O Código de Conduta de Proteção de Dados Pessoais da Associação Empresarialde Águeda (AEA) foi elaborado no âmbito do art.º 40º do Regulamento (UE)2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, Regulamento Geral sobre a Proteção de Dados (RGPD) e vincula todos os trabalhadores da AEA, sobre a recolha, o tratamento e a utilização de dados pessoais dos associados, dos formandos e participantes de ações similares, dos formadores, dos consultores, dos candidatos a ofertas de emprego e dos próprios trabalhadores. Este Código aplica-se também às relações da AEA com todos os seus associados, bem como com as entidades subcontratantes nos termos do citado Regulamento.
Artigo 1º Definições
Para efeitos do presente Código são consideradas as seguintes definições estabelecidas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016:
1) “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;
2) “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
3) “Limitação do tratamento”, a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;
4) “Definição de perfis”, qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;
5) “Pseudonimização”, o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
6) “Ficheiro”, qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
7) “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;
8) “Subcontratante”, uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;
9) “Destinatário”, uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades 4.5.2016 L 119/33 Jornal Oficial da União Europeia PT públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;
10) “Terceiro”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;
11) “Consentimento” do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;
12) “Violação de dados pessoais”, uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
13) “Dados genéticos”, os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;
14) “Dados biométricos”, dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;
15) “Dados relativos à saúde”, dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.
Artigo 2º Conceito
Para efeitos do presente Código consideram-se ações similares às ações de formação, entre outras, as seguintes iniciativas: colóquios, seminários, conferências, palestras, workshops, sessões de esclarecimento, ações de sensibilização.
Artigo 3º Recolha de dados
A recolha de dados para tratamento deve processar-se nos termos da lei em vigor, no estrito cumprimento dos direitos, liberdades e garantias previstos na Constituição da República Portuguesa e efetuar-se de forma lícita, legal e transparente.
A recolha de dados pessoais pela AEA deve ser precedida de informação aos respetivos titulares sobre a finalidade que a determinou e processar-se em estrita adequação a essa finalidade.
Artigo 4º Direito à informação e acesso
A AEA informa os seus associados, formandos e participantes de ações similares sobre a finalidade de tratamento dos respetivos dados e a identidade do responsável pelo tratamento.
Artigo 5º Direito à informação e acesso
Sempre que solicitado por titulares de dados, a AEA procede à retificação e atualização dos dados constantes dos seus ficheiros e bases de dados a ele respeitantes, bem como à retificação ou atualização dos doados, no prazo de 30 dias.
Artigo 6º Eliminação de dados pessoais
Quando a titular dos doados solicitar a eliminação de dados pessoais, a AEA dará cumprimento a esse pedido no prazo de 60 dias a contar do momento legalmente permitido, considerando sempre, para o efeito, o prazo maior imposto por lei para os conservar.
Artigo 7º Dados sensíveis
Os dados sensíveis que a AEA tiver por lei, de recolher, serão guardados sigilosamente e só os trabalhadores estritamente necessários é que terão acesso aos mesmos.
Artigo 8º Equipamento de segurança
A AEA salvaguarda a segurança no tratamento dos dados pessoais, impedindo a consulta, modificação, destruição ou introdução de dados por pessoa não autorizada a fazê-lo.
Artigo 9º Relações entre a AEA e os subcontratados na transmissão de dados
A AEA apenas transmitirá dados a terceiros, sempre que for obrigada por lei, ou o seu titular o solicite e autorize.
A AEA sempre que transmita algum ficheiro tem de assegurar que o mesmo seja utilizado de acordo com a finalidade previamente estabelecida e que tal tenha sido previamente declarado à autoridade nacional de controlo.
Sempre que a AEA ceda um ficheiro a uma subcontratada, as condições serão reduzidas a escrito, designadamente quanto à sua utilização e finalidade.
Artigo 10º Relações institucionais com a autoridade nacional de controlo
A AEA tem o dever de colaborar com a autoridade nacional de controlo facultando-lhes as informações, sempre que solicitado e demais documentação relativa à recolha, tratamento automatizado e transmissão.
Artigo 11º Segredo Profissional
Todos os trabalhadores da AEA que tratem dados pessoais estão obrigados ao sigilo profissional sobre os mesmos, nomeadamente de não poder revelar ou utilizar esses dados, exceto nos casos em que a lei o obrigue, nomeadamente quando as entidades públicas exijam a transmissão de dados, nomeadamente, entidades policiais, tribunais, finanças, segurança social ou outras entidades públicas, Ordem dos Contabilistas Certificados, Associação Empresarial de Portugal, esta enquanto Organismo Intermédio do POCI – Programa Operacional Competitividade e Internacionalização, advogados.
Artigo 12º Responsabilidade
Todos os trabalhadores da AEA são responsáveis individualmente pela violação ou transmissão ilegal dos dados pessoais que a AEA possua na sua base de dados.
Esta responsabilidade será aferida de acordo com a gravidade da situação em causa.
Artigo 13º Receção e tratamento das reclamações
Os interessados que pretendam reclamar pela violação dos seus dados, devem-no fazer diretamente à Associação Empresarial de Águeda para o endereço eletrónico info@aea.com.pt, sendo a reclamação reencaminhada seguidamente para o departamento que deverá responder pelo ato em questão.
Segundo o nº 1 do artº 33º do do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos termos do artigo 55º do mesmo Regulamento, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.
Artigo 14º Esclarecimentos e aplicação do código
Os pedidos de esclarecimento de dúvidas na interpretação ou aplicação deste Código de Conduta deverão ser dirigidos à Associação Empresarial de Águeda para info@aea.com.pt.
Artigo 15º Preenchimento de lacunas
A todas as omissões, ao previsto no presente Código de Conduta, será aplicado o estipulado no Regulamento Geral de Proteção de Dados, bem como a legislação nacional em vigor sobre este assunto.
Artigo 16º Entrada em vigor
O presente Código de Conduta entrará em vigor no dia 1 de junho de 2018.
