FINALIDADE, ÂMBITO E UTILIZADORES
Esta Política de Privacidade e Proteção de Dados estabelece os princípios base pelos quais a União das Misericórdias Portuguesas, doravante UMP, com sede na Rua de Entrecampos, 9 1000-151 Lisboa, processa e protege os dados pessoais dos utilizadores dos seus serviços e equipamentos, doravante Serviços, e indica as responsabilidades da sua organização, funcionários e demais colaboradores durante o processamento de dados pessoais.
Por Serviços, entende-se a utilização do sítio de internet com o endereço www.ump.pt, os serviços internos da UMP bem como os equipamentos seguintes: Unidade de Cuidados Continuados Bento XVI, Lar Dr. Virgílio Lopes, Academia de Cultura e Cooperação, Centro João Paulo II, Escola de Educação Especial Os Moinhos, Centro Santo Estevão e Centro Luís da Silva.
Esta política aplica-se assim à UMP e a todos os equipamentos por si controlados ou geridos, que conduzam atividades na União Europeia ou que processam os dados pessoais de sujeitos com cidadania europeia.
Esta política obriga, para além da UMP, todos os seus funcionários, colaboradores e todas as demais entidades que prestem serviços, ou processem dados pessoais em nome da UMP (subcontratantes).
Documentos de Referência
Definições
As definições que se seguem, e que são utilizadas ao longo deste documento, são uma transcrição do art.º 4º do Regulamento Geral de Proteção de Dados – (EU) 2016/679:
Dados pessoais: informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
Dados pessoais sensíveis: dados pessoais que, pela sua natureza, são particularmente sensíveis e que merecem proteção especial, dado que o contexto do seu tratamento poderá criar riscos significativos para os direitos e liberdades fundamentais. Esses dados incluem os dados pessoais relativos a origem racial ou étnica, às opiniões politicas, às convicções religiosas e filosóficas, à filiação sindical, bem como o tratamento de dados genéticos, de dados biométricos, dados relativos à saúde e dados relativos à vida sexual ou à orientação sexual de uma pessoa.
Responsável pelo tratamento: a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.
Subcontratante: uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
Tratamento: uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
Anonimização: desqualificar os dados pessoais de forma irreversível, de modo a que não seja mais possível a identificação pessoal, num prazo e custo razoáveis, quer pelo responsável do tratamento ou qualquer outra pessoa ou entidade. Os princípios de tratamento de dados pessoais expressos no (EU) 2016/679 não se aplicam a dados anonimizados uma vez que já não representam dados pessoais.
Pseudonimização: o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.
Tratamento transfronteiriço: o tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um Estado-Membro de um responsável pelo tratamento ou um subcontratante na União, caso o responsável pelo tratamento ou o subcontratante esteja estabelecido em mais do que um Estado-Membro. O tratamento de dados pessoais que ocorre no contexto das atividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante, mas que afeta substancialmente, ou é suscetível de afetar substancialmente, titulares de dados em mais do que um Estados-Membro.
Autoridade de controlo: uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 51 do (EU) RGPD.
Autoridade de controlo principal: a autoridade de controlo com competência para agir nas atividades de processamento de dados transfronteiriços, por exemplo quando um titular dos dados apresenta uma reclamação sobre o processamento dos seus dados pessoais; a autoridade responsável, entre outros, pela receção das notificações de violação de dados pessoais, pelas notificações de risco relacionadas com atividades de processamento de dados pessoais e que tem autoridade total no que respeita aos seus deveres para garantir o cumprimento do RGPD - (EU) 2016/679.
“Estabelecimento principal no que se refere a um responsável pelo tratamento” com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União, a menos que as decisões sobre as finalidades e os meios de tratamento dos dados pessoais sejam tomadas noutro estabelecimento do responsável pelo tratamento na União e este último estabelecimento tenha competência para mandar executar tais decisões, sendo neste caso o estabelecimento que tiver tomado as referidas decisões considerado estabelecimento principal.
“Estabelecimento principal no que se refere a um subcontratante” com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União ou, caso o subcontratante não tenha administração central na União, o estabelecimento do subcontratante na União onde são exercidas as principais atividades de tratamento no contexto das atividades de um estabelecimento do subcontratante, na medida em que se encontre sujeito a obrigações específicas nos termos do presente regulamento.
Grupo empresarial: um grupo composto pela empresa que exerce o controlo e pelas empresas controladas.
RECOLHA E TRATAMENTO DE DADOS PESSOAIS
Responsável pelo tratamento
A UMP é a entidade responsável pelo tratamento dos dados pessoais dos utilizadores, recolhidos através do sítio – www.ump.pt, bem como através de cada um dos equipamentos que gere.
Os dados serão tratados nos termos e para as finalidades adiante descritas, bem como para o cumprimento de obrigações legais e regulatórias da UMP.
Enquanto responsáveis promovemos a confidencialidade e privacidade dos seus dados pessoais, assegurando a sua proteção e uso adequado de acordo com os termos definidos nesta política.
Utilização do sítio de internet
O acesso e navegação no sítio de internet – www.ump.pt não envolve, na generalidade, o fornecimento e a recolha de dados pessoais.
Existem, no entanto, duas funcionalidades que, por formas diferentes, obrigam à disponibilização, à recolha e ao tratamento de dados pessoais:
Dados de identificação e de contacto
O contacto com a UMP ou com qualquer um dos equipamentos pode ser feito através do endereço postal, número de telefone ou endereço eletrónico, cujos detalhes se encontram no sítio, é enquadrado por um aviso de privacidade autónomo que pode ser consultado aqui.
Dependendo do meio utilizado para o contacto, os dados pessoais a disponibilizar serão o nome, o endereço postal, o número de telefone e o endereço eletrónico, respetivamente.
Outros dados pessoais
No âmbito das atividades desenvolvidas por cada um dos equipamentos geridos pela UMP são recolhidos dados pessoais que são:
Fundamento legal para os tratamentos de dados pessoais
No âmbito do desenvolvimento das suas atividades, a UMP trata diferentes tipos de dados pessoais, nomeadamente:
A UMP procede a estes tratamentos de dados pessoais, nomeadamente:
A UMP trata categorias especiais de dados – os que revelem a origem racial ou étnica, as opiniões políticas, convicções religiosas ou filosóficas, a filiação sindical, os dados genéticos, biométricos, saúde, vida sexual ou orientação sexual de uma pessoa, apenas quando tal seja absolutamente necessário para a prestação dos serviços ou com base em um dos fundamentos seguintes:
Limitação da conservação dos dados
Os dados pessoais recolhidos serão conservados de forma a permitir a sua identificação apenas durante o período necessário para a prossecução das finalidades de recolha ou do tratamento posterior, findo o qual os mesmos serão definitivamente eliminados.
Para mais informações sobre este tema, consulte Prazos de Conservação de Dados
Exatidão
A UMP assume que os dados recolhidos foram fornecidos pelo respetivo titular ou seu representante, e que a sua recolha foi autorizada pelo mesmo, sendo os mesmos verdadeiros e exatos.
DIREITOS DOS TITULARES DOS DADOS
Direitos de acesso pelos titulares
Enquanto entidade responsável pelo processamento de dados pessoais, a UMP assegura aos titulares dos dados um mecanismo de acesso razoável de modo a permitir a execução dos direitos de revisão, correção, atualização, minimização, restrição, eliminação dos dados pessoais, oposição ao tratamento, ou para o exercício do direito de portabilidade dos dados pessoais tratados pela UMP.
Portabilidade de dados
Os titulares dos dados têm o direito de solicitar e receber, gratuitamente, uma cópia dos dados pessoais que nos forneceram, num formato estruturado de modo a poderem transmiti-los a outra entidade responsável, ou controlador de dados. O Encarregado de Dados, ou Data Protection Officer (DPO), doravante DPO, da UMP é responsável por assegurar que estas solicitações sejam processadas e resolvidas no prazo máximo de 30 dias, que não são excessivas e que não afetam os direitos aos dados pessoais de outros sujeitos.
Direito ao esquecimento
Os titulares dos dados têm o direito de solicitar o apagamento dos seus dados pessoais. Enquanto entidade responsável a UMP procede à execução da solicitação do titular dos dados, na medida em que o exercício desse direito não seja excessivo, e não seja conflituante com outros direitos e obrigações legais da UMP. O DPO da UMP é responsável por assegurar que as medidas necessárias (incluindo medidas técnicas) são executadas e informar os terceiros que usam ou processam esses dados para atender à solicitação do titular dos dados.
Como exercer os seus direitos?
Para o exercício de qualquer um dos direitos dos titulares previstos neste no Regulamento, poderá contactar a UMP através dos meios seguintes:
União das Misericórdias Portuguesas
Rua de Entrecampos, 9
1000-151 Lisboa
Tel.: 218 110 540
Email: secretaria.geral@ump.pt
A UMP responderá ao seu pedido de acordo com a lei em vigor. O seu pedido deve definir claramente quais os dados pessoais e o direito que pretende exercer.
Para sua proteção podemos solicitar-lhe que faça prova da sua identidade antes de realizar o seu pedido. Procuraremos satisfazer o seu pedido com a brevidade razoavelmente exequível e dentro dos prazos legais aplicáveis.
Para o exercício dos direitos acima identificados poderá também contactar diretamente o nosso DPO através do email dpo@ump.pt.
Ainda no âmbito do exercício dos seus direitos, pode submeter uma reclamação à Comissão Nacional de Proteção de Dados, enquanto Autoridade Nacional.
Veja como proceder em https://www.cnpd.pt/.
ORIENTAÇÕES PARA UM PROCESSAMENTO JUSTO DOS DADOS PESSOAIS
Os dados pessoais só devem ser processados após análise de impacto prévia e parecer explícito de que esse processamento está conforme as disposições do Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016.
Quer a análise de impacto (DPIA), quer o parecer de conformidade são da responsabilidade exclusiva do Encarregado de Proteção de Dados, ou Data Protection Officer (DPO), da UMP.
Notificação dos titulares dos dados
No momento da recolha de dados pessoais, relativos a qualquer tipo de atividades de processamento, incluindo, mas não limitado à venda de serviços, ou atividades de marketing social, ou ainda atividades de informação e divulgação, o DPO é responsável por informar adequadamente os titulares dos dados sobre:
Estas informações são fornecidas ao titular dos dados através de um Aviso de Privacidade.
Os Avisos de Privacidade são específicos de cada atividade de processamento e categorias de dados pessoais recolhidos – por exemplo, deverá ser elaborado um Aviso de Privacidade correspondente à recolha de dados pessoais para a organização de uma atividade cultural na Academia de Cultura e Cooperação e um Aviso de Privacidade distinto correspondente à recolha de dados pessoais relativo ao processamento de um novo utilizador do Lar Dr. Virgílio Lopes.
Sempre que se verificar a partilha de dados com entidades terceiras, o DPO da UMP deve garantir que tal informação é prestada aos titulares dos dados e que consta explicitamente do Aviso de Privacidade.
Sempre que os dados pessoais sejam transferidos para outro País de acordo com a Política de Transferência de Dados Transfronteiriços (fora da UE), o Aviso de Privacidade deve explicitar esta transferência, e indicar claramente para onde e para que entidade os dados pessoais são transferidos.
Quando houver necessidade de recolher categorias especiais de dados pessoais, o DPO da UMP deve certificar que o Aviso de Privacidade declara explicitamente a finalidade para a qual esses dados pessoais sensíveis estão a ser recolhidos e a sua indispensabilidade.
Obtenção do consentimento dos sujeitos
Sempre que o processamento de dados pessoais for baseado no consentimento dos titulares dos dados pessoais ou em outro fundamento legal - execução de um contrato, cumprimento de obrigação legal, interesse vital, interesse público, interesse legítimo, o DPO da UMP é responsável por manter um registo do fundamento legal utilizado para os processamentos de dados bem como um registo dos consentimentos, caso seja esse o fundamento legal utilizado.
O DPO é também responsável por fornecer aos titulares dos dados várias opções para o fornecimento do seu consentimento e deve também informar e assegurar que o seu consentimento, sendo esse o fundamento legal do processamento, pode ser retirado a qualquer momento.
Sempre que a recolha de dados pessoais seja referente a menores de 16 anos, o DPO deve assegurar que o consentimento é fornecido pelo detentor da responsabilidade parental através do preenchimento do Formulário de Consentimento Parental.
Registos do exercício dos direitos dos sujeitos
Quando se verificam solicitações de correção, atualização ou destruição de registos de dados pessoais, o DPO deve assegurar que estas solicitações são tratadas dentro de um período de tempo razoável e deve manter um registo permanente dos pedidos e dos resultados dos tratamentos.
Registos dos avisos de privacidade
O DPO é responsável por criar e manter um registo permanentemente atualizado dos Avisos de Privacidade.
Dados pessoais e finalidades
Os dados pessoais recolhidos só podem ser processados para a finalidade para a qual foram inicialmente recolhidos.
Caso a UMP deseje realizar um processamento de dados pessoais com outra finalidade, solicitará, por antecipação, o consentimento dos titulares de uma forma transparente e concisa.
Qualquer solicitação nesse sentido incluirá as finalidades iniciais para as quais os dados foram recolhidos, bem como as finalidades adicionais para as quais se solicita um novo consentimento.
O DPO é responsável por garantir o cumprimento das regras acima explicitadas e garantir, no geral, que a recolha de dados pessoais está em conformidade com a lei, as boas práticas e os padrões do sector.
PARTILHA DE DADOS PESSOAIS
Divulgação a terceiros
Sempre que a UMP utilize um fornecedor ou parceiro comercial para o processamento de dados pessoais em seu nome, um subcontratante na terminologia do Regulamento (EU) 2016/679, o DPO deve assegurar que esse subcontratante fornece as medidas técnicas e de segurança adequadas à proteção dos dados pessoais, e apropriadas para minimizar os riscos associados à sua posse e ao seu tratamento.
Neste sentido, e para esta finalidade deve ser utilizado o Questionário de Conformidade com o RGPD (subcontratante).
A UMP deve exigir contratualmente que o subcontratante forneça o mesmo nível de proteção e segurança de dados pessoais.
O subcontratante deve apenas processar dados pessoais para cumprir suas obrigações contratuais com a UMP ou sob instruções explícitas da UMP e não para quaisquer outros fins.
Se a UMP processar dados pessoais conjuntamente com um terceiro, a UMP deve, explicitamente, especificar as suas responsabilidades e as do terceiro, num documento contratual entre ambas as partes ou em outro documento vinculativo das responsabilidades das partes, como um Acordo de Processamento de Dados.
Transferências de Dados Transfronteiriços (fora da UE)
Caso seja necessário transferir dados para fora da UE, a UMP adotará previamente proteções adequadas, incluindo a assinatura de um Acordo de Transferência de Dados, conforme requerido pelo Regulamento (EU) 2016/679 e, se necessário, submeterá um pedido de autorização à Comissão Nacional de Proteção de Dados, enquanto Autoridade Nacional.
Adicionalmente, a entidade que recebe os dados pessoais deve cumprir os princípios de processamento de dados pessoais estabelecidos no Procedimento de Transferência de Dados Transfronteiriços.
ORGANIZAÇÃO E RESPONSABILIDADES
A responsabilidade de garantir o processamento adequado de dados pessoais é de todos os que trabalham para ou com a UMP e têm acesso a dados pessoais.
Os centros principais de responsabilidade para o processamento de dados pessoais estão nas funções organizacionais seguintes:
O Secretariado Nacional toma as decisões e aprova as estratégias da UMP sobre proteção de dados pessoais.
O Encarregado de Dados (DPO) é responsável pela gestão do programa de proteção de dados pessoais e pelo desenvolvimento e promoção das políticas de proteção de dados pessoais, conforme a descrição funcional das responsabilidades do Encarregado de Dados
O Gabinete de Assuntos Jurídicos (GAJ) da UMP comunica ao DPO as alterações ao RGPD.
O Serviço de IT, na pessoa do gestor ou coordenador respetivo, é responsável por:
O Gabinete de Comunicação e Imagem (GCI), na pessoa do gestor ou coordenador respetivo, é responsável por:
O Gabinete de Recursos Humanos (GRH), na pessoa do gestor ou coordenador respetivo, é responsável por:
Os equipamentos, na pessoa dos gestores ou coordenador respetivos, são responsáveis por:
O Gabinete de Administração e Aprovisionamento (GAAI), na pessoa do gestor ou coordenador respetivo, é responsável por:
RESPOSTA A INCIDENTES DE VIOLAÇÃO DE DADOS PESSOAIS
Sempre que chegar ao conhecimento da UMP uma possível violação de dados pessoais, o DPO realiza uma investigação interna de modo a tomar medida corretivas em tempo útil, de acordo com a Política de Violação de Dados Pessoais.
Caso se verifique existir qualquer risco para os direitos e liberdades dos titulares dos dados, a UMP notifica as autoridades competentes em matéria de proteção de dados sem demora injustificada e, sempre que possível, no prazo de 72 horas.
RESPONSABILIZAÇÃO
Qualquer funcionário ou colaborador que violar esta política estará sujeito a uma ação disciplinar e também poderá estar sujeito a responsabilidades civis ou criminais se a sua conduta violar leis ou regulamentos a que a UMP esteja obrigada.
CONFLITOS LEGAIS
Esta política destina-se a cumprir as leis e regulamentos relativos à privacidade e proteção de dados portuguesas e europeias (EU) 2016/679, que produzem efeitos em Portugal ou sobre cidadãos europeus, que sejam ou possam vir a ser utilizadores dos serviços prestados pela UMP.
No caso de se verificar qualquer conflito entre esta política e as leis e regulamentos aplicáveis, estes últimos prevalecerão.
GESTÃO DE REGISTOS
Nos casos em que o fundamento legal para o tratamento de dados pessoais resulte de uma obrigação contratual, de uma obrigação jurídica, na prossecução de interesses legítimos da UMP, ou de interesses vitais dos utentes dos serviços, conservamos os seus dados pessoais apenas durante o período que for necessário no âmbito da finalidade para a qual estes foram inicialmente recolhidos, ou durante o período necessário ao cumprimento de obrigações legais.
Nos casos em que o fundamento legal para o tratamento de dados pessoais é o consentimento do utilizador, utente, responsável parental ou colaborador, conservamos os mesmos de acordo com o consentimento dado e/ou até esse consentimento ser revogado.
Se o utilizador, utente, responsável parental ou colaborador revogar o seu consentimento, podemos conservar determinados dados pessoais durante o período necessário ao cumprimento de obrigações legais.
VALIDADE E GESTÃO DOCUMENTAL
A presente Política de Privacidade e Proteção de Dados poderá ser alterada pela UMP a qualquer momento.
As alterações à Política de Privacidade e Proteção de Dados entram em vigor com a publicação da versão revista.
A utilização dos serviços após estas alterações implica a aceitação da Política de Privacidade e Proteção de Dados revista.