Política de Privacidade e Tratamento de Dados Pessoais

LRL Consulting, Unipessoal Lda

Objetivos:

A LRL Consulting, Unipessoal Lda, pessoa coletiva nº 510.900.607, com sede na Avenida Marechal Gomes da Costa, 1255, 4150-360, no Porto, estabeleceu como prioridade nas suas políticas internas a proteção dos dados pessoais por si recolhidos e tratados.

Como tal, serve a presente política o propósito integrar os conceitos e as diretrizes necessárias à boa compreensão daquilo que será́ uma boa conduta ao abrigo do Regulamento (EU) 2016/679, de 27 de abril de 2016 (Regulamento Geral sobre a Proteção de Dados Pessoais ou RGPD) que vincula a LRL Consulting, Unipessoal Lda na qualidade de Responsável pelo Tratamento de Dados ao abrigo deste mesmo Regulamento.

Esta política vincula a LRL Consulting, Unipessoal Lda no exercício da sua atividade, os colaboradores da LRL Consulting, Unipessoal Lda no exercício das suas funções, e as suas relações com parceiros, podendo ser alterada a todo o tempo na medida do necessário à sua atualização e correção.

Responsável pelo tratamento de Dados Pessoais:

A LRL Consulting, Unipessoal Lda é, nos termos do RGPD e ao abrigo desta política, responsável pelo Tratamento de Dados Pessoais, sendo responsável por eventuais danos que resultem para os titulares dos dados pessoais objeto das operações de tratamento que realiza.

Esta qualidade deriva do facto de recolher e tratar (operações de tratamento) dados pessoais de pessoas singulares que, independentemente da sua nacionalidade ou local de residência, se encontram na União Europeia.

Como tal considerou a necessidade de um plano de controlo, manutenção e proteção da privacidade dos titulares dos dados que tratam nessa qualidade, em conformidade e nos termos do RGPD.

Especialmente, a LRL Consulting, Unipessoal Lda assume, nos termos desta política, o dever de:

  • Aplicar medidas técnicas e organizativas adequadas a assegurar e a comprovar que as operações de tratamento que realizam são conformes com o RGPD.
  • Cooperar com as autoridades de controlo e supervisão, reportando situações de incidentes e solicitando pareceres.
  • Adotar mecanismos e procedimentos de comunicação, céleres e eficazes, com o titular dos dados pessoais, bem assim como as medidas técnicas e organizativas necessárias à assistência e salvaguarda dos direitos do titular dos dados pessoais.
  • Identificar subcontratantes de forma a regular as suas relações com os mesmos nos termos do RGPD.
  • Cooperar ativamente com o Encarregado de Proteção de Dados.

Sobre os dados pessoais e seu tratamento:

A LRL Consulting, Unipessoal Lda reconhece que para que esta política seja o mais eficiente possível é necessário compreender o que são dados pessoais e saber identificálos. Desta forma, todos os parceiros colaboradores com quem se relacionem, assim como o próprio titular de dados pessoais nas operações de tratamento de dados que aquelas conduzam, conseguirão compreender os seus deveres e/ou direitos em matéria de proteção de dados através da identificação dos seguintes conceitos:

A. Identificar dados pessoais e operações de tratamento

DADOS PESSOAIS engloba qualquer informação, independentemente da natureza e do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular, suscetível de a identificar ou de a tornar identificável, direta ou indiretamente, por referência a um identificador. Designadamente por referência a números de identificação, elemento(s) específico(s) da sua identidade física, fisiológica, psíquica, económica, cultural ou social - como através da sua representação por fotografias, voz, impressão digital e serviços de videovigilância, de publicações em redes sociais, do historial clínico e/ou escolar, dos gostos musicais, dados de localização, identificadores por via eletrónica - endereços IP, cookies e outras tecnologias semelhantes.

Não serão dados pessoais as informações anónimas ou as que foram tornadas de tal modo anónimas que o seu titular não seja ou deixe de ser identificado ou identificável (dados anónimos), mas já́ o serão os dados pseudoanónimos na medida em que permitem a identificação do seu titular através de informações adicionais um endereço de e-mail criptografado ou um ID de usuário.

OPERAÇÃO DE TRATAMENTO DE DADOS PESSOAIS é toda aquela atividade que seja efetuada sobre dados pessoais, independentemente do meio através do qual é realizada (automatizado ou não), tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou a interconexão, a limitação, o apagamento ou a destruição em conformidade com o artigo 4º do RGPD.

B. Categorias de dados pessoais

O RGPD além de definir o conceito de dados pessoais introduziu também a necessidade de os categorizar, inclusive, através da consagração de obrigações que impendem sobre o Responsável pelo Tratamento de Dados Pessoais a este respeito.

Nas relações com a LRL Consulting, Unipessoal Lda relevam as operações de tratamento de dados pessoais sobre as seguintes categorias de dados:

Dados sensíveis: São assim categorizados os dados que merecem proteção acrescida uma vez que o seu tratamento poderá não justificar o risco sobre os direitos, liberdades e interesses fundamentais do titular (nomeadamente, o seu direito à reserva da vida privada e demais direitos conexos).

A LRL Consulting, Unipessoal Lda apenas trata dados desta natureza mormente dados biométricos e dados relativos à saúde - em relação ao seu quadro de colaboradores na área da Gestão da Informação dos Serviços de Segurança, Higiene e Saúde no Trabalho, bem como dos seus utentes.

Por força do Código do Trabalho o empregador é obrigado a organizar as suas atividades de segurança, higiene e saúde no trabalho dirigidas à prevenção de riscos profissionais e a promoção de saúde do trabalhador. Pelo que decorre de previsão legal a possibilidade de serem tratados dados desta natureza, respeitantes a medicina preventiva ou do trabalho. Não obstante, em situações de ausência de previsão legal, interesse legítimo da LRL Consulting, Unipessoal Lda, interesse de ordem pública e social e, em primeira linha, interesses vitais dos titulares dos dados, que legitime este tratamento, dados desta natureza serão ser recolhidos e usados apenas mediante autorização expressa do seu titular.

Ainda assim, operações de tratamento deste cariz sempre respeitarão as obrigações legais relacionadas com a proibição de transferência, segurança do seu tratamento e limitação do mesmo à finalidade prosseguida. Especialmente serão asseguradas garantias de não discriminação, medidas de controlo de hábitos pessoais limitar-se-ão na justa medida em que estas informações se possam relacionar com certas sintomatologias e outros dados de saúde, e, medidas de segurança da informação serão consideradas. Tal inclui a própria conservação dos documentos de forma segura e pelo período legalmente definido, a concretização de medidas internas quanto à circulação e acesso dessa informação, e a separação destes dados pessoais dos demais.

Recolhidos por profissional obrigado ao sigilo: Os dados sensíveis recolhidos para efeitos de medicina preventiva ou do trabalho, para efeitos de avaliação da capacidade de trabalho do empregado, diagnóstico médico, prestação de cuidados de saúde ou de ação social, só serão usados por ou sob responsabilidade de um profissional sujeito à obrigação de sigilo profissional para que o seu tratamento se considere lícito e seguro. Tratamento autorizado por disposição legal: Os dados sensíveis recolhidos para efeitos de medicina preventiva ou do trabalho visam, primeiramente - assegurar o cumprimento de obrigações legais na área do Direito laboral, e é neste sentido que o seu tratamento se pode considerar devidamente fundamentado e, consequentemente, lícito. Neste âmbito, existe a obrigação legal de conservação dos dados, que, nos termos da legislação nacional aplicável, se encontra definida em 40 anos de manutenção de todos os registos referentes a este serviço, sendo que existe também a obrigação de transferir todos estes dados para os ministérios competentes (ministério do trabalho, solidariedade e segurança social e ministério da saúde) se, antes de decorridos 40 anos, a entidade patronal for extinta.

Tratamento que não exige identificação: Sempre que no exercício das suas atividades de processamento de dados pessoais, a LRL Consulting, Unipessoal Lda não tiver obtido, não mantiver ou não trate informações que permitem identificar um titular de dados pessoais, apenas se este fornecer informações adicionais é que aquelas se obrigam a assistir os direitos dos titulares dos dados tratados. Tal acontecerá, desde logo, quando os dados sejam usados de forma anónima para fins estatísticos.

C. Licitude do tratamento

O RGPD prevê as situações em que o tratamento de dados pessoais se considera fundamentado e, consequentemente, pode ser feito de forma lícita:

Consentimento: A LRL Consulting, Unipessoal Lda apenas solicitará o consentimento do titular quando não exista outro fundamento para o tratamento de dados que pretende realizar, recorrendo a mecanismos que permitam documentar os termos em que o consentimento prestado.

Apenas existirá consentimento quando revelado por um ato positivo, claro e que reflita a vontade livre, específica, informada e inequívoca do titular dirigida ao tratamento dos dados que lhe digam respeito. Em momento algum poderão ser utilizados artifícios com vista à obtenção indevida do consentimento do titular de dados, como o uso de opções pré-validadas ou do silêncio como forma de consentimento implícito.

O consentimento pode ser prestado verbalmente se devidamente documentado.

Obrigação jurídica: Apenas será válida a finalidade baseada em direito da União Europeia ou de um Estado-Membro.

Finalidade compatível com aquela para a qual os dados foram inicialmente recolhidos: Nestes casos não é necessário justificar as operações de tratamento de dados pessoais com um fundamento jurídico distinto daquele que permitiu a recolha inicial daqueles dados, conquanto é nuclear o dever de se averiguar, entre outros:

  • Do cumprimento dos requisitos de licitude do tratamento inicial.
  • A existência de uma ligação entre a primeira finalidade e aquela a que se destina a nova operação de tratamento que se pretende efetuar.
  • Do contexto em que os dados pessoais foram recolhidos, em especial as expectativas razoáveis do titular dos dados quanto à sua posterior utilização, baseadas na sua relação com o responsável pelo tratamento.
  • Da natureza dos dados pessoais.
  • Das consequências que o posterior tratamento dos dados pode ter para o seu titular.
  • Da existência de garantias adequadas tanto no tratamento inicial como nas outras operações de tratamento previstas.

Interesses legítimos prosseguidos pelo responsável pelo tratamento de dados pessoais ou por terceiros: O tratamento de dados fundamentado em interesses próprios da LRL Consulting, Unipessoal Lda ou de eventuais parceiros apenas será lícito se não implicar que algum direito ou liberdade fundamental do titular seja descurado. Poderá existir interesse legítimo quando:

  • Existindo uma relação relevante e apropriada entre a LRL Consulting, Unipessoal Lda e o titular dos dados (por exemplo, em caso de o titular ser utente da LRL Consulting, Unipessoal Lda), e este consiga espectar tratamento adicional dos seus dados.
  • Seja necessário à prevenção e controlo de fraude.
  • Sirva efeitos de comercialização direta.
  • Os dados sejam transferidos dentro da LRL Consulting, Unipessoal Lda e que justifiquem a transmissão de dados pessoais entre si e em respeito pelos demais normativos do RGPD (essencialmente os relativos à transmissão de dados para países terceiros).

D. Licitude do tratamento: conservação e finalidade

O tratamento lícito de dados pessoais poderá ainda pressupor a identificação de uma finalidade específica de tratamento, e dependerá sempre da definição dos períodos de duração do tratamento e da conservação dos dados pessoais tratados.

Sobre a finalidade: No momento da recolha de dados pessoais o titular dos dados deve autorizar o tratamento dos seus dados relativamente para uma ou várias finalidades específicas e explicitas que serão por si conhecidas.

Sobre a duração: A operação de tratamento de dados pessoais deve ser feita pelo período mínimo necessário, findo o qual a LRL Consulting, Unipessoal Lda cessará a atividade de tratamento ou renovará os requisitos de licitude do mesmo. A duração da operação de tratamento poderá extravasar as finalidades em prol das quais os dados foram recolhidos em função do que resultar das disposições legais associadas a períodos obrigatórios de tratamento de dados e dos prazos legais relativos a defesa dos direitos das partes.

E. Dados pessoais na estrutura empresarial

Os dados pessoais dizem respeito a um titular de dados pessoais que, entre uma empresa podem ser dos (A) colaboradores ou de (B) outras pessoas com quem a empresa se relacione mormente utentes e prestadores de serviços.

F. Dados pessoais dos colaboradores

No exercício de atividade que prosseguem, a LRL Consulting, Unipessoal Lda recolhe e trata dados pessoais de colaboradores em vários e distintos momentos, nomeadamente: No âmbito de recrutamento e contratação: O recrutamento tanto pode ter por base um processo promovido pela LRL Consulting, Unipessoal Lda, nomeadamente com a publicitação de ofertas de emprego no seu website – como a receção de currículos vitais a título de candidaturas espontâneas.

O procedimento de recrutamento, poderá implicar que a LRL Consulting, Unipessoal Lda estabeleça várias fases de tratamento de informação e que vão desde o recebimento dos currículos, à avaliação dos mesmos e à seriação de candidatos. Em última linha, o recrutamento culmina em momento negocial e de contratação, em que os dados recolhidos em sede de recrutamento serão transversais ao contrato de trabalho a celebrar. Este tratamento será sempre feito com intervenção humana.

Em cumprimento de obrigações legais: No que concerne ao tratamento de dados de colaboradores, existe um formato de tratamento de dados bem vincado e que tem por génese aquilo que são as obrigações legais existentes:

  • Para o cumprimento de obrigações legais para com a segurança social: envio de dados para serviços de contabilidade para inscrição e cessação de colaboradores junto da segurança social, para efeitos de inscrição e cessação de colaboradores no fundo de garantia salarial, e bem assim como para resolução de questões em geral referentes aos trabalhadores com esta entidade pública.
  • Envio de dados de trabalhadores para seguradoras com vista ao cumprimento de obrigações legais referentes ao seguro de acidentes de trabalho, tais como envio de recibos de vencimento e de listagem completa dos colaboradores para o mediador de seguros.
  • Para cumprimento do Código de Trabalho no que diz respeito às obrigações do empregador, designadamente com vista à realização de formação profissional e a registos de horário e de férias. É neste seguimento que a LRL Consulting, Unipessoal Lda poderá transferir dados dos seus colaboradores a uma das empresas do grupo para esse efeito.
  • Para o cumprimento de obrigações legais para com a autoridade para as condições de trabalho e demais entidades estatais ou privadas. As operações que tenham por base o cumprimento de uma obrigação legal não prejudicam o dever da LRL Consulting, Unipessoal Lda no que diz respeito à limitação do tratamento de dados ao mínimo necessário e às garantias de segurança destes dados. No âmbito da gestão da informação dos serviços de segurança, higiene e saúde no trabalho: Em cumprimento das obrigações relacionadas com a organização das atividades de segurança, higiene, e saúde no trabalho, a LRL Consulting, Unipessoal Lda opta por centralizar a estes serviços nos seus quadros internos. Em sede de Gestão da Informação destes serviços, a LRL Consulting, Unipessoal Lda poderá recorrer a:
  • Programas de gestão empresarial e programas especializados em Gestão da Segurança, Higiene e Saúde no Trabalho.
  • Programas de registo de ponto que recolhem dados biométricos.

Em relação a estas operações de tratamento sobre dados sensíveis: serão tomadas as medidas necessárias à segurança e proteção dos mesmos, especialmente no sentido de evitar discriminações e outras práticas atentatórias dos direitos e liberdades dos colaboradores. Tal passará pela criação de políticas internas de restrição de aceso e outras medidas de segurança físicas e lógicas, nomeadamente sobre os servidores dos sistemas, bem como pela realização de cópias de segurança da informação.

Em sede de videovigilância: Nas áreas de acesso das suas instalações, a LRL Consulting, Unipessoal Lda recorre a sistemas de captação de vídeo para efeitos de segurança de todos os seus colaboradores e demais entidades que consigo se relacionem. É neste contexto que os dados dos colaboradores da LRL Consulting, Unipessoal Lda e demais visitantes das suas instalações serão tratados, concretamente, a sua imagem.

Nunca a LRL Consulting, Unipessoal Lda utilizará estes meios para filmar regularmente a execução do trabalho pelos seus colaboradores com vista ao controlo da sua atividade, não utilizando os dados recolhidos no demais sem autorização do seu titular a não ser que se sobreponham razões superiores, nomeadamente de interesse público, como no âmbito de investigações criminais devidamente identificadas.

Neste seguimento, os dados estarão sempre devidamente assegurados nos termos desta política, sendo acedidos apenas em caso de alerta ou de auditoria e não sendo transferidos a terceiros que não nos termos legalmente previstos.

Durante o tempo em que a LRL Consulting, Unipessoal Lda é legalmente obrigada a conservar estes dados - 30 dias -, poderá o titular exercer os seus direitos nos termos desta política, findo o qual serão destruídos. Tal não acontecerá, desde logo, se razões superiores se sobrepuserem, nomeadamente de interesse público, como no âmbito de investigações criminais devidamente identificadas.

Os locais objeto de videovigilância encontrarão sempre avisos informativos a alertar para este facto, identificando, igualmente, que pode exercer os seus direitos relativos a estes dados junto da LRL Consulting, Unipessoal Lda.

No seguimento da boa gestão dos recursos humanos e da relação contratual: No que diz respeito à gestão dos postos de trabalho e da estrutura humana da empresa a LRL Consulting, Unipessoal Lda adota várias medidas administrativas que envolvem o tratamento de dados pessoais de colaboradores, tais como:

  • Realização de auditorias de ambiente e qualidade promovidas pelo Departamento competente da LRL Consulting, Unipessoal Lda e que implica, entre outras operações de tratamento de dados pessoais, tratarem qualificações de colaboradores.
  • Interposição de medidas de apoio ao emprego junto do IEFP.
  • Troca de correspondência com os colaboradores, por carta ou e-mail.
  • Envio de comunicações internas, por exemplo através de newsletters a comunicar novos colaboradores, com o nome e fotografia dos mesmos, e departamento que vão integrar.
  • Publicação de fotografias em redes sociais e outros meios acessíveis ao público em geral para efeitos de publicidade da LRL Consulting, Unipessoal Lda.

Todas estas formas de tratamento de dados derivam do consentimento expresso do colaborador, de interesses legítimos, ou de interesses públicos superiores, sendo o mesmo informado desta POLÍTICA aquando a celebração do contrato de trabalho.

A conservação destes dados será feita pelo período em que durar a relação contratual salvo se as disposições legais aplicáveis estabelecerem outros prazos de conservação, o colaborador nisso expressamente consentir, ou se existirem interesses superiores devidamente identificados e definidos em conformidade com esta política.

São prazos legalmente definidos de conservação (prazos extensíveis licitamente desde que sejam interesses legítimos da LRL Consulting, Unipessoal Lda):

  • Dados obtidos durante o recrutamento: 5 anos.
  • Contratos de trabalho: até 12 anos após a cessação do contrato de trabalho.
  • Documentos comprovativos de inscrição e cessação junto da Segurança Social, Fundo de Garantia Salarial, Autoridade para as Condições do Trabalho: até 12 anos após a cessação do contrato de trabalho.
  • Elementos contabilísticos (recibos de vencimento, relatório único, etc.): até 12 anos após a cessação do contrato de trabalho.
  • Elementos obrigatórios ao nível do serviço de segurança, higiene e saúde no trabalho - 40 anos desde a data da sua realização.
  • Elementos referentes a formação profissional: até 1 ano após a cessação da relação laboral, mas sempre 3 anos após fornecimento da formação ao colaborador.
  • Registos laborais obrigatórios (registo de horário, registo de férias, mapa de horário de trabalho, etc.): em determinados casos poderá guardar-se até 12 anos, necessitando avaliação in casu, sendo que em princípio o período de conservação será de até 1 ano após a cessação do contrato de trabalho.
  • Documentos respeitantes a seguros: no mínimo 5 anos, e, dependendo da apólice de seguro subscrita, pode atingir o prazo de 1 ano após a cessação contratual se revelar-se superior a 5 anos.

Quanto a formas de conservação, a LRL Consulting, Unipessoal Lda conservará dados em vários formatos e suportes, recorrendo essencialmente ao formato digital, e fá-lo-á mantendo um arquivo sob as medidas técnicas e organizativas necessárias ao resguardo de dados e ao bom exercício dos direitos por parte dos seus titulares.

G. Princípios que vinculam o tratamento de dados pessoais

Princípio da licitude: Apenas serão tratados dados quando exista um fundamento legítimo previsto por lei, em total salvaguarda dos direitos dos respetivos titulares. Princípio da transparência: Todas as comunicações e informações relacionadas com as operações de tratamento de dados pessoais serão de fácil acesso e formuladas em linguagem clara e precisa. A LRL Consulting, Unipessoal Lda privilegiará a recolha de dados pessoais junto do titular dos dados, atuando na medida do possível para salvaguardar que o mesmo está devidamente informado sobre as operações de tratamento conduzidas sobre os seus dados pessoais.

Princípio da limitação das finalidades: Apenas serão tratados dados pessoais na medida em que fins do tratamento não possam ser atingidos por outros meios.

Princípio da minimização dos dados e da limitação do seu tratamento: Apenas serão usados os dados pessoais adequados, pertinentes e limitados às necessidades decorrentes dos fins do tratamento, assim como apenas serão conservados pelo período mínimo para o efeito. A LRL Consulting, Unipessoal Lda estabelecerá prazos de conservação de dados para cada operação de tratamento que lhes diga respeito, findo os quais estes serão destruídos ou apagados; bem como existirá uma revisão regular e periodicamente a licitude dos dados tratados. Sempre que possível, os dados usados serão anonimizados.

Princípio da exatidão, da integridade e da lealdade dos dados: Para evitar que os dados pessoais tratados sejam indevidamente manuseados a LRL Consulting, Unipessoal Lda adotará medidas capazes de manter estes dados corretos, atualizados e íntegros, nomeadamente contra a sua perda, destruição ou danificação sob pena de serem apagados.

Princípio da confidencialidade: Os dados pessoais serão tratados de uma forma capaz de garantir a sua segurança e confidencialidade.

H. Direitos dos titulares dos dados pessoais

A privacidade da pessoa é um direito fundamental cada vez mais privilegiado.

Direito de acesso: O titular dos dados pessoais pode solicitar à LRL Consulting, Unipessoal Lda o acesso aos dados por si facultados, assim como pode procurar obter as informações que estejam relacionadas com o seu tratamento sobre quem realmente trata os seus dados pessoais, quais os prazos de tratamento associados, as categorias de dados em que se inserem, e até os direitos de que dispõe sobre os mesmos.

Direito de retificação: O titular dos dados pessoais pode e deve retificar os mesmos, não sendo a LRL Consulting, Unipessoal Lda responsável pelos danos que resultem da negligência e do descuido do titular na retificação dos seus dados sempre que as medidas de segurança pertinentes e adequadas tenham sido tomadas.

Direito à limitação e ao apagamento (direito a ser esquecido): Quando o titular dos dados pessoais entender que as políticas de privacidade apresentadas não são suficientes e quiser ser esquecido pelas bases de dados da LRL Consulting, Unipessoal Lda, pode requerer a limitação de tratamento relativamente a todos ou alguns dos dados pessoais tratados e, em última instância, o apagamento dos mesmos quando:

  • Verifique que os dados mantidos não estão exatos.
  • Considere ou não que os dados são desnecessários às finalidades para as quais foram recolhidos.
  • Em caso de ter exercido o seu direito de oposição.
  • Se os dados forem tratados ilicitamente.
  • Para cumprimento de uma obrigação legal; ou,
  • Quando seja o consentimento para o tratamento dado por um menor.

Direito de portabilidade: O titular pode requerer portabilidade dos seus dados pessoais mediante o preenchimento e envio de um modelo de formulário de "pedido de portabilidade de dados pessoais" dirigido à LRL Consulting, Unipessoal Lda.

Desde que tal seja tecnicamente possível, em formato estruturado, de uso corrente e de leitura automática, esta transferirá os dados solicitados nos termos do solicitado.

Direito de oposição: Sempre que os dados pessoais tratados sejam utilizados para salvaguardar interesses legítimos próprios da LRL Consulting, Unipessoal Lda, de eventuais parceiros com quem se relacione, ou de interesses públicos identificados, e o titular de dados pessoais entenda que a forma como os seus dados pessoais são tratados não é a mais indicada à sua situação particular ou que não serve as finalidades para as quais foram facultados, tem o direito de opor-se a tal tratamento.

Sempre que assistirem os titulares dos dados no exercício dos seus direitos, a LRL Consulting, Unipessoal Lda poderá pedir informações adicionais com vista a comprovar titularidade dos dados e natureza do pedido, podendo, caso se justifique, cobrar taxas associadas a este serviço de fornecimento de dados.

A LRL Consulting, Unipessoal Lda não está obrigada a socorrer os pedidos dos titulares dos dados se tal resultar de disposições legais, nomeadamente como acontece com aos prazos de prescrição ou de caducidade de créditos.

I. Tutela dos direitos do titular

A presente política visa propósitos essencialmente informativos e de transparência não invalidando que o titular de dados pessoais que se sinta prejudicado nos seus direitos se socorra dos meios adequados à sua tutela.

O titular pode apresentar reclamações à Autoridade de Controlo e Supervisão, recorrer às vias judiciais ou, ainda, tentando a resolução da sua situação diretamente junto da LRL Consulting, Unipessoal Lda.

Para efeitos de processamento de reclamações, os dados facultados serão tratados em função da duração da comunicação estabelecida e do tempo necessário à resolução do conflito apresentado.

J. Obrigação de informação

Além de outros deveres de informação plasmados nesta política, os titulares de dados pessoais tratados pela LRL Consulting, Unipessoal Lda, serão informados do seguinte:

  • A identidade e os contactos da LRL Consulting, Unipessoal Lda.
  • As finalidades do tratamento a que os dados pessoais se destinam ou o fundamento jurídico para o tratamento.
  • Da transferência dos dados pessoais para um país terceiro ou uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão.
  • Da existência de interesses legítimos da LRL Consulting, Unipessoal Lda ou de entidade terceira, subjacentes ao tratamento de dados.
  • Os destinatários ou categorias de destinatários dos dados pessoais.
  • Do prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo.
  • Dos seus direitos e forma de exercício dos mesmos.

K. Confidencialidade do tratamento

As operações de tratamento de dados pessoais conduzidas - diretamente pela LRL Consulting, Unipessoal são abrangidas por um dever de confidencialidade transversal aos respetivos funcionários e colaboradores.

Colaboradores e demais profissionais estão proibidos de aceder a dados pessoais de acesso não autorizado no âmbito das suas funções, e, bem assim, de dispor dos mesmos em violação dos termos contratuais aos quais estejam vinculados. Serão informados deste dever de confidencialidade que os vincula mesmo após término das suas funções, e sempre não obstante diferente solução resultar de legislação europeia.

As entidades empregadoras estabelecerão políticas de acesso a dados pessoais em razão das necessidades decorrentes das funções inerentes aos vários postos de trabalhos da sua estrutura, e será respeitado o princípio da necessidade de informação, impedindo, na medida do possível, a apropriação indevida de dados pessoais objeto das operações de tratamento conduzidas.

L. Avaliação de impacto

A LRL Consulting, Unipessoal na qualidade de Responsável pelo Tratamento de Dados Pessoais ao abrigo do RGPD, implementará as medidas e procedimentos necessários a garantir a eficácia na proteção dos direitos e liberdades das pessoas singulares de forma a mitigar elevados riscos que sobre estes recaiam aquando o tratamento de dados pessoais que leva a cabo.

Sempre que o tratamento de dados pessoais que a LRL Consulting, Unipessoal realize suscite dúvidas quanto a saber se implica ou não um elevado risco para os direitos e liberdades das pessoas singulares, realizará uma Avaliação de Impacto a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco em conformidade com o considerando (90) do RGPD.

Ademais, a LRL Consulting, Unipessoal compromete-se a conduzir tal avaliação quando:

  • Introduza novas tecnologias nas operações de tratamento de dados.
  • Realize operações de tratamento de dados em grande escala, que impliquem elevado risco para o exercício dos direitos dos seus titulares, nomeadamente, em razão da sensibilidade destes dados.
  • Utilize uma nova tecnologia de forma massiva e para controlo de dados em grande escala.
  • Trate dados pessoais com vista à tomada de decisões baseadas em tratamento automatizado de dados, concretamente, na sequência de qualquer avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares baseada na definição dos perfis desses dados ou na sequência do tratamento de categorias especiais de dados pessoais.
  • Introduza um sistema de controlo sistemático de zonas acessíveis ao público em grande escala.

A LRL Consulting, Unipessoal Lda servir-se-á destas avaliações para demonstrar o bom cumprimento do seu dever de proteção de dados pessoais, obrigando-se a solicitara opinião dos titulares dos dados pessoais ou o parecer da Autoridade de Controlo e Supervisão sempre que necessário.

Para o efeito guiar-se-á por procedimentos transparentes e eficazes capazes de:

  • Efetuar uma descrição sistemática das operações de processamento e finalidades.
  • Avaliar a necessidade e proporcionalidade das operações de processamento.
  • Identificar os mecanismos de segurança e controlo existentes.
  • Avaliar os riscos para os direitos e liberdades dos titulares dos dados.
  • Desenvolver medidas de mitigação de riscos.
  • Identificar a periodicidade da realização de Avaliação de Impacto.
  • Verificar se a Autoridade deve ser previamente consultada. Isto acontece quando da avaliação de impacto resulte na verificação da falta de garantias e de medidas e procedimentos de segurança para atenuar os elevados riscos que o tratamento implica para os direitos e liberdades das pessoas singulares, e o Responsável pelo Tratamento considere que o risco não poderá ser atenuado através de medidas razoáveis, atendendo à tecnologia disponível e aos custos de aplicação.
  • Determinar quando será necessária a assistência de um subcontratante para assegurar o cumprimento das obrigações decorrentes da realização de avaliações do impacto.

M. Violação de dados pessoais

Obrigação de reportar incidentes

Sempre que se verifique qualquer tipo de incidente que represente uma violação dos dados pessoais tratados, a LRL Consulting, Unipessoal Lda será avisada desse facto quando tenham sido os seus colaboradores ou parceiros com quem se relacionem a constatar do mesmo.

Os titulares dos dados violados serão informados sem demora injustificada - quando o incidente represente elevado risco para os seus direitos, liberdades e interesses fundamentais, mediante comunicação escrita em linguagem clara e de fácil compreensão que informe:

  • Da capacidade da empresa para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento de dados.
  • Da capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico.
  • Do processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento. Esta obrigação não é aplicável se medidas técnicas e organizativas existentes ou adotadas forem suficientes e adequadas à tutela dos titulares dos dados pessoais ou se implicar um esforço desproporcionado, casos em que é feita uma comunicação pública para o efeito. Cooperação e comunicação com a autoridade de controlo

Sempre que algum incidente de violação de dados pessoais cause um risco para os direitos, liberdades e interesses fundamentais dos seus titulares a LRL Consulting, Unipessoal Lda informará a Autoridade de Controlo e de Supervisão da ocorrência num prazo máximo de 72h sob pena de ter de justificar a sua demora.

Eventuais subcontratantes com quem a LRL Consulting, Unipessoal Lda se relacione estão obrigados a informar de ocorrências de incidentes de violação de dados pessoais logo após conhecimento de facto.

No geral: existirão relatórios de reporte que documentem as violações que ocorram e que identifique as medidas de reparação adotadas face à necessidade de reparação de danos presentes e de mitigação de danos futuros. Assim como mecanismos e procedimentos céleres e eficientes de comunicação.

A LRL Consulting, Unipessoal Lda cooperará, a par dos subcontratantes com quem se relacione, com a Autoridade de Controlo e de Supervisão da forma mais tendencial possível, com o envio de relatórios, solicitações de pareceres e orientações, e sempre que a pedido daquela entidade.

N. Segurança e privacidade no tratamento de dados: tecnologias de informação e comunicação, e outras medidas de segurança

A LRL Consulting, Unipessoal assume o compromisso de garantir a proteção da segurança dos dados pessoais que lhe são disponibilizados, através da implementação de medidas de segurança físicas e lógicas contra a sua difusão, perda, e uso indevidos, bem como contra o seu tratamento ou acesso não autorizado ou qualquer outra forma de tratamento ilícito.

Tal implica, desde logo, que os pontos de acesso a dados pessoais devam estar devidamente identificados e autenticados e restringidos mediante políticas de atribuição de direitos de acesso e privilégio, em prol da proteção de dados contra acessos não autorizados e indevidos, contra a sua perda, destruição e corrupção independentemente de os dados serem tratados digitalmente ou não. Implica também que o fluxo de dados preveja a encriptação dos mesmos bem como outras medidas que permitam o secretismo da informação transmitida.

Todas as operações de tratamento de dados estarão devidamente monitorizadas e registadas para efeitos de controlo sobre as mesmas, mas também para prova de proteção dos dados. Tal sistema de monitorização e registo deve:

  • Identificar onde os dados são tratados.
  • Identificar o responsável ou responsáveis conjuntos, subcontratantes, representantes, encarregado de proteção de dados contactos e nome.
  • Identificar a finalidade do processamento.
  • Categorizar os dados e descrever as respetivas categorias.
  • Registar detalhes do fluxo de transferências de dados: categorias de destinatários, prova de garantias adequadas.
  • Descrever genericamente as medidas de segurança implementadas (técnicas e organizacionais), por ex., por remissão para políticas internas, normas, etc.
  • Atualizar da informação recolhida e manutenção da integridade no seu conteúdo.
  • Nomeadamente através de sistemas de backup data up to date” e da realização de “disaster recovery testing”.

Contactez le centre thérapeutique Nova Via