Código de Conduta – RGPD

REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS
CÓDIGO DE CONDUTA DE PROTEÇÃO DE DADOS PESSOAIS
ASSOCIAÇÃO EMPRESARIAL DE ÁGUEDA (AEA)

Introdução

O Código de Conduta de Proteção de Dados Pessoais da Associação Empresarial de Águeda (AEA) foi elaborado no âmbito do art.º 40º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, Regulamento Geral sobre a Proteção de Dados (RGPD) e vincula todos os trabalhadores da AEA, sobre a recolha, o tratamento e a utilização de dados pessoais dos associados, dos formandos e participantes de ações similares, dos formadores, dos consultores, dos candidatos a ofertas de emprego e dos próprios trabalhadores.

Este Código aplica-se também às relações da AEA com todos os seus associados, bem como com as entidades subcontratantes nos termos do citado Regulamento.

Artigo 1º

DEFINIÇÕES
Para efeitos do presente Código são consideradas as seguintes definições estabelecidas no  Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016:

1) “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

2) “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

3) “Limitação do tratamento”, a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

4) “Definição de perfis”, qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

5) “Pseudonimização”, o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

6) “Ficheiro”, qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

7) “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à

8) “Subcontratante”, uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;

9) “Destinatário”, uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;

10) “Terceiro”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;

11) “Consentimento” do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

12) “Violação de dados pessoais”, uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

13) “Dados genéticos”, os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;

14) “Dados biométricos”, dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos

15) “Dados relativos à saúde”, dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.

Artigo 2º

CONCEITO
Para efeitos do presente Código consideram-se ações similares às ações de formação, entre outras, as seguintes iniciativas: colóquios, seminários, conferências, palestras, workshops, sessões de esclarecimento, ações de sensibilização.

Artigo 3º

RECOLHA DE DADOS
A recolha de dados para tratamento deve processar-se nos termos da lei em vigor, no estrito cumprimento dos direitos, liberdades e garantias previstos na Constituição da República Portuguesa e efetuar-se de forma lícita, legal e  transparente.
A recolha de dados pessoais pela AEA deve ser precedida de informação aos respetivos titulares sobre a finalidade que a determinou e processar-se em estrita adequação a essa finalidade.

Artigo 4º

DIREITO À INFORMAÇÃO E ACESSO
A AEA informa os seus associados, formandos e participantes de ações similares sobre a finalidade do tratamento dos respetivos dados e a identidade do responsável pelo tratamento.

Artigo 5º

RETIFICAÇÃO E ATUALIZAÇÃO DOS DADOS
Sempre que solicitado por titulares de dados, a AEA procede à retificação e atualização dos dados constantes dos seus ficheiros e bases de dados a ele respeitantes, bem como à retificação ou atualização dos dados, no prazo de 30 dias.

Artigo 6º

ELIMINAÇÃO DE DADOS PESSOAIS
Quando o titular dos dados solicitar a eliminação de dados pessoais, a AEA dará cumprimento a esse pedido no prazo de 60 dias a contar do momento legalmente permitido, considerando sempre, para o efeito, o prazo maior imposto por lei para os conservar.

Artigo 7º

DADOS SENSIVEIS
Os dados sensíveis que a AEA tiver, por lei, de recolher, serão guardados sigilosamente e só os trabalhadores estritamente necessários é que terão acesso aos mesmos.

Artigo 8º

EQUIPAMENTO DE SEGURANÇA
A AEA salvaguarda a segurança no tratamento dos dados pessoais, impedindo a consulta, modificação, destruição ou introdução de dados por pessoa não autorizada a fazê-lo.

Artigo 9º

RELAÇÕES ENTRE A AEA E OS SUBCONTRATADOS NA TRANSMISSÃO DE DADOS
A AEA apenas transmitirá dados a terceiros, sempre que for obrigada por lei, ou o seu titular o solicite e autorize.
A AEA sempre que transmita algum ficheiro tem de assegurar que o mesmo seja utilizado de acordo com a finalidade previamente estabelecida e que tal tenha sido previamente declarado à autoridade nacional de  controlo.
Sempre que a AEA ceda um ficheiro a uma subcontratada, as condições serão reduzidas a escrito, designadamente quanto à sua utilização e finalidade.

Artigo 10º

RELAÇÕES INSTITUCIONAIS COM A AUTORIDADE NACIONAL DE CONTROLO
A AEA tem o dever de colaborar com a autoridade nacional de controlo facultando-lhe as informações, sempre que solicitado e demais documentação relativa à recolha, tratamento automatizado e transmissão.

Artigo 11º

NOMEAÇÃO DO ENCARREGADO PELA PROTECÇÃO DE DADOS
O encarregado da AEA da proteção de dados tem o seguinte endereço eletrónico: miguel.coelho@aea.com.pt.
Segundo o nº 1 do artº 39º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, o encarregado da proteção de dados tem, pelo menos, as seguintes funções:

a) Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
b) Controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
c) Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35.o; d) Coopera com a autoridade de controlo;
e) Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36º do mesmo Regulamento, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto. De acordo com o nº 2 do mesmo Regulamento, o encarregado da proteção de dados, no desempenho das suas funções, tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

Artigo 12º

SEGREDO PROFISSIONAL
Todos os trabalhadores da AEA que tratem dados pessoais estão obrigados ao sigilo profissional sobre os mesmos, nomeadamente de não poder revelar ou utilizar esses dados, exceto nos casos em que a lei o obrigue, nomeadamente quando as entidades públicas exijam a transmissão de dados, nomeadamente, entidades policiais, tribunais, finanças, segurança social ou outras entidades públicas, Ordem dos Contabilistas Certificados, Associação Empresarial de Portugal, esta enquanto  Organismo Intermédio do POCI – Programa Operacional Competitividade e Internacionalização, advogados.

Artigo 13º

RESPONSABILIDADE
Todos os trabalhadores da AEA são responsáveis individualmente pela violação ou transmissão ilegal dos dados pessoais que a AEA possua na sua base de dados.
Essa responsabilidade será aferida de acordo com a gravidade da situação em causa.

Artigo 14º

RECEÇÃO E TRATAMENTO DAS RECLAMAÇÕES
Os interessados que pretendam reclamar pela violação dos seus dados, devem-no fazer diretamente ao responsável pela proteção, através de e-mail para o endereço eletrónico  miguel.coelho@aea.com.pt.

Segundo o nº 1 do artº 33º do  do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos termos do artigo 55º do mesmo Regulamento, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.

Artigo 15º

ESCLARECIMENTOS E APLICAÇÃO DO CÓDIGO
Os pedidos de esclarecimento de dúvidas na interpretação ou aplicação deste Código de Conduta deverão ser dirigidos ao encarregado pela proteção de dados, que responderá ou reencaminhará para o departamento correspondente para ser respondido.
O encarregado pela proteção de dados promoverá a divulgação do Código de Conduta, a sensibilização e formação de todos os trabalhadores, bem como o acompanhamento da aplicação e a respetiva avaliação, em colaboração com a equipe de trabalho que constituir.

Artigo 16º

PREENCHIMENTO DE LACUNAS
A todas as omissões, ao previsto no presente Código de Conduta, será aplicado o estipulado no Regulamento Geral de Proteção de Dados, bem como a legislação nacional em vigor sobre este assunto.

Artigo 17º

ENTRADA EM VIGOR
O presente Código de Conduta entrará em vigor no dia 1 de junho de 2018.