Política de Privacidade
I. Enquadramento geral
No desenvolvimento da sua atividade, o Grupo VASP – Distribuição de Publicações, S.A. bem como as sociedades com a mesma em relação de domínio, adiante todas designada por Grupo VASP, necessita de proceder ao tratamento de Dados Pessoais de vários titulares de dados, nomeadamente de colaboradores, clientes, fornecedores ou prestadores de serviços, intervenientes em procedimentos de contratação pública, bem como de utilizadores dos websites do Grupo VASP e de sociedades pela mesma participadas, entre outros.
Os Dados Pessoais recolhidos pelo Grupo VASP serão tratados de acordo com as normas regulamentares e legais em vigor.
A presente Política descreve um conjunto de orientações, regras e princípios que deverão ser observados pelo Grupo VASP para assegurar a proteção dos direitos dos titulares dos dados.
O Grupo VASP obriga-se ao cumprimento da sua Política de Proteção de Dados Pessoais e de Privacidade, em conformidade com as obrigações do Regulamento 2016/679/UE, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, adiante designado como Regulamento Geral de Proteção de Dados ou RGPD.
Neste sentido, o Grupo VASP procura garantir que os seus procedimentos internos estão em conformidade com as obrigações legais do RGPD e que os dados pessoais dos seus colaboradores, clientes, fornecedores ou prestadores de serviços e de quaisquer outros titulares de dados cujos Dados Pessoais o Grupo VASP trate no exercício da sua atividade, sejam tratados de acordo com as normas regulamentares e legais em vigor e conservados em segurança.
A presente Política aplica-se a todos os colaboradores do Grupo VASP, independentemente da natureza do respetivo vínculo. Neste sentido, quer os trabalhadores do Grupo VASP, quer outros prestadores de serviços, independentemente da natureza do vínculo, mas que sejam envolvidos em operações de Tratamento de Dados Pessoais pelas quais o Grupo VASP seja responsável, ficam vinculados ao cumprimento das regras e procedimentos aqui previstos, os quais lhes são comunicados.
II. Política de Privacidade - Aplicação
A presente Política aplica-se às operações de Tratamento de Dados Pessoais realizadas pelas empresas do Grupo VASP e pelas quais esta seja responsável, enquanto Responsável pelo Tratamento e/ou Entidade Subcontratante.
As regras e procedimentos referidos nesta Política podem ser objeto de concretização noutras políticas, processos ou normativos internos.
A presente Política é definida e aprovada pelo Conselho de Administração do Grupo VASP.
Sempre que necessário, o Grupo VASP procederá à alteração da presente Política, nomeadamente tendo em atenção a alterações legislativas ou regulamentares ou às
melhores práticas aplicáveis neste âmbito que o Grupo VASP deva observar. Quaisquer alterações serão aprovadas pelo Conselho de Administração do Grupo VASP.
III. Quem realiza operações de tratamento sobre os seus dados
No curso de suas atividades diárias, o Grupo VASP pode obter, tratar e armazenar Dados Pessoais.
De acordo com a legislação europeia e portuguesa em matéria de proteção de Dados Pessoais, os mesmos devem ser obtidos e tratados de forma justa, lícita e transparente.
O GRUPO VASP está empenhado em garantir que a sua equipa tem conhecimento adequado da legislação e das práticas de protecção de Dados Pessoais, a fim de poder antecipar e identificar quaisquer questões que possam surgir. Nessas circunstâncias, a equipa deve assegurar que o Responsável pelo Tratamento é informado, garantindo que as acções correctivas apropriadas são tomadas, de forma garantir os direitos, liberdades e garantias dos titulares dos dados.
O GRUPO VASP pode partilhar Dados Pessoais com Subcontratantes, desde que necessários para a normal prestação dos seus serviços, de acordo com as disposições legais e contratuais em vigor.
O acesso dos Subcontratantes aos Dados Pessoais no âmbito de operações nas quais o Grupo VASP é Responsável pelo Tratamento é regulado pelo contrato celebrado com os seus Subcontratantes.
Neste sentido, o Grupo VASP assegura contratualmente e verifica regularmente que os Subcontratantes são entidades fiáveis e oferecem as garantias de protecção adequadas, designadamente não lhes sendo transmitidos dados para além dos necessários à prestação do serviço contratado.
Igualmente no âmbito de operações nas quais o Grupo VASP é Responsável pelo Tratamento, o Grupo VASP pode ainda partilhar Dados Pessoais com outros Responsáveis pelo Tratamento, de forma a realizar as operações de tratamento necessárias para a prestação dos serviços contratados e nos termos das disposições legais em vigor. No âmbito da referida responsabilidade conjunta, o acordo em vigor entre as partes identifica de modo transparente, designadamente, as respectivas finalidades e responsabilidades no cumprimento da legislação de protecção de dados em vigor, garantindo e salvaguardando os direitos e liberdades dos titulares dos dados através do estabelecimento de canais de comunicação atinentes à resposta aos pedidos dos referidos titulares.
Independentemente da relação existente entre os Destinatários de Dados Pessoais, o Grupo VASP define, através de contrato formal e escrito, a delimitação das obrigações em matéria de Dados Pessoais, a finalidade específica ou os propósitos pelos quais estão envolvidos e a garantia de que os mesmos procedem às operações de Tratamento dos Dados Pessoais em conformidade com o disposto na legislação portuguesa e europeia de Protecção de Dados Pessoais.
IV. Com quem o Grupo VASP pode partilhar os dados:
• Prestadores de serviços de suporte informático, técnico e operacional;
• Clientes e/ou Fornecedores;
• Entidades que com o Grupo VASP se encontrem em relação de coligação societária, de participações recíprocas, de domínio ou de grupo;
• Órgãos Judiciais, órgãos de Polícia, Autoridades Administrativas, designadamente entidades públicas nacionais ou internacionais com função de supervisão e regulação.
• Clientes e/ou Fornecedores;
• Entidades que com o Grupo VASP se encontrem em relação de coligação societária, de participações recíprocas, de domínio ou de grupo;
• Órgãos Judiciais, órgãos de Polícia, Autoridades Administrativas, designadamente entidades públicas nacionais ou internacionais com função de supervisão e regulação.
V. O que o Grupo VASP faz com os dados
Na sua atividade, o Grupo VASP trata os dados pessoais de diversas categorias de titulares de dados.
Enquanto Responsável pelo Tratamento, o Grupo VASP garante que todos os Dados Pessoais:
• São obtidos para fins específicos, lícitos e claramente definidos - o titular dos dados tem o direito de questionar o (s) objetivo (s) para o (s) qual (quais) o Grupo VASP mantém os seus dados, e o Grupo VASP deverá, salvo as exceções previstas no RGPD, informar de forma clara quais os propósitos ou as finalidades do tratamento;
• São compatíveis com os propósitos para os quais foram obtidos;
• São conservados com medidas de segurança apropriadas, implementadas ou a implementar, para os proteger contra o acesso não autorizado, ou alteração, destruição ou divulgação;
• São mantidos de forma precisa, completa e atualizada, quando necessário;
• Não são recolhidos se forem excessivos;
• São mantidos apenas pelo tempo necessário.
Nestes termos os dados recolhidos serão tratados de acordo com as seguintes finalidades: • São compatíveis com os propósitos para os quais foram obtidos;
• São conservados com medidas de segurança apropriadas, implementadas ou a implementar, para os proteger contra o acesso não autorizado, ou alteração, destruição ou divulgação;
• São mantidos de forma precisa, completa e atualizada, quando necessário;
• Não são recolhidos se forem excessivos;
• São mantidos apenas pelo tempo necessário.
a) Dados de Clientes
O Grupo VASP realiza operações de tratamento relativamente aos Dados Pessoais dos seus Clientes para garantir o cumprimento de contratos acordados com os titulares dos dados ou com os Responsáveis pelo Tratamento Conjunto (relativamente aos dados e titulares de dados por estes recolhidos, como contrapartes, trabalhadores e outros). Os dados pessoais ora identificados e sujeitos a operações de Tratamento, encontram-se ao abrigo de uma situação de necessidade para a execução de um contrato ou para diligências pré-contratuais, ou para o cumprimento de obrigações jurídicas, sem prejuízo da eventual aplicação de outras situações legalmente previstas.
Os dados de Categoria Especial relativos a Clientes ou obtidos através de Clientes serão sujeitos a operações de tratamento, na medida em que sejam necessários à declaração, ao exercício ou à defesa de um direito num processo judicial, ou se o tratamento for necessário por motivos de interesse público importante, designadamente em sede de prevenção de branqueamento de capitais e de financiamento do terrorismo, sem prejuízo da eventual aplicação de outras situações legalmente previstas.
O tratamento de Dados Pessoais de Clientes ou obtidos através de Clientes, relacionados com condenações penais e infrações ou com medidas de segurança conexas serão sempre objeto de garantias adequadas a salvaguardar os direitos e liberdades dos titulares dos dados, sendo as operações relevantes neste âmbito limitadas ao estrito cumprimento das obrigações jurídicas aplicáveis.
VI. Direitos dos titulares dos dados
De acordo com os requisitos legais e regulamentares em matéria de proteção de dados pessoais, o Grupo VASP garante que os titulares dos dados podem exercer os direitos que legalmente lhes assistem e que a seguir se enumeram:
a) Direito de acesso e informação: o direito a obter informação sobre se os dados pessoais são tratados pelo Grupo VASP, bem como a aceder a tais dados e a de obter informação sobre a finalidade do seu tratamento, os destinatários ou categorias de destinatários dos dados e os respetivos prazos de conservação.
b) Direito de retificação: o direito de requerer a retificação dos dados pessoais que não sejam exatos ou completos;
c) Direito de retirar o consentimento: o direito de retirar o consentimento que tenha sido prestado para o tratamento dos dados a qualquer momento, o que implica que os dados deixarão de ser tratados, a não ser que exista outro fundamento jurídico que legitime tal tratamento.
d) Direito de solicitar a limitação do tratamento dos dados: o direito, em determinados casos, de requerer que o tratamento dos dados seja limitado. A limitação do tratamento poderá resultar na suspensão total do tratamento ou a limitação do tratamento a certas categorias de dados ou finalidades de tratamento;
e) Direito à portabilidade dos dados: nos casos em que (i) o tratamento tenha por base o consentimento ou a execução de um contrato que tenha celebrado com o Grupo VASP e (ii) o tratamento seja realizado por meios automatizados, consiste no direito de receber os dados pessoais que lhe digam respeito e que tenham sido facultados à VASP, num formato estruturado, de uso corrente e de leitura automática, bem como o direito de os transmitir a outro responsável pelo tratamento, desde que tal seja tecnicamente possível.
f) Direito de oposição ao tratamento dos dados: em determinadas situações, como, por exemplo, quando o tratamento dos dados se legitime nos interesses
legítimos do Grupo VASP, consiste no direito de oposição a esse tratamento, por motivos relacionados com a situação específica do titular. Em caso de oposição, o tratamento cessará, a não ser que se verifiquem razões imperiosas e legítimas que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou que os dados sejam necessários para efeitos de declaração, exercício ou defesa de um direito num processo judicial. Quando os dados pessoais forem tratados para efeitos de marketing directo, o que inclui a definição de perfis para efeitos de publicidade e comercialização, também poderá ser deduzida oposição a esse tratamento;
g) Direito de solicitar o apagamento dos dados (“direito a ser esquecido”): em determinadas situações, o direito de solicitar a eliminação dos dados pessoais. Este direito pode ser limitado de acordo com o previsto no RGPD, nomeadamente, e sem limitar, nos casos em que o tratamento seja necessário para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
h) Direito a não ser sujeito a nenhuma decisão tomada exclusivamente com base em tratamento automatizado: o direito de não ser sujeito a nenhuma decisão individual automatizada, isto é, tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produzam efeitos na esfera jurídica do titular dos dados ou que o afetem significativamente de forma similar, salvo se tais decisões (i) forem necessárias para a celebração ou a execução de um contrato entre o titular dos dados e o Grupo VASP, (ii) forem autorizadas pela legislação aplicável ou (iii) forem baseadas no consentimento do titular dos dados.
i) Direito de reclamação: direito de apresentar uma reclamação junto do Grupo VASP ou da Comissão Nacional de Proteção de Dados.
Para exercer os seus direitos em matéria de proteção de Dados Pessoais, os titulares de dados devem contactar o Grupo VASP através dos contactos indicados na presente Política.
O GRUPO VASP poderá, sempre que considere adequado, proceder à prévia verificação da identidade do requerente.
Os pedidos de exercício de direitos serão respondidos sem demora injustificada, no prazo máximo de um mês a contar da data de receção do pedido.
Perante uma elevada complexidade do pedido ou número de pedidos realizados, o período de resposta poderá ser prorrogado até dois meses.
Caso o período de resposta seja prorrogado, o Grupo VASP informará o titular dos dados, num prazo máximo de um mês após a data de receção do pedido, dos motivos do atraso na resposta ao pedido.
O GRUPO VASP procura responder a todos os pedidos, sendo os mesmos alvo de análise de forma a verificar se a sua satisfação se encontra em conformidade com os requisitos legais e regulamentares aplicáveis.
O titular dos dados poderá invocar o seu direito por um dos canais apresentados nos
contactos abaixo elencados.
VII. Recolha de informação por via de Cookies
O Grupo VASP recolhe automaticamente informações do computador de quem visita os seus Websites por via da utilização de Cookies.
Um cookie é um pequeno ficheiro de dados que é armazenado no disco rígido do computador. Os cookies são utilizados por quase todos os sites e não prejudicam o sistema do utilizador.
O Grupo VASP utiliza “cookies” para rastrear a atividade dos utilizadores dos seus sites a fim de poder assegurar que os mesmos obtêm uma experiência com o número mais reduzido possível de problemas quando visitam os referidos sites.
O Grupo VASP pode usar as informações dos cookies para assegurar que apresenta aos visitantes dos sites as opções adaptadas às suas preferências na visita seguinte. O Grupo VASP pode também usar cookies para analisar o tráfego e para fins publicitários.
Se o utilizador pretender verificar ou alterar o tipo de cookies que aceita, pode fazê-lo nas definições do seu web browser.
Caso o utilizador não pretenda receber cookies que não sejam estritamente necessários para executar funcionalidades básicas dos sites, pode optar pela autoexclusão, alterando as definições do seu web browser.
Contudo, recusar todos os cookies significa que o utilizador poderá não ser capaz de usufruir plenamente de todas as funcionalidades dos sites do Grupo VASP. Cada web browser é diferente e, portanto, deve ser verificado no menu adequado de cada um deles o modo de o utilizador alterar as suas preferências de cookies.
VIII. Confidencialidade, conservação e medidas de segurança
Os dados pessoais são conservados pelo Grupo VASP no estrito cumprimento das normas regulamentares e legais aplicáveis, ou pelo período indispensável para a satisfação das finalidades que motivaram o seu tratamento.
O Grupo VASP procura cumprir com todas as obrigações legais, também no que diz respeito à conservação e atualização dos dados pessoais. O armazenamento e destruição dos Dados Pessoais são levados a cabo de maneira segura. Os Dados Pessoais recolhidos são os estritamente necessários e protegidos de perda, má utilização, acesso não autorizado ou exposição.
O Grupo VASP garante também a segurança dos Dados Pessoais e o cumprimento de todas as obrigações legais em caso de quebra de segurança. Para garantir a segurança dos Dados Pessoais, o Grupo VASP tem implementado um conjunto de medidas e procedimentos técnicos e tecnológicos adequados a tal propósito.
O Grupo VASP utilizará uma gama de controlos de segurança de dados, definida de acordo com as necessidades inerentes à sua atividade e com as políticas de segurança, e monitorizará ativamente esses controlos para detetar falhas ou violações, incluindo a revisão das autorizações de acesso a Dados Pessoais, próprios ou de terceiros, por parte dos titulares dos dados e dos colaboradores do Grupo VASP.
IX. Contactos
Contactos para invocação dos direitos dos titulares
Os pedidos de invocação de direitos poderão ser submetidos através de qualquer um dos seguintes meios de comunicação:
• E-mail: dpo@vasp.pt
• Morada: Distribuidora de Publicações, S.A., Media Logistics Park, Quinta do Grajal, Venda Seca, 2739-511 Agualva Cacém
O GRUPO VASP irá nomear um Encarregado de Proteção de Dados, de acordo com as melhores práticas na área, que poderá ser contactado através do e-mail: dpo@vasp.pt. • Morada: Distribuidora de Publicações, S.A., Media Logistics Park, Quinta do Grajal, Venda Seca, 2739-511 Agualva Cacém