Programa de Privacidade e Proteção de Dados

Programa de Privacidade e Proteção de Dados Pessoais

I- INTRODUÇÃO

A Premiumbravo está comprometida com o cumprimento de todas as exigências legais e regulamentares aplicáveis relacionadas a privacidade e proteção de dados pessoais e, para tanto, considera o tratamento legal e correto dos Dados Pessoais (conforme definição abaixo) como parte integrante de nossas operações. Este documento descreve o Programa de Privacidade e Proteção de Dados Pessoais da Premiumbravo. (Programa) para garantir o cumprimento da legislação aplicável, e em especial, da GDPR (General Data Protection Regulation), pelo Regulamento (UE) 2016/679, que é a regulamentação de proteção de dados pessoais da União Europeia. Este Programa é aplicável a Premiumbravo, assim como filiais e eventuais empresas ligadas ou sob sua administração.

II- GLOSSÁRIO

Sem prejuízo das definições atribuídas no âmbito da GDPR, para os fins deste Programa os termos abaixo definidos terão os seguintes significados:

a) Dado(s) Pessoal(is) – informação relacionada a pessoa singular identificada ou identificável, como, por exemplo, um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular.

b) Empregado – refere–se a todo e qualquer administrador, diretor e demais funcionários da Empresa.

c) Encarregado – pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os Titulares dos Dados e a Autoridade Nacional de Proteção de Dados (CNPD).

d) Governo – qualquer entidade integrante da administração pública direta ou indireta, incluindo o Estado, os 18 distritos e regiões autônomas (Açores e Madeira) e Municípios, bem como seus órgãos, ministérios, secretarias, departamentos, subsecretarias, autarquias, empresas, instituições, agências e órgãos de propriedade ou controlados pelo governo e outras entidades públicas.

e) Terceiro – refere–se a todo e qualquer prestador de serviços, fornecedor, consultor, cliente, parceiro de negócio, terceiro contratado ou subcontratado, locatário, cessionário de espaço comercial, seja pessoa singular ou entidade coletiva/jurídica, independentemente de contrato formal ou não, que utiliza o nome da Empresa para qualquer fim ou que presta serviços, fornece materiais, interage com o Governo ou com outros em nome da Empresa.

f) Titular – pessoa singular a quem se referem os Dados Pessoais que são objeto de Tratamento.

g) Tratamento – toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

III- SOBRE A IMPORTÂNCIA DA PRIVACIDADE E PROTEÇÃO DE DADOS

Os Dados Pessoais são considerados ativos valiosos e devem ser objeto de tratamento eficaz, a fim de cumprir os objetivos de negócios, as expectativas dos investidores e funcionários quanto à exatidão e segurança e a conformidade com a GDPR e outras leis de proteção de dados aplicáveis. A GDPR tem como objetivos, entre outros, garantir boas práticas de uso de Dados Pessoais, responsabilizar os agentes responsáveis pelo tratamento de Dados Pessoais e garantir os direitos dos Titulares. Em caso de eventual descumprimento da GDPR, a Premiumbravo pode ficar sujeita a ações judiciais e sanções administrativas, incluindo a imposição de multas. Além disso, um descumprimento da GDPR pode causar danos à imagem da Premiumbravo perante terceiros, incluindo danos à reputação e perda de confiança dos investidores, publicidade negativa, perda de negócios, interrupção operacional, sanções e litígios.

PARA QUE SERVE O PROGRAMA?

Um programa de privacidade e proteção de dados pessoais bem construído e abrangente é uma ferramenta eficaz de gerenciamento de riscos. A GDPR exige que todos os Empregados estejam cientes e cumpram os seus requisitos. É importante que os Dados Pessoais sejam objeto de Tratamento de maneira consistente com a GDPR e este Programa.

VINCULAÇÃO AO PROGRAMA DA PREMIUMBRAVO

Este Programa foi desenhado para abranger a empresa Premiumbravo, bem como as suas sucursais e quaisquer empresas que eventualmente estejam sob a sua administração, atuando como grupo económico. Desta forma, devemos:

1. realizar avaliações de risco de privacidade e proteção de dados pessoais, considerando as leis aplicáveis;

2. ter políticas e processos em vigor para cumprir as exigências legais aplicáveis;

3. incluir privacidade e proteção de dados pessoais nos nossos relatórios; e

4. ter um processo de resposta a incidentes.

DOCUMENTOS DESTE PROGRAMA

O ‘Anexo 1’ inclui uma breve descrição dos documentos incluídos neste Programa. Vários destes documentos são internos e funcionam como um guia para a Premiumbravo e seus funcionários.

GOVERNANÇA E LIDERANÇA PELO EXEMPLO

A administração da empresa está comprometida com o cumprimento de todas as exigências legais e regulamentares aplicáveis, incluindo aquelas relacionadas à proteção e privacidade de Dados Pessoais, cabendo-lhe o exemplo, liderança e supervisão para o desenvolvimento, implementação e operação do Programa. A empresa conta com um Comitê de Privacidade de Dados Pessoais (Comitê), composto pelas áreas de Recursos Humanos, Administrativo e Marketing, o qual foi constituído para zelar pelo cumprimento deste Programa, da GDPR e das exigências legais e regulamentares aplicáveis relacionadas à privacidade e proteção de Dados Pessoais. O Encarregado é a pessoa designada que será responsável pela representação da empresa perante o Governo, bem como pelo monitoramento e desenvolvimento deste Programa, reportando-se ao Comitê. As funções e responsabilidades de governança no âmbito deste Programa estão descritas no ‘Anexo B’.

MONITORAMENTO DE CONFORMIDADE

O Encarregado deve avaliar a conformidade deste Programa, dos documentos relacionados e de todas as práticas da empresa com a GDPR e demais legislações de proteção de Dados Pessoais aplicáveis através de avaliações periódicas.

COMUNICAÇÃO E TREINAMENTO

O objetivo deste Programa é garantir que as políticas e procedimentos de privacidade e proteção de Dados Pessoais sejam incorporados e compreendidos através de comunicação interna e externa, incluindo treinamentos. A filosofia e as diretrizes deste Programa devem ser comunicadas aos funcionários e aos terceiros com quem fazemos negócios, quando apropriado.

CONTACTOS-CHAVE

Se tiver alguma dúvida relacionada a este Programa ou aos documentos aqui mencionados, entre em contato com o setor Administrativo (Clara Cardoso – clara.cardoso@premiumbravo.pt)

ANEXO A

Documentos do Programa de Privacidade e Proteção de Dados Pessoais

Política de Proteção de Dados Pessoais (“Política”)

A Política é o documento interno que descreve a forma como os Dados Pessoais devem ser tratados pelos funcionários para cumprir as normas de proteção de dados e garantir a conformidade com a lei aplicável, incluindo a GDPR e este Programa.
Terceiros

a. Cláusula de Proteção de Dados Pessoais Quando um Terceiro (por exemplo, um fornecedor de TI) trata, retém, acessa ou usa Dados Pessoais para ou em nome da Premiumbravo (e não trata os Dados Pessoais para seus próprios fins), é recomendável que um contrato por escrito seja firmado e que esse contrato contenha cláusulas específicas para proteção e privacidade de Dados Pessoais. Essas cláusulas são estabelecidas para garantir que o tratamento realizado por Terceiros cumpra todas as exigências legais aplicáveis.
b. Lista de Verificação de Diligência em Privacidade e Proteção de Dados Pessoais A lista de verificação estabelece as questões relevantes que devem ser consideradas ao realizar a diligência em relação a aquisições, empreendimentos conjuntos (joint ventures) ou demais transações corporativas. Tal lista de verificação não pretende ser exaustiva e a diligência necessária dependerá das especificidades de cada transação.
c. Cláusulas de Confidencialidade (quando a Premiumbravo for o divulgadora de Dados Pessoais) Quando a Premiumbravo revelar Dados Pessoais (por exemplo, passaportes de diretores/informações sobre funcionários) a Terceiros, deverão ser incluídas disposições contratuais específicas para assegurar que o Terceiro receptor dos Dados Pessoais seja contratualmente obrigado a cumprir a lei aplicável, incluindo a GDPR. Observe que, se o Terceiro for um fornecedor que tratará apenas os Dados Pessoais em nome da Premiumbravo, prevalecerá o disposto no ‘item 2a’ acima.
d. Cláusulas de Confidencialidade (quando a Premiumbravo for a receptora de Dados Pessoais) Quando à Premiumbravo forem revelados Dados Pessoais (por exemplo, passaportes de diretores/informações sobre colaboradores) de Terceiros, esses Terceiros podem exigir que as cláusulas de privacidade sejam incluídas no acordo de confidencialidade ou outros documentos aplicáveis.
Política de Segurança da Informação

Descreve o processo de proteção da confidencialidade, disponibilidade e integridade das informações. Essa política foi estabelecida para proteger todos os ativos que contêm informações, incluindo, entre outros, documentos, computadores, dispositivos móveis e componentes de infraestrutura de rede pertencentes, alugados ou mantidos, controlados e/ou utilizados pela empresa, conforme aplicável.
Plano de Resposta a Incidentes de Segurança da Informação
Define a estrutura e os processos desenvolvidos para (i) detectar e reagir a incidentes de segurança da informação, (ii) determinar o seu escopo, riscos e a resposta apropriada, (iii) comunicar os resultados e riscos a todas as partes interessadas relevantes e (iv) reduzir a probabilidade de recorrência. Esse plano deve ser lido em conjunto com as outras políticas e procedimentos, incluindo a Política de Segurança da Informação (ver item 3 acima) e a Política de Privacidade e Proteção de Dados Pessoais (ver item 1 acima).
Aviso sobre Privacidade e Proteção de Dados de Empregados
Resume as maneiras pela qual a Premiumbravo coleta, utiliza, divulga e gerencia Dados Pessoais de seus empregados e respectivos dependentes (se aplicável), além de especificar os seus direitos em relação aos seus Dados Pessoais. Este aviso deve ser fornecido ao funcionário no momento da sua admissão e deve ser atualizado sempre que necessário.

Aviso sobre Privacidade e Proteção de Dados de Candidatos
Resume as maneiras pelas quais a Empresa coleta, usa, divulga e gerencia Dados Pessoais de indivíduos que se candidatam a emprego na Empresa, além de especificar os direitos dos titulares em relação aos seus Dados Pessoais. Este aviso deve ser fornecido ao candidato quando os seus Dados Pessoais forem coletados.
Políticas e Avisos do Website
a. Política de Proteção de Dados e Aviso de Privacidade do Website – descreve as maneiras pelas quais a Empresa coleta, usa, divulga e gerencia Dados Pessoais de usuários do site da Empresa, além de especificar os direitos dos titulares em relação aos seus Dados Pessoais.
b. Termos de Uso do Site – são os termos que regulam o uso do sítio da Empresa pelos usuários. c. Política de Cookies – informa aos usuários do sítio da Empresa como os cookies são utilizados e como os usuários podem bloquear os cookies. Cookies são pequenos arquivos de texto que armazenam informações sobre a interação do usuário com um sítio temporariamente ou permanentemente no disco rígido do dispositivo do usuário.

ANEXO B

Papéis e Responsabilidades

administração da Premiumbravo

A administração da Premiumbravo é responsável por garantir que a empresa cumpra suas obrigações legais em relação à privacidade e proteção de dados. A Premiumbravo nomeou um Encarregado de Privacidade para lidar com questões relacionadas a estas áreas. Em caso de dúvida ou preocupação sobre o tratamento de dados pessoais ou sobre esta Política, entre em contato com a pessoa relevante usando as informações de contato: clara.cardoso@premiumbravo.pt.
2. Comitê da Empresa
O Comitê da Empresa é responsável por garantir o cumprimento das obrigações legais relacionadas à privacidade e proteção de dados, incluindo a GDPR. Eles também são responsáveis por eleger e destituir o Encarregado, que é responsável por monitorar a conformidade com este Programa, revisar e aprovar periodicamente os procedimentos de proteção de dados e políticas relacionadas, lidar com consultas de proteção de dados de Empregados, lidar com solicitações relacionadas a Dados Pessoais feitas por titulares, organizar treinamento e consultoria em proteção de dados para Empregados e manter o Comitê informado sobre alterações nas atividades de Tratamento de dados.
3. Departamento Jurídico (terceirizado)
a) Revisar e aprovar contratos ou acordos com terceiros, incluindo a celebração de acordos de proteção de dados pessoais e eventuais termos de transferência.

b) Manter o comitê informado sobre eventuais exigências legais de proteção de dados, privacidade e segurança cibernética, incluindo suas atualizações.

4. Departamento de TI (terceirizado)

a) assegurar que os sistemas, serviços e equipamentos utilizados para armazenar Dados Pessoais cumpram as normas de segurança aceitáveis;
b) executar verificações regulares para garantir que o hardware e o software funcionem corretamente; e
c) avaliar os serviços de Terceiros que a Empresa esteja a ponderar usar para armazenar ou processar Dados Pessoais.
5. Cada Empregado

Responsável por conduzir as suas atividades de acordo com a legislação aplicável, incluindo a GDPR, e por assegurar o tratamento adequado dos Dados Pessoais sob a sua responsabilidade.