subcontratados os requisitos de segurança e os decorrentes desta PPDP. Na subcontratação e compra, o processo de seleção, controlo e avaliação dos fornecedores inclui os requisitos de segurança e privacidade.
  • O acesso aos arquivos físicos e outras zonas sensíveis é controlado de acordo com o procedimento PG-022 - Controlo de Acesso a Zonas Sensíveis.

Ao tratarmos os dados em nome e por conta do cliente:

  • Cumprimos as suas instruções escritas e respeitamos as suas políticas na medida do aplicável, sem pôr em causa a política da Reditus.
  • Alertamos o cliente sempre que verificamos que são postos em causa a proteção de dados pessoais ou os direitos dos titulares, e propomos ações de melhoria.