POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS

 

DEFINE AS REGRAS E PROCEDIMENTOS RELATIVOS AO TRATAMENTO DE DADOS PESSOAIS DOS SEUS ÓRGÃOS DIRIGENTES, COLABORADORES, CLIENTES, FORNECEDORES E PARCEIROS

 

1 - INTRODUÇÃO

A PHARSOLUTION, de acordo com os objetivos delineados na presente Política de Proteção de Dados Pessoais, na Legislação Nacional de Proteção de Dados e no Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 (adiante o “RGPD”), está totalmente empenhada em tudo quanto diz respeito à proteção de Dados Pessoais dos seus órgãos dirigentes, colaboradores, clientes, fornecedores, parceiros e demais titulares de dados que com ele se relacionem, enquanto direito fundamental protegido pela legislação nacional e europeia.

 

I - OBJETIVO

a) O objetivo da Política de Proteção de Dados Pessoais é manter um elevado nível de proteção dos dados recolhidos que esteja de acordo com as normas legais aplicáveis e nos termos da qual se promova o envolvimento e motivação dos órgãos dirigentes, colaboradores, investigadores, clientes, fornecedores, parceiros e demais titulares de dados, para a necessidade de se manter a confidencialidade, disponibilidade e integridade dos dados pessoais recolhidos.

b) Do mesmo modo, visa esta Política delinear as regras e procedimentos para o tratamento de dados pessoais por parte de todos os stakeholders da PharSolution que tenham acesso a dados pessoais em resultado do exercício das suas funções.

c) A existência desta Política de Proteção de Dados Pessoais pressupõe a sua consulta regular por parte de todos os stakeholders da PharSolution que exerçam alguma atividade que implique o tratamento de dados pessoais.

d) Pretende-se, do mesmo modo, que os trabalhadores que procedem ao tratamento de dados pessoais consultem regularmente o DPO (Data Protection Officer, Encarregado de Proteção de Dados na versão portuguesa) de modo a garantir-se o cumprimento das normas da presente Política de Proteção de Dados.

 

II - DEFINIÇÕES

Os conceitos utilizados na presente Política de Proteção de Dados são definidos do seguinte modo:

Dados Pessoais Informação relativa a uma pessoa singular identificada ou identificável (“Titular dos Dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
Tratamento de Dados Pessoais Uma operação ou um conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição
Proteção de Dados Pessoais Um direito fundamental, protegido não apenas pela legislação nacional, mas igualmente pela legislação europeia.
Dados Pessoais Sensíveis São dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, os dados genéticos, dados biométricos que identifiquem uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
Responsável pelo Tratamento A pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
Titular dos Dados Pessoa que pode autorizar ou negar o acesso a determinados dados e é responsável pela sua exatidão, integridade e atualidade.
Subcontratado Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
Consentimento Uma manifestação de vontade, livre, específica, informada e explícita, pela qual a titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
Finalidade legítima Os fins para os quais os Dados Pessoais podem ser utilizados pelos stakeholders da PharSolution
Encarregado de Proteção de Dados Pessoa que garante que a PharSolution cumpre todas as obrigações legais relativas aos Dados Pessoais, se se decidir nomear.

 

III – ÂMBITO DE APLICAÇÃO

a) Esta Política de Proteção de Dados Pessoais aplica-se aos trabalhadores, colaboradores, fornecedores e parceiros, aos stakeholders da PharSolution, que a devem consultar e com ela estar familiarizados, cumprindo e fazendo cumprir os seus termos.

b) No exercício da sua atividade a PharSolution pode recolher e proceder ao tratamento de dados pessoais.

c) A PharSolution pode complementar ou alterar esta Política por outras políticas ou regulamentos.

d) Qualquer alteração será notificada aos trabalhadores, colaboradores, fornecedores e parceiros, através de comunicação interna e disponibilização online no seu website, disponível em www.pharsolution.com

 

2 - TRATAMENTO DE DADOS PESSOAIS DE FORMA ÉTICA E LÍCITA

I) A PharSolution tratará os dados pessoais de acordo com a legislação em vigor e de acordo com as mais exigentes regras éticas, deontológicas e de conduta, e de acordo com um objetivo permanente de conformidade e adequação normativa.

II) Significa isto que a PharSolution respeitará esta Política de Proteção de Dados Pessoais, demais políticas e regulamentos internos bem como a legislação nacional e comunitária aplicável em cada recolha e tratamento de dados, cumprindo e fazendo cumprir todas as normas aplicáveis.

 

3 - FINS LEGÍTIMOS PARA O TRATAMENTO DE DADOS PESSOAIS

1- A PharSolution só tratará Dados Pessoais na medida em que se verifique pelo menos uma das seguintes situações:

I) O titular dos dados tiver dado o seu consentimento com base numa vontade livre, específica, informada e explícita para o tratamento dos seus dados pessoais para uma ou mais finalidades concretas;

II) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências pré-contratuais a pedido do titular dos dados;

III) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

IV) O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

V) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

VI) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

2- Sempre que o tratamento seja efetuado com base nos interesses legítimos do responsável pelo tratamento ou por terceiros, e atenta a complexidade teórica e interpretativa do conceito, recomenda-se a consulta prévia ao Encarregado da Proteção de Dados, o qual deverá emitir o seu parecer.

 

4 – TRATAMENTO DE DADOS PESSOAIS

I) Ao tratar dados pessoais a PharSolution deverá garantir que o tratamento tem um dos fundamentos acima mencionados.

II) Todos os trabalhadores, colaboradores, fornecedores e parceiros da PharSolution que utilizem dados pessoais são individualmente responsáveis pelo cumprimento das disposições legais e regulamentares aplicáveis.

III) Os trabalhadores têm a obrigação de garantir a confidencialidade, integridade e disponibilidade dos dados pessoais como parte indissociável das suas funções, previstas no contrato de trabalho.

IV) Os trabalhadores deverão também proceder em conformidade com toda a informação e formação recebida e cumprir todas as orientações definidas nesta Política.

V) O incumprimento das obrigações desta Política pode ter consequências disciplinares e o seu incumprimento deve ser reportado ao encarregado de proteção de dados.

 

5 - CONSENTIMENTO DO TRABALHADOR

I) Salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais:

a) Se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador; ou

b) Se esse tratamento estiver abrangido pelo disposto na alínea b) do n.º 1 do artigo 6.º do RGPD.

 

6 - MARKETING

I) Caso se pretenda enviar material de marketing direto a um titular de dados deve garantir-se que o mesmo deu previamente o seu consentimento, consistindo este numa manifestação de vontade, livre, específica, informada e explícita, pela qual a titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

II) Deve ser dado cumprimento ao pedido de um titular de dados para não sejam utilizados os seus dados pessoais para fins de marketing direto (email ou correio postal), quando este faz oposição ou exerce o seu direito ao cancelamento;

III) Deve ser notificado o encarregado de proteção de dados relativamente a qualquer pedido que seja submetido.

 

7 - CONTROLO RIGOROSO DOS DADOS SENSÍVEIS

1 - Caso a PharSolution proceda ao tratamento das categorias especiais de dados pessoais (dados sensíveis), fá-lo-á de forma rigorosa e de acordo com a presente Política e as normas legais aplicáveis.

2 - É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos e biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. O tratamento destes dados sensíveis é proibido, salvas as exceções legalmente previstas no artigo 9º do RGPD.

3- As exceções referidas anteriormente são as seguintes:

a) Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se o direito da União ou de um Estado-Membro previr que a proibição a que se refere o n.º 1 do artigo 9º do RGPD não pode ser anulada pelo titular dos dados;

b) Se o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido pelo direito da União ou dos Estados-Membros ou ainda por uma convenção coletiva nos termos do direito dos Estados-Membros que preveja garantias adequadas dos direitos fundamentais e dos interesses do titular dos dados;

c) Se o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso de o titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento;

d) Se o tratamento for efetuado, no âmbito das suas atividades legítimas e mediante garantias adequadas, por uma fundação, associação ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos, religiosos ou sindicais, e desde que esse tratamento se refira exclusivamente aos membros ou antigos membros desse organismo ou a pessoas que com ele tenham mantido contactos regulares relacionados com os seus objetivos, e que os dados pessoais não sejam divulgados a terceiros sem o consentimento dos seus titulares;

e) Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;

f) Se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício da sua função jurisdicional;

g) Se o tratamento for necessário por motivos de interesse público importante, com base no direito da União ou de um Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados;

h) Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base no direito da União ou dos Estados-Membros ou por força de um contrato com um profissional de saúde, sob reserva das condições e garantias previstas no n.º 3 do artigo 9º RGPD;

i) Se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou para assegurar um elevado nível de qualidade e de segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos, com base no direito da União ou dos Estados-Membros que preveja medidas adequadas e específicas que salvaguardem os direitos e liberdades do titular dos dados, em particular o sigilo profissional;

j) Se o tratamento for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.º, n.º 1 do RGPD, com base no direito da União ou de um Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas para a defesa dos direitos fundamentais e dos interesses do titular dos dados.

4-Para mais informações e esclarecimento de quaisquer dúvidas ou questões acerca do tratamento de categorias especiais de dados deverá ser contatado o Encarregado de Proteção de Dados, cujos contactos constam no ponto 8, n.º 2, da presente Política.

 

8 - RESPEITO PELOS DIREITOS DOS INDIVÍDUOS

1- Todos os indivíduos em relação aos quais a PharSolution procede ao tratamento dos seus dados pessoais, e enquanto titulares desses mesmos dados têm o direito de:

I) Acesso, retificação, cancelamento, direito a ser esquecido - Right to be forgotten - e oposição;

II) Direito à limitação do tratamento e à portabilidade dos seus dados pessoais, nos termos definidos pelo RGPD.

2-Para efeito do exercício dos direitos acima referidos os titulares dos dados devem consultar o encarregado de proteção de dados, o qual pode ser consultado através dos seguintes contactos:

Nome: Vera Miranda

Endereço de e-mail: dpo@pharsolution.com

3- A PharSolution, através do seu encarregado de proteção de dados, responderá a todas as solicitações dos titulares dos dados num prazo de quatro (4) semanas a contar da data de receção das mesmas.

 

9 - POSIÇÃO DO ENCARREGADO DE PROTEÇÃO DE DADOS

1- A PharSolution, enquanto responsável pelo tratamento e o subcontratado, caso exista, asseguram que o encarregado de proteção de dados não recebe instruções relativamente ao exercício das suas funções.

2- O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratado pelo facto de exercer as suas funções, devendo aquele informar diretamente a direção do responsável pelo tratamento ou do subcontratado (caso exista) ao mais alto nível.

3-Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas as questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo RGPD.

4- O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, podendo, não obstante, exercer outras funções e atribuições, devendo o responsável pelo tratamento ou o subcontratado (caso exista) assegurar que essas funções e atribuições não resultam num conflito de interesses.

 

10 - ADEQUAÇÃO, RELEVÂNCIA E PROPORCIONALIDADE

1- A PharSolution apenas recolhe os dados pessoais para finalidades específicas do tratamento desses dados, as quais são legítimas e determinadas de modo explícito aquando da recolha.

2- Os dados pessoais devem recolhidos devem ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados.

 

11 - SEGURANÇA DOS DADOS PESSOAIS

1- A PharSolution adotou as medidas de segurança técnicas e organizacionais adequadas para proteger a destruição acidental ou ilegal, a perda acidental, a alteração, a divulgação não autorizada ou acesso e outras formas ilegais de manipulação dos dados pessoais.

2-A fim de se garantir uma proteção adequada dos dados pessoais, é fundamental que o acesso a dados pessoais seja limitado e apenas deve ser efetuado dentro do estritamente necessário ao cumprimento da finalidade aplicável.

3- Em caso algum deverá ser permitido a terceiros que acedam a dados pessoais detidos pela PharSolution, exceto se existir um contrato com esse terceiro que contenha salvaguardas adequadas de proteção desses dados pessoais.

4- Em caso de dúvida sobre a legitimidade do terceiro para aceder a dados pessoais detidos pela PharSolution deverá ser previamente consultado o encarregado de proteção de dados.

 

12 - TRANSFERÊNCIA DE DADOS PESSOAIS

1- Considerando que existe uma finalidade legítima para o tratamento de dados pessoais, a PharSolution, enquanto responsável pelo tratamento, pode divulgar os seus dados pessoais apenas a categorias específicas de destinatários, nomeadamente, autoridades públicas, subcontratados, empresas de segurança e higiene no trabalho e parceiros.

2- Ao transferir dados pessoais, a PharSolution exige a demonstração que os destinatários cumprem o RGPD e que no contrato entre as partes, quando aplicável, seja incluída uma cláusula relativa aos dados pessoais.

 

13 - CONSERVAÇÃO DOS DADOS PESSOAIS

1) A PharSolution tem uma política ativa de conservação de dados e só os reterá pelo período legal previsto para ou de acordo com finalidades previstas no RGPD.

2) Quando exista norma legal de retenção aplicável, os dados pessoais serão retidos pelo período legalmente previsto e de acordo com a lei ou quando recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.º, n.º 1 («limitação das finalidades»)

3) Os dados pessoais detidos pela PharSolution serão regularmente revistos e determinada a irrelevância da sua conservação para a finalidade para a qual foram recolhidos ou terminado o período legal de retenção os mesmos serão:

I) Apagados de forma segura ou destruídos;

II) Anonimizados.

4) Deverá ser consultado o encarregado de proteção de dados sempre que existirem dúvidas quanto ao decurso dos prazos legais de retenção ou inexistência da finalidade que motivou a recolha.

 

14 - COMUNICAÇÃO DE FALHAS DE SEGURANÇA

1-Todos os trabalhadores, colaboradores, fornecedores, parceiros e demais titulares de dados com os quais a PharSolution se relacione têm a obrigação de denunciar ao encarregado de proteção de dados falhas reais ou potenciais relativamente à proteção de dados pessoais.

2-Isso permitirá que a PharSolution:

I) Investigue a falha e tome medidas corretivas, se necessário;

II) Mantenha um registo de falhas de cumprimento;

III) Notifique as entidades oficiais no prazo legalmente aplicável.

 

15 - FUNÇÕES E COMPETÊNCIAS

1-Cada responsável setorial é responsável por garantir que esta Política é cumprida pelos Trabalhadores e colaboradores.

2-Os trabalhadores e colaboradores devem estar familiarizados com esta Política e cumprir seus termos.

3-O encarregado de proteção de dados é responsável, nomeadamente, por:

I) Estabelecer ou rever esta Política e procedimentos;

II) Tornar as revisões desta Política conhecidas de todos os envolvidos;

III) Rever esta Política e procedimentos anualmente;

IV) Verificar regularmente o cumprimento desta Política;

V) Investigar as falhas de segurança reportadas e tomar medidas para corrigir, se necessário, bem como manter um registo das falhas de cumprimento e notificar as autoridades relevantes de quaisquer falhas de cumprimento que sejam relevantes.

VI) Tratar todos os pedidos de terceiros (incluindo ex-trabalhadores) e trabalhadores dentro de um prazo de quatro (4) semanas a contar da data desse pedido.

VII) Tratar todos os pedidos dos trabalhadores relativos à retificação dos dados pessoais.

VIII) Responder aos pedidos de acesso a dados pessoais de ex-trabalhadores e terceiros.

IX) Esclarecer os limites máximos de período de retenção de dados pessoais.

X) Determinar as medidas de segurança adequadas.

 

16 – FORMAÇÃO

1- A PharSolution promove sessões formativas sobre a presente Política e sobre a matéria da proteção de dados, cabendo ao encarregado da proteção de dados, determinar a sua periodicidade.

2-Será prestada formação adicional sempre que houver uma alteração substancial na legislação aplicável ou nesta Política.

 

17 - CONSEQUÊNCIAS DO INCUMPRIMENTO

O incumprimento da presente Política pode trazer consequências disciplinares aos trabalhadores, sempre que as suas regras sejam violadas de modo flagrante e grosseiro e/ou de forma reiterada as suas disposições, sendo iniciado o respetivo processo disciplinar nos termos previstos na legislação laboral.

 

18 – MEDIDAS E PLANO DE BOAS PRÁTICAS

De forma a assegurar que informações sensíveis, tanto em formato digital quanto físico, e ativos (e.g., notebooks, telemóveis, tablets, etc.) não sejam deixados desprotegidos em espaços de trabalho pessoais ou públicos quando não estão em uso, ou quando alguém deixa a sua área de trabalho, seja por um curto período de tempo ou ao final do dia, apresentam-se as seguintes medidas e plano de boas práticas:

MEDIDAS:

Uso de áreas com trancas;

Proteção contra o acesso não autorizado;

Proteção de dispositivos e sistemas de informação;

Adoção de uma cultura sem papel.

 

BOAS PRÁTICAS:

Não partilhar o utilizador nem a password de acesso ao PC

Sempre que se afasta do PC bloqueá-lo (ctrl+alt+del + “Bloquear” no caso de Windows)

Não tirar “screenshots” ou fotografias quando há dados sensíveis no ecrã

Não guardar dados sensíveis localmente no PC. Utilizar apenas as localizações e métodos aprovados pelos procedimentos conformes com o RGPD

Guardar todas as pastas com dados pessoais em local seguro e de acesso condicionado (idealmente um local de arquivo onde o acesso não seja livre, podendo também optar-se por armários com portas fechadas à chave e guardadas em sítio seguro)

Implementar uma política de segurança documental na qual cada trabalhador assume a responsabilidade pelos documentos que lhe são confiados, não os deixando em cima da secretária sem vigilância ou noutro local onde não consiga garantir o sigilo

Não utilizar o verso de fotocópias com dados pessoais como folhas de rascunho

Não fornecer qualquer informação com dados pessoais pelo telefone, a menos que seja possível certificar a identidade da pessoa que solicita a informação

 

Esta política foi atualizada pela última vez em 30 de Setembro de 2020