Política de Proteção de Dados

O Regulamento

O Regulamento Geral de Proteção de Dados Pessoais (RGPD), relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, entrou em vigor no passado dia 24 de Maio de 2016 e será aplicável em todos os Estados-Membros a partir de 25 de Maio de 2018. Este regulamento vem substituir a atual diretiva e lei de proteção de dados pessoais e traz mudanças significativas na matéria. Mas os objetivos são essencialmente os mesmos (proteger a privacidade dos cidadãos e garantir a livre circulação de dados pessoais dentro da União Europeia).

 

O que são concretamente dados pessoais?

Um dado pessoal é qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável ('titular dos dados'). É considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social.

 

Finalidade da Diretiva de Proteção de Dados

No âmbito da sua responsabilidade social, a Fimel, S. A. compromete-se a cumprir com os direitos de proteção de dados. Esta diretiva aplica-se a toda a empresa e está alinhada com os princípios básicos sobre a proteção de dados, aceites de forma global. A preservação da proteção de dados constitui a base para as relações de negócios, caracterizadas pela confiança, e a reputação da Fimel como um empregador atrativo.

 

Âmbito de aplicação e alteração da Diretiva de Proteção de Dados

Esta diretiva de proteção de dados aplica-se à empresa Fimel e aos respetivos colaboradores. A diretiva de proteção de dados abrange todos os processamentos de dados de pessoas. Uma alteração desta diretiva só poderá ser efetuada mediante a revisão deste mesmo regulamento e aprovação pelo seu Conselho de Administração. Todas as alterações que haja relacionadas com a diretiva de proteção de dados serão comunicadas posteriormente. A versão mais atual da diretiva de proteção de dados pode ser acedida junto do Departamento de Recursos Humanos da Fimel.

 

Validade do Direito

Esta diretiva de proteção de dados contém os princípios de proteção de dados mundialmente aceites, sem que o direito de cada país seja substituído. Deve ser cumprido o dever de comunicação e informação existente de acordo com o direito para proteção de dados nacional. A Fimel é responsável pelo cumprimento desta diretiva de proteção de dados e das imposições legais. Se houver motivo para supor que as imposições legais estejam em contradição com as obrigações decorrentes desta diretiva de proteção de dados, deve informar imediatamente o Departamento de Recursos Humanos da empresa.

 

Princípios para o registo de dados pessoais

  1. Equidade e legalidade
    • No processamento de dados pessoais deverão ser preservados os direitos da personalidade da pessoa envolvida. Os seus dados pessoais devem ser levantados e registados de modo justo e correto.
  2. Vinculação
    • O processamento de dados pessoais só deve servir às finalidades para as quais foi determinado antes do levantamento dos dados. Alterações posteriores das finalidades só serão possíveis com restrições e devem ser justificadas.
  3. Transparência
    • O colaborador envolvido deve ser informado sobre o modo como os seus dados são tratados. O levantamento dos dados pessoais deve ser efetuado, junto a cada um dos colaboradores. No levantamento de dados, o colaborador envolvido deverá, pelo menos, poder reconhecer ou ser informado adequadamente sobre o seguinte:
      • Identidade do departamento responsável
      • Finalidade do processamento de dados
      • Terceiros ou categorias de terceiros aos quais os dados serão, eventualmente, transmitidos
  4. Evitando e economizando dados
    • Antes do processamento dos dados pessoais deverá ser verificado, se e até que ponto estes serão necessários para atingir a finalidade desejada com o processamento. Deverão ser utilizados dados anonimizados ou estatísticos, se isto for possível para atingir a finalidade ou se o esforço se encontrar em uma relação adequada com a finalidade pretendida. Os dados pessoais não deverão ser guardados para eventuais finalidades futuras, exceto se tal for estipulado primariamente.
  5. Apagamento
    • Devem ser apagados os dados pessoais que não sejam mais necessários depois da prescrição do período de conservação de dados especificado por lei. No entanto, se existir a necessidade de os manter devido a uma importância histórica, estes devem ser conservados por mais tempo até que os mesmos interesses já não sejam necessários.
  6. Exatidão dos fatos, atualidade dos dados
    • Os dados pessoais devem ser guardados de forma correta, integral e, se necessário, na versão atual. Deverão ser tomadas as medidas necessárias para assegurar que dados incorretos, incompletos ou desatualizados sejam eliminados, corrigidos ou atualizados.
  7.  Confidencialidade e segurança dos dados
    • Os dados pessoais encontram-se submetidos ao segredo de dados. Estes têm que ser tratados de forma sigilosa. Através de medidas técnico-organizacionais adequadas, estes devem ser protegidos contra acesso não autorizado, processamento ou encaminhamento indevidos, bem como contra destruição, alteração ou perda.

 

Admissibilidade do processamento de dados

O levantamento, o processamento e a utilização de dados pessoais são admissíveis, se existir uma das circunstâncias fatuais abaixo. Uma destas circunstâncias fatuais é necessária se a finalidade para o levantamento, processamento e a utilização de dados pessoais tiver sido mudada em relação à finalidade inicial.

  1. Processamento de dados para o vínculo de trabalho
    • Devido ao contrato de trabalho, poderão ser levantados os dados necessários para a celebração, execução e rescisão do contrato de trabalho. Os dados pessoais de candidatos a vagas poderão ser processados para o início de um vínculo de emprego. Após uma recusa, os dados do candidato deverão ser eliminados, tendo em conta os respetivos prazos legais, exceto se o candidato tiver consentido que os dados continuem armazenados para um processo de seleção posterior.
    • É necessário um consentimento também para uma utilização dos dados em outros processos de candidatura ou antes do encaminhamento a outras empresas. Numa relação de trabalho existente, o processamento de dados deve estar sempre submetido à finalidade do contrato de trabalho, desde que não se aplique uma das seguintes circunstâncias fatuais de autorização para o processamento de dados. Se, no processo inicial da relação de trabalho ou na relação de trabalho existente, for necessário o levantamento de informações adicionais sobre o candidato à vaga junto a terceiros, devem ser consideradas as respetivas exigências legais nacionais. Em caso de dúvida, deverá ser obtido o consentimento do candidato. Deverá existir uma legitimação jurídica para processamentos de dados de colaboradores, que se encontrem no contexto de emprego, mas que não servem originalmente para o cumprimento do contrato de trabalho. Estas podem ser imposições legais, um consentimento do colaborador ou interesses legítimos da empresa.
  2. Processamento de dados, devido a permissão legal
    • O processamento de dados pessoais de colaboradores também será permitido, se as normas jurídicas nacionais exigirem, pressuporem ou autorizarem o processamento de dados. O tipo e a abrangência do processamento de dados devem ser necessários para o processamento juridicamente permitido e devem orientar-se por estas normas jurídicas. Se houver essa possibilidade, deverão ser levados em consideração os interesses do colaborador dignos de proteção. 
  3. Consentimento no processamento de dados
    • Pode ser realizado um processamento de dados de colaboradores devido a um consentimento do envolvido. As declarações de consentimento deverão ser voluntárias. Consentimentos involuntários não têm efeito. Por motivos de comprovação, a declaração de consentimento deverá ser obtida, por escrito. Se as circunstâncias, excecionalmente, não o permitirem, o consentimento poderá ser concedido verbalmente. Em todo caso, a concessão deverá ser devidamente documentada. Antes do consentimento, o envolvido deverá ser informado deste regulamento.
  4. Processamento de dados, devido a interesses legítimos
    • O processamento de dados pessoais de colaboradores também pode ser efetuado se houver a necessidade de atender um interesse legítimo da empresa Fimel. Interesses legítimos são, geralmente, de ordem jurídica (por exemplo, a reivindicação, o exercício ou a defesa de exigências jurídicas) ou económica (por exemplo, para análise da própria empresa). Não deverá ser efetuado um processamento de dados pessoais, devido a um interesse legítimo, se em casos individuais existirem evidências de que os interesses do colaborador, dignos de proteção, se sobrepõem ao interesse do processamento. Para cada processamento deve ser examinado se há interesses dignos de proteção.
    • As medidas de controlo que exijam um processamento de dados pessoais só poderão ser tomadas, se existir uma obrigação jurídica ou um motivo fundamentado para tal. Mesmo existindo um motivo justificado, a proporcionalidade da medida de controlo deve ser verificada. Os interesses legítimos da empresa na realização da medida de controlo (por exemplo, cumprimento das disposições jurídicas e regulamentos internos da empresa) devem ser ponderados em relação a um possível interesse de proteção do colaborador afetado pela medida na exclusão da medida e só poderão ser realizados se forem adequados. O interesse legítimo da empresa e os eventuais interesses dos trabalhadores, dignos de proteção, deverão ser constatados e documentados antes de qualquer medida.
  5. Processamento de dados dignos de proteção especial
    • Dados pessoais dignos de proteção especial só deverão ser processados sob determinadas condições. Dados com proteção especial são dados relativos à raça ou etnia, a posições políticas, convicção religiosa ou filosófica, filiações de sindicatos ou à saúde ou vida sexual do envolvido. A legislação do país pode classificar outras categorias de dados como com necessidade de proteção especial ou o conteúdo das categorias de dados pode divergir. Da mesma forma, os dados relacionados a delitos só poderão ser processados sob condições especiais determinadas pela legislação do país. O processamento deverá ser explicitamente permitido ou estipulado, por parte da legislação nacional. Um processamento também poderá ser permitido, se o mesmo for necessário, para que o departamento responsável possa atender os direitos e as obrigações no âmbito do direito do trabalho. O colaborador também pode consentir no processamento de forma expressa e voluntária. Se for planeado o processamento de dados com proteção especial, o responsável pela proteção de dados deverá ser informado antecipadamente.
  6. Decisões automatizadas
    • Se, no âmbito da relação de trabalho, dados pessoais forem processados de forma automatizada, avaliados por meio de características individuais da personalidade (por exemplo, no âmbito da seleção de pessoas ou na avaliação de perfis de capacidades), um processamento automatizado deste tipo não poderá ser a única base para decisões com consequências negativas ou grandes prejuízos para os colaboradores afetados. No sentido de evitar decisões erradas, deve estar garantido no processo automatizado que uma pessoa física possa realizar uma avaliação do conteúdo do assunto e que esta avaliação seja então a base para a decisão. Além disso, o colaborador em questão deverá ser informado dos fatos e do resultado de uma decisão individual automatizada e deverá ter a possibilidade para se manifestar.
  7. Telecomunicações e internet
    • Sistemas telefónicos, endereços eletrónicos, intranet e internet e redes sociais internas são disponibilizados pela empresa em primeira instância para o exercício das suas tarefas. Estes são equipamentos de trabalho e recursos empresariais. Podem ser utilizados de acordo com as disposições legais vigentes e as diretivas internas. No caso de uma utilização autorizada para fins particulares, devem ser respeitados o segredo das telecomunicações e a legislação relativa à telecomunicação nacional, contanto que estes sejam aplicáveis. Não será realizado um controlo geral das comunicações telefónicas e e-mails ou da utilização da intranet e internet, salvo em casos excecionais em que estejam expostos valores maiores da própria empresa. Para combater ataques à estrutura de TI ou a alguns usuários, podem ser implementadas medidas de proteção nas articulações na rede da Fimel que bloqueiem conteúdos tecnicamente danosos ou que analisem os modelos de ataques. Por razões de segurança, a utilização de sistemas telefónicos, de e-mails, da intranet e internet e de redes sociais internas é protocolada por um período limitado. Avaliações destes dados pessoais só podem ser efetuadas mediante uma suspeita concreta fundamentada de violação da legislação ou das diretivas corporativas da Fimel. Estes controlos só podem ser processados pelo setor para o efeito e aplicando-se o princípio da proporcionalidade. As respetivas legislações nacionais também devem ser cumpridas, tal como os regulamentos corporativos existentes a este respeito.

 

Transmissão de dados pessoais

Uma transmissão de dados pessoais para destinatários fora da Fimel ou destinatários dentro do Grupo Fimel rege-se pelas condições de admissibilidade do processamento de dados pessoais, e o destinatário dos dados deverá comprometer-se a utilizar os dados apenas para as finalidades determinadas. Se for feita uma transmissão dos dados a um destinatário fora do Grupo Fimel que se encontre num país terceiro (fora do âmbito desta diretiva), este terá que garantir um nível de proteção de dados semelhante ao desta diretiva de proteção de dados. Isto não se aplica, se a transmissão ocorrer devido a uma imposição legal. No caso de uma transmissão de dados de terceiros à empresa Fimel, deve estar garantido que os dados poderão ser utilizados para as finalidades previstas.

 

Processamento de dados por solicitação

É considerado um processamento de dados por solicitação quando um prestador de serviços fica encarregue pelo processamento de dados pessoais sem que lhe seja transferida a responsabilidade pelo respetivo processo de negócios. Nestes casos, em primeira instância deverá ser solicitada uma declaração de consentimento com o fim pretendido à utilização dos dados. A empresa solicitante arca inteiramente com a responsabilidade pelo processamento correto dos dados. O prestador de serviços está autorizado a processar dados pessoais só no âmbito das instruções do solicitante. Aquando da solicitação, devem ser cumpridas as seguintes especificações; o solicitante tem que garantir o seu cumprimento.

  1. O prestador de serviços deve ser escolhido, considerando-se a sua capacidade de garantia das medidas de proteção técnico-organizacionais necessárias.
  2. A atribuição da solicitação deve ser realizada em forma de texto. Neste devem estar documentadas as instruções para o processamento de dados e as competências do solicitante e do prestador de serviços.
  3. Antes do início do processamento de dados, o solicitante deve se convencer do cumprimento das obrigações do prestador de serviços. Um prestador de serviços pode comprovar o cumprimento das exigências relativas à segurança de dados, sobretudo, apresentando uma declaração de consentimento para a atividade. Dependendo do risco do processamento de dados, se for o caso, deve ser repetido regularmente um controlo durante o período de vigência do contrato.
  4. No caso de um processamento de dados transfronteiras, devem ser cumpridas as respetivas exigências nacionais relativas ao encaminhamento de dados pessoais para o exterior. Principalmente o processamento de dados pessoais, provenientes do Espaço Económico Europeu, só pode ser realizado num país terceiro se o prestador de serviços comprovar um nível de proteção de dados correspondente ao desta diretiva de proteção de dados. Instrumentos adequados podem ser, por exemplo:
    • Acordo das cláusulas de contratos modelos da UE sobre o processamento de pedidos em países terceiros com o prestador de serviços e possíveis empresas subcontratadas.
    • Participação do prestador de serviços em um sistema de certificação reconhecido pela UE para a criação de um nível de proteção de dados adequado.
    • Reconhecimento por parte das respetivas autoridades fiscalizadoras da proteção de dados dos regulamentos empresariais obrigatórios do prestador de serviços para a criação de um nível de proteção de dados adequado.

 

Direitos do colaborador

Todos os colaboradores têm os direitos abaixo apresentados. A reivindicação destes deve ser realizada prontamente pela área responsável e não deve causar nenhum prejuízo para o mesmo.

  1. O colaborador poderá exigir informação sobre quais os dados pessoais e de que origem estão guardados a seu respeito e para que finalidade.
  2. No caso de transmissões de dados pessoais a terceiros, deverá ser prestada informação sobre a identidade do destinatário ou sobre as categorias de destinatários.
  3. Se os dados pessoais estiverem incorretos ou incompletos, o colaborador tem o direito de exigir a correção ou que completem os mesmos.
  4. O colaborador tem o direito de se opor à utilização dos seus dados pessoais para fins de propaganda ou de pesquisa de opinião e de mercado. Os dados deverão ser bloqueados para estas finalidades.
  5. O colaborador tem o direito de exigir a eliminação dos seus dados, se faltar a base jurídica para o processamento dos dados ou se a mesma tiver sido suprimida. O mesmo será válido no caso de a finalidade do processamento de dados tiver sido suprimida por decurso do prazo ou por outros motivos. Devem ser respeitadas as obrigações de arquivo existentes e os interesses dignos de proteção contrários a uma eliminação dos dados.
  6. O colaborador possui o direito fundamental de protesto contra o processamento dos seus dados, que deverá ser respeitado, se o seu interesse a ser protegido se sobrepor ao interesse no processamento dos dados, devido a uma situação pessoal especial. Isto não é válido, se uma norma jurídica obrigar à execução do processamento.

 

Confidencialidade do processamento

Dados pessoais gozam da proteção do sigilo de dados. É proibido aos colaboradores levantar, processar ou utilizar os dados indevidamente. Indevido é todo o processamento que um colaborador execute sem ser encarregado no âmbito do cumprimento das suas tarefas e sem estar autorizado a tal. Aplica-se o princípio need-to-know: Colaboradores só podem ter acesso a dados pessoais se e contanto que estes sejam necessários para a realização da respetiva tarefa. Colaboradores não têm a permissão de utilizar dados pessoais para fins particulares ou económicos, transmiti-los a pessoas não autorizadas ou permitir-lhes o acesso de uma outra forma. Os responsáveis de departamentos devem instruir os colaboradores pertencentes aos seus departamentos no início da relação de trabalho sobre a obrigação de preservar o segredo de dados. Esta obrigação permanece válida também depois do encerramento da relação de trabalho.

 

Segurança do processamento

Dados pessoais devem ser protegidos constantemente contra um acesso não autorizado, um processamento ou uma divulgação indevida, bem como contra perda, falsificação ou destruição. Isto aplica-se independentemente se o processamento de dados é realizado de forma eletrónica ou em papel. Antes da introdução de novos sistemas de processamento de dados, sobretudo novos sistemas de TI, devem ser definidas e implementadas medidas técnico-organizacionais de proteção de dados pessoais. Estas medidas devem reger-se pelo avanço tecnológico, pelos riscos que um processamento comporta e pela necessidade de proteção dos dados (apurada pelo processo de classificação de informação). As medidas técnico-organizacionais de proteção de dados pessoais fazem parte da gestão de segurança de informação da Fimel e têm que ser adaptadas continuamente aos desenvolvimentos tecnológicos e às alterações organizacionais.

 

Controlo da Proteção de Dados

O cumprimento das diretivas e das leis vigentes da proteção de dados é verificado, regularmente, por meio de auditorias e de outros controlos. A realização das mesmas cabe aos coordenadores responsáveis por assuntos de proteção de dados, às outras áreas da empresa. No âmbito das obrigações de reportar, a Administração da Fimel deve ser informado sobre os resultados mais importantes. A pedido, os resultados dos controlos de proteção de dados podem ser disponibilizados às entidades fiscais.

 

Incidentes na segurança de dados

Todo colaborador deve comunicar imediatamente ao seu superior, casos de violações desta diretiva de proteção de dados ou de outras disposições relativas à proteção de dados pessoais (incidentes de segurança de dados). O superior em questão compromete-se a comunicar imediatamente ao coordenador da proteção de dados sobre incidentes de segurança de dados. Em casos de «transmissão indevida de dados pessoais a terceiros» acesso indevido de terceiros a dados pessoais, ou perda de dados pessoais, os comunicados devem ser efetuados imediatamente na empresa para que possam ser cumpridas as obrigações legais de notificação de incidentes de segurança de dados.

 

Responsabilidades e Sanções

A Administração e responsáveis pela empresa Fimel, são responsáveis pelo processamento de dados no seu âmbito de responsabilidade. Consequentemente, estes comprometem-se a garantir que as exigências legais e as contidas na diretiva de proteção de dados serão levadas em consideração (por exemplo, obrigações nacionais de notificação). Consiste numa tarefa administrativa das diretorias executivas a garantia de um processamento de dados correto, visando a proteção de dados através de medidas organizacionais, pessoais e técnicas. Compete ao respetivo colaborador a implementação destas disposições. Os coordenadores da proteção de dados são parceiros de contato dentro das nossas instalações para a proteção de dados. Eles podem efetuar controlos e têm que familiarizar os colaboradores com os conteúdos da diretiva de proteção de dados. A Administração deverá apoiar, nas suas funções, os respetivos coordenadores. Os técnicos responsáveis por processos de negócios e projetos são obrigados a informar a tempo os coordenadores da proteção de dados sobre novos processamentos de dados pessoais. No caso de serem necessários processamentos de dados, dos quais poderão resultar riscos para os direitos da personalidade dos envolvidos, os coordenadores deverão ser incluídos antes do processamento dos dados. Isto aplicase particularmente a dados pessoais com proteção especial. 

Os quadros têm que garantir que os colaboradores tenham a formação e informação necessária sobre a proteção de dados. Um processamento abusivo dos dados pessoais e outras violações contra o direito da proteção de dados também são punidos legalmente e podem dar origem a ações de indemnização. Infrações para as quais os colaboradores são responsáveis individualmente, podem ter consequências legais.

 

O delegado responsável pela Proteção de Dados

As caraterísticas atuais da empresa não obrigam a mesma a apresentar um delegado responsável pela proteção de dados. Assim o Departamento de Gestão Industrial conjuntamente com o Departamento de Recursos Humanos da Fimel, apresentam-se como coordenadores internos na temática da Proteção de Dados. Além disso, todo envolvido poderá dirigir-se a um coordenador responsável pela proteção de dados, dando-lhes sugestões, pedindo informações ou prestando queixas referentes a questões relacionadas com a proteção e segurança de dados. Os pedidos de informação e queixas serão tratados de forma sigilosa. Se o coordenador responsável pela proteção de dados não puder solucionar ou não puder eliminar uma violação contra esta diretiva de proteção de dados, terá que pedir a intervenção da Administração da Fimel. Consultas de autoridades de fiscalização devem sempre ser levadas ao conhecimento destes Departamentos.

Este sítio web utiliza cookies para proporcionar uma melhor experiência ao utilizador.
Para desativar ou consultar mais informações sobre os cookies clique em configurações.
Prosseguir