Política de privacidade dos dados

Este documento contém as informações sobre o tratamento de dados pela Tubitex e a política geral aplicada ao tratamento de dados.

1. Informação e pedido de consentimento nos termos do art. 13.º do Regulamento Europeu n.º 2016/679 (RGPD)

Nos termos do art. 13 do RGPD, informamos-te que os dados dos nossos arquivos serão tratados pela Tubitex S.p.A., responsável pelo tratamento.
A lista actualizada dos subcontratantes está disponível junto do Responsável pelo tratamento. Os dados serão tratados por meios electrónicos e/ou automatizados com a finalidade de gerir a relação comercial e as obrigações decorrentes da legislação fiscal. As autorizações para as finalidades acima referidas são obrigatórias, sem esse tratamento não é possível realizar as actividades solicitadas. Os teus dados podem ser comunicados a pessoas que sejam funcionais para a prossecução das finalidades acima descritas. A base jurídica do tratamento está relacionada com a gestão das obrigações legais e a execução da relação comercial. A qualquer momento podes exercer os teus direitos previstos nos artigos 15 – 22 do RGPD, incluindo o cancelamento dos teus dados ou a oposição à sua utilização, contactando: Tubitex S.p.A. com sede social em Viale del Lavoro 31, 36048 Barbarano Mossano (VI), através da caixa de correio privacy@tubitex.com. Os dados serão conservados nos nossos arquivos durante os períodos previstos pelas obrigações legais ou até um pedido legítimo de cancelamento. Podem ser apresentadas queixas relativas ao tratamento à Autoridade competente: Garante sulla Protezione dei Dati personali, Piazza di Monte Citorio n. 121 00186 ROMA, Fax: (+39) 06.69677.3785, Central telefónica: (+39) 06.696771, E-mail: garante@gpdp.it.

2. Objetivo da política

A Tubitex S.p.A., doravante designada por “Empresa”, compromete-se a respeitar as leis e os regulamentos aplicáveis em matéria de proteção dos dados pessoais nos países onde opera. Este procedimento define os princípios fundamentais segundo os quais a Empresa trata os dados pessoais de clientes, fornecedores, parceiros comerciais, funcionários e outros indivíduos, e indica as responsabilidades dos seus departamentos e funcionários no tratamento de dados pessoais.

3. Referências normativas

RGPD 2016/679 (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE) Leis ou regulamentos nacionais relevantes para a aplicação do regulamento

4. Definições

As definições utilizadas no presente documento são retiradas do artigo 4.º do Regulamento Europeu: “Dados pessoais”, qualquer informação relativa a uma pessoa singular identificada ou identificável (“pessoa em causa”); é considerada identificável uma pessoa que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores em linha ou a um ou mais elementos específicos da sua identidade física, fisiológica, genética, mental, económica, cultural ou social; Dados sensíveis Dados pessoais que, pela sua natureza, são particularmente sensíveis em relação aos direitos e liberdades fundamentais e merecem proteção específica porque o contexto do seu tratamento pode implicar riscos significativos para os direitos e liberdades fundamentais. Estes dados pessoais incluem os dados pessoais que revelam a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, os dados genéticos, os dados biométricos que identificam de forma inequívoca uma pessoa singular, os dados relativos à saúde ou os dados relativos à orientação sexual de uma pessoa. Responsável pelo tratamento dos dados: a pessoa singular ou colectiva, a autoridade pública, o serviço ou outro organismo que, individualmente ou em conjunto com outrem, determina as finalidades e os meios de tratamento dos dados pessoais; Subcontratante: a pessoa singular ou colectiva, a autoridade pública, o serviço ou outro organismo que trata os dados pessoais por conta do responsável pelo tratamento; Tratamento Qualquer operação ou conjunto de operações efectuadas sobre dados pessoais ou conjuntos de dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição; Anonimização: Anonimização: Desidentificação irreversível dos dados pessoais de forma a que a pessoa não possa ser identificada pela tecnologia e dentro de um prazo e custo razoáveis, quer pelo responsável pelo tratamento quer por outra pessoa. Os princípios do tratamento de dados pessoais não se aplicam aos dados anónimos, uma vez que estes não são considerados dados pessoais. Pseudonimização: o tratamento de dados pessoais de forma a que estes deixem de poder ser atribuídos a uma determinada pessoa sem recorrer a informações suplementares, desde que essas informações suplementares sejam conservadas separadamente e sujeitas a medidas técnicas e organizativas que garantam que os dados pessoais não são atribuídos a uma pessoa singular identificada ou identificável; a pseudonimização reduz, mas não elimina totalmente, a possibilidade de associar dados pessoais a uma pessoa em causa. Tendo em conta que os dados que foram submetidos ao processo de pseudonimização continuam a ser dados pessoais, este processo deve respeitar os princípios do tratamento de dados pessoais.

Tratamento transfronteiriço: tratamento de dados pessoais efectuado no contexto das actividades de estabelecimentos em mais de um Estado-Membro de um responsável pelo tratamento ou de um subcontratante na União, quando o responsável pelo tratamento ou o subcontratante esteja estabelecido em mais de um Estado-Membro; ou tratamento de dados pessoais efectuado no contexto das actividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante na União, mas que afecte ou seja suscetível de afetar substancialmente titulares de dados em mais de um Estado-Membro; Autoridade de controlo a autoridade pública independente criada por um Estado-Membro nos termos do artigo 51º; Autoridade de controlo principal: A autoridade de controlo com a responsabilidade principal de lidar com uma atividade de tratamento de dados transfronteiriça, como quando um titular de dados apresenta uma queixa sobre o tratamento dos seus dados pessoais; é responsável, nomeadamente, por receber notificações de violação de dados, ser informada sobre actividades de tratamento de risco e terá plena autoridade no que diz respeito às suas obrigações para garantir o cumprimento das disposições do GDPR; Cada “autoridade de controlo local” continuará a manter a sua atividade no seu território e a controlar qualquer tratamento de dados a nível local que afecte as pessoas em causa ou que seja efectuado por um responsável pelo tratamento de dados ou um subcontratante da UE ou de países terceiros, quando o tratamento visar pessoas em causa residentes no seu território. As suas funções e poderes incluem a realização de investigações e a aplicação de medidas e sanções administrativas, a promoção a nível geral da sensibilização para os riscos, regras, segurança e direitos relacionados com o tratamento de dados pessoais, bem como o acesso a quaisquer instalações do responsável pelo tratamento e do subcontratante, incluindo quaisquer ferramentas e meios de tratamento de dados. Estabelecimento principal: no que diz respeito a um responsável pelo tratamento com estabelecimentos em mais de um Estado-Membro, o local da sua administração central na União, exceto se as decisões sobre as finalidades e os meios de tratamento de dados pessoais forem tomadas noutro estabelecimento do responsável pelo tratamento na União e se este último estabelecimento tiver competência para ordenar a execução dessas decisões, caso em que o estabelecimento que tomou essas decisões é considerado o estabelecimento principal; Estabelecimento principal no que se refere a um responsável pelo tratamento com estabelecimentos em mais de um Estado-Membro, o local onde se situa a sua administração central na União ou, se o responsável pelo tratamento não tiver administração central na União, o estabelecimento do responsável pelo tratamento na União onde são exercidas as principais actividades de tratamento no contexto das actividades de um estabelecimento do responsável pelo tratamento, na medida em que este esteja sujeito a obrigações específicas nos termos do presente regulamento; Grupo de empresas: um grupo constituído por uma empresa-mãe e pelas empresas por ela controladas;

5. Princípios básicos do tratamento de dados pessoais

Os princípios de proteção de dados definem as responsabilidades básicas das organizações que processam dados pessoais. O n.º 2 do artigo 5.º do regulamento estabelece que “o responsável pelo tratamento é responsável e deve demonstrar o cumprimento destes princípios”.

5.1. Legalità, correttezza e trasparenza

Os dados pessoais devem ser tratados de forma legal, justa e transparente em relação à pessoa em causa.

5.2. Limitazione dello scopo

Os dados pessoais devem ser recolhidos para fins específicos, explícitos e legítimos e não devem ser tratados posteriormente de forma incompatível com esses fins.

5.3. Minimizzazione dei dati

Os dados pessoais devem ser adequados, pertinentes e limitados ao que é necessário em relação às finalidades para as quais são tratados. Se possível, a fim de reduzir os riscos para as pessoas em causa, a empresa deve aplicar a anonimização ou a pseudonimização aos dados pessoais.

5.4. Precisione

Os dados pessoais devem ser exactos e, se necessário, actualizados; devem ser tomadas medidas razoáveis para garantir que os dados pessoais inexactos, tendo em conta as finalidades para que são tratados, sejam apagados ou rectificados em tempo útil.

5.5. Limitazione del periodo di conservazione

Os dados pessoais devem ser conservados apenas durante o período necessário para as finalidades para as quais são tratados.

5.6. Integrità e confidenzialità

Tendo em conta o estado da tecnologia e outras medidas de segurança disponíveis, os custos de implementação e a probabilidade e gravidade dos riscos para os dados pessoais, a Empresa utilizará medidas técnicas ou organizativas adequadas para processar os dados pessoais de forma a garantir a segurança adequada dos dados pessoais, incluindo a proteção contra a destruição, perda, alteração ou divulgação acidental ou ilícita, ou contra o acesso não autorizado.

5.7. Responsabilità

Os responsáveis pelo tratamento de dados são responsáveis por demonstrar a conformidade com os princípios acima descritos.

6. Integrar a proteção de dados nas actividades comerciais

Para demonstrar a conformidade com os princípios da proteção de dados, a organização deve integrar a proteção de dados nas suas actividades comerciais.

6.1. Informativa agli interessati

(Ver secção Orientações sobre o manuseamento correto)

6.2. Scelta e consenso dell’interessato

(Ver secção Orientações sobre o manuseamento correto)

6.3. Raccolta

A Empresa deve esforçar-se por recolher o mínimo possível de dados pessoais. Se os dados pessoais forem recolhidos por terceiros, o Responsável pelo Tratamento deve garantir que os dados pessoais são recolhidos em conformidade com a lei.

6.4. Utilizzo, conservazione e smaltimento

Os objectivos, métodos, limites de armazenamento e período de retenção dos dados pessoais devem ser consistentes com a informação contida no Aviso Geral de Proteção de Dados. A Empresa deve manter a exatidão, integridade, confidencialidade e relevância dos dados pessoais de acordo com a finalidade do processamento. Devem ser utilizados mecanismos de segurança adequados para proteger os dados pessoais contra roubo ou utilização indevida e evitar violações dos dados pessoais. O Responsável pelo Tratamento é responsável pelo cumprimento dos requisitos enumerados nesta secção.

6.5. Divulgazione a terzi

Sempre que a Empresa recorre a um terceiro fornecedor ou parceiro de negócios para processar dados pessoais em seu nome, o responsável pela proteção da vida privada deve garantir que este processador fornece medidas de segurança para salvaguardar os dados pessoais adequados aos riscos associados. Para o efeito, deve ser utilizado um questionário de conformidade. A empresa deve exigir contratualmente que o fornecedor ou parceiro comercial assegure o mesmo nível de proteção de dados. O fornecedor ou parceiro de negócios só deve processar os dados pessoais para cumprir as suas obrigações contratuais para com a empresa ou de acordo com as instruções da empresa e não para qualquer outro fim. Quando a Empresa processa dados pessoais em conjunto com um terceiro independente, a Empresa tem de especificar explicitamente as respectivas responsabilidades e o terceiro no respetivo contrato ou em qualquer outro documento juridicamente vinculativo, como o Acordo de Processamento de Dados do Fornecedor.

6.6. Trasferimento transfrontaliero dei dati personali

Devem ser utilizadas salvaguardas adequadas antes da transferência de dados pessoais do Espaço Económico Europeu (EEE), incluindo a assinatura de um acordo de transferência de dados, conforme exigido pela União Europeia e, se necessário, deve ser obtida autorização da autoridade de proteção de dados. A entidade que recebe os dados pessoais deve cumprir os princípios de tratamento de dados pessoais estabelecidos no Procedimento de Transferência Transfronteiriça de Dados.

6.7. Diritti di accesso degli interessati

Quando actua como responsável pelo tratamento de dados, a empresa é obrigada a fornecer aos titulares dos dados um mecanismo de acesso razoável que lhes permita aceder aos seus dados pessoais e que lhes permita atualizar, corrigir, apagar ou transmitir os seus dados pessoais, se for caso disso ou se for exigido por lei. O mecanismo de acesso será pormenorizado no procedimento de pedido de acesso do titular dos dados.

6.8. Portabilità dei dati

As pessoas em causa têm o direito de receber, mediante pedido, uma cópia dos dados que forneceram num formato estruturado e de transmitir esses dados gratuitamente a outro responsável pelo tratamento de dados. O responsável pelo tratamento de dados é responsável por assegurar que esses pedidos sejam tratados no prazo de um mês, não sejam excessivos e não prejudiquem os direitos de outras pessoas em matéria de dados pessoais.

6.9. Diritto all’oblio

Mediante pedido, o titular dos dados tem o direito de obter da empresa a eliminação dos seus dados pessoais. Quando a empresa actua como responsável pelo tratamento dos dados, o responsável pela proteção da vida privada deve tomar as medidas necessárias (incluindo medidas técnicas) para informar os terceiros que utilizam ou processam esses dados para dar cumprimento ao pedido.

7. Orientações sobre o tratamento adequado

Os dados pessoais só podem ser processados se forem explicitamente autorizados pelo responsável pelo tratamento de dados. A empresa deve decidir se efectua uma avaliação de impacto sobre a proteção de dados para cada atividade de tratamento de dados, tal como definido nas Orientações para a Avaliação de Impacto sobre a Proteção de Dados.

7.1. Informativa agli interessati

Aquando da recolha ou antes da recolha de dados pessoais para qualquer tipo de actividades de tratamento, incluindo mas não se limitando à venda de produtos, serviços ou actividades de marketing, o Responsável pelo Tratamento é responsável por informar adequadamente os titulares dos dados sobre o seguinte: o tipo de dados pessoais recolhidos, as finalidades do tratamento, os métodos de tratamento, os direitos dos titulares dos dados em relação aos seus dados pessoais, o período de retenção, potenciais transferências internacionais de dados, se os dados serão partilhados com terceiros e as medidas de segurança da Empresa para proteger os dados pessoais. Estas informações são fornecidas através de um aviso geral de proteção de dados. Se a empresa tiver várias actividades de processamento de dados, terão de ser elaboradas diferentes divulgações, que serão diferentes consoante a atividade de processamento e as categorias de dados pessoais recolhidos; por exemplo, poderá ser redigida uma divulgação para as expedições por correio eletrónico e outra para as expedições por correio normal. Quando os dados pessoais são partilhados com terceiros, o responsável pelo tratamento deve garantir que as pessoas em causa são informadas desse facto através de um aviso geral de proteção de dados. Quando os dados pessoais são transferidos para um país terceiro ao abrigo da política de transferência transfronteiriça de dados, o aviso geral de proteção de dados deve especificá-lo, indicando claramente onde e para que entidade os dados pessoais estão a ser transferidos. Sempre que forem recolhidos dados pessoais sensíveis, o responsável pela proteção da vida privada deve garantir que o aviso geral de proteção de dados clarifica expressamente a finalidade para a qual esses dados sensíveis são recolhidos.

7.2. Ottenimento dei consensi

Sempre que o tratamento de dados pessoais se basear no consentimento da pessoa em causa, ou noutros motivos legítimos, o responsável pelo tratamento é responsável por manter um registo desse consentimento. O Responsável pelo Tratamento é responsável por apresentar aos titulares dos dados diferentes opções para darem o seu consentimento e deve informar e garantir que o seu consentimento (sempre que for utilizado como base legal para o tratamento) pode ser retirado em qualquer altura. Quando for solicitada a correção, alteração ou destruição dos registos de dados pessoais, o contacto para a proteção da privacidade deve garantir que esses pedidos são tratados num prazo razoável. A pessoa de contacto para a proteção da privacidade deve também registar os pedidos e manter um registo adequado. Os dados pessoais só podem ser tratados para a finalidade para a qual foram inicialmente recolhidos. Caso a Empresa pretenda tratar os dados pessoais recolhidos para outra finalidade, deve solicitar o consentimento dos titulares dos dados por escrito, de forma clara e concisa. Esse pedido deve incluir a finalidade original para a qual os dados foram recolhidos e também quaisquer finalidades novas ou adicionais. O pedido deve também incluir o motivo da alteração da(s) finalidade(s). A Pessoa de Contacto para a Proteção da Vida Privada é responsável pelo cumprimento das regras estabelecidas neste parágrafo. No presente e no futuro, a pessoa de contacto para a proteção da vida privada deve garantir que os métodos de recolha cumprem a lei, as boas práticas e as normas relevantes do sector. A pessoa de contacto para a proteção da privacidade é responsável pela criação e manutenção de um registo de avisos gerais de proteção de dados.

8. Responde a incidentes de violação de dados

Quando a empresa tiver conhecimento de uma violação suspeita ou real de dados pessoais, o responsável pela proteção da privacidade deve conduzir uma investigação interna e tomar as medidas adequadas em tempo útil, de acordo com o procedimento de violação de dados. Se houver ameaças aos direitos e liberdades dos titulares dos dados, a empresa deve notificar as autoridades de proteção de dados sem demora e, se possível, no prazo de 72 horas.