Política de Privacidade, de Segurança da Informação e de Comunicação de Irregularidades ou Denúncias | REVISÃO 01

Compromisso

A Helenos, S.A., no contexto da sua atividade, procede à recolha e ao tratamento de informação, incluindo dados pessoais, pretendendo assegurar com rigor, eficácia e segurança a proteção de todos os dados e informação por forma a garantir a permanência dos recursos de informação. A formação de um conjunto de boas práticas com o objetivo de desenvolver uma cultura de segurança da informação é essencial para qualquer empresa, sendo que a informação é um dos ativos mais valiosos de uma organização.

As decisões relacionadas com a segurança da informação e a proteção dos dados pessoais que a Administração toma, determinam quão segura a rede de informação da sua organização é, que funções terão acesso a determinada informação e como a mesma poderá ser utilizada e assegurada. A presente Política descreve o modo de recolha, acesso, tratamento e segurança da informação e dos dados pessoais, e como os respetivos titulares dos dados podem exercer os seus direitos junto da Helenos.

SEGURANÇA DA INFORMAÇÃO E PROTEÇÃO DE DADOS

1. O responsável pela segurança da informação

No âmbito das suas atividades e atribuições, a Helenos é a entidade responsável pela segurança de toda a informação existente, delegando a atividade de garantir a segurança da informação no respetivo Responsável do Departamento de Informática e Telecomunicações, a quem compete a implementação e monitorização dos sistemas que garantam a segurança da informação, apoiado pela empresa de informática subcontratada que garante a conceção, a manutenção e a assistência técnica ao hardware e ao software da Helenos.

2. O responsável pelo tratamento de dados

No âmbito das suas atividades e atribuições, a Helenos é a entidade responsável pela recolha e tratamento de dados pessoais, os quais são processados e armazenados de forma automatizada e não automatizada. A Helenos dispõe de um Encarregado de Proteção de Dados, o qual poderá ser contactado através do e-mail encarregado-dados@helenos.com.pt.

Em alternativa, poderá ser dirigida carta ao Encarregado de Proteção de Dados para a morada: Travessa da Rua do Viso, nº. 2 Cave Esquerda | 3080-175 Figueira da Foz.

Ao Encarregado de Proteção de Dados compete, em especial, monitorizar a conformidade das atividades que envolvam o tratamento dos dados com as normas legais e regulamentares aplicáveis.

O Encarregado de Proteção de Dados é o ponto de contacto entre a Helenos e os seus Clientes, Colaboradores, Subcontratantes ou outros e, ainda, o ponto de contacto entre a Helenos e a Autoridade Nacional de Controlo, em questões relativas ao tratamento de dados pessoais.

3. Sistema digital, informação digital, dados pessoais, titulares de dados pessoais e categorias de dados pessoais

O que é um sistema digital?

Um sistema digital é um conjunto de dispositivos de transmissão, processamento ou armazenamento de sinais digitais, que se traduz em informação digital.

O que é a informação digital?

Toda a informação suportada pelo sistema digital.

O que são dados pessoais?

Dados pessoais são todas as informações de qualquer natureza, recolhidas em qualquer tipo de suporte, relativas a uma pessoa singular, identificada ou identificável. Considera-se identificável o conjunto de informações que podem levar à identificação de uma determinada pessoa, nomeadamente por referência a um identificador (como por exemplo um número de identificação ou um dado de localização).

De quem são recolhidos dados pessoais?

No âmbito da atividade da Helenos, podem ser recolhidos e tratados dados dos seguintes tipos de pessoas singulares:

  • Clientes;
  • Colaboradores;
  • Candidatos a colaboradores;
  • Prestadores de serviço e respetivos colaboradores;
  • Terceiros.

Que dados pessoais são tratados e de que forma são recolhidos?

A Helenos apenas recolhe dados que se mostrem adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para os quais são tratados.

A recolha dos dados pode ser feita oralmente, por escrito (nomeadamente através de formulários e/ou contratos) ou através do website da Helenos. Regra geral, a recolha dos dados ocorre diretamente junto dos respetivos titulares, ou, no caso de colaboradores de prestadores de serviço, junto da respetiva entidade empregadora.

Para execução das diferentes finalidades, podem ser recolhidos os seguintes tipos de dados pessoais:

  • Dados de identificação (como o nome, naturalidade, cartão do cidadão ou data de nascimento, entre outros);
  • Dados de contacto (como o telemóvel, morada ou e-mail);
  • Dados de habilitação e situação profissional (como nível de escolaridade e CV);
  • Dados bancários (como IBAN);
  • Imagens de eventos (vídeo ou fotografia);
  • Imagens de sistemas de videovigilância para proteção das instalações físicas da empresa.

Em regra, na Helenos não são recolhidos dados sensíveis, como dados de saúde ou dados referentes a contraordenações ou ilícitos criminais.

4. Gestão da informação digital

Para a gestão da informação digital, a Helenos tem implementado um conjunto de regras, nomeadamente:

– a existência de um inventário de todos os equipamentos que suportem a utilização da informação digital;
– a existência de contas individualizadas para cada utilizador;
– sistema de senhas para acesso de cada utilizador;
– definição de acesso à informação necessária a cada utilizador, incluindo permissão para a consulta e/ou modificação adequada ás necessidades do utilizador face à sua função na empresa;
– sistema de cópias de segurança

5. Fundamentos e Finalidades do Tratamento de Dados Pessoais

Porquê e com que fundamento são utilizados os dados pessoais na Helenos?

Todos os dados recolhidos e tratados pela Helenos têm por fundamento uma das seguintes condições de legitimidade:

O consentimento: quando a recolha é precedida do consentimento expresso, específico e informado, através de suporte escrito ou via web.
O consentimento é obtido, por exemplo, para finalidades relacionadas com o envio de informação sobre serviços/produtos.

A execução de contrato ou diligências pré-contrato: quando o tratamento é necessário para a execução de um contrato no qual ou para diligências pré-contratuais.
Esta condição estará preenchida quando tratamos os dados para efeitos de entrada dos colaboradores em obra ou de acesso a terceiros às instalações da empresa.

O cumprimento de obrigações legais: quando o tratamento é necessário para o cumprimento de uma obrigação jurídica.
Os dados podem ser cedidos a entidades da Administração Pública, Autoridades de Controlo ou outras e Organizações Públicas, incluindo Tribunais, quando seja legalmente exigido.

O interesse legítimo: quando o tratamento se mostra necessário para a prossecução de interesses legítimos da entidade responsável pelo tratamento, sem prejudicar os direitos e as liberdades dos titulares dos dados.
Aqui se incluem todos os tratamentos que resultam de atribuições conferidas por lei, a nível nacional e internacional.

Quais as finalidades para as quais são recolhidos os dados?

Os dados pessoais recolhidos pela Helenos apenas são processados para fins específicos, explícitos e legítimos. Sempre que sejam recolhidos dados pessoais, os mesmos destinam-se exclusivamente às finalidades expressamente identificadas aquando da recolha. Ficam aqui elencadas as principais finalidades que justificam a recolha de dados pessoais pela Helenos:

  • Contratualização de fornecimentos ou de prestação de serviços;
  • Divulgação a entidades públicas;
  • Realização de eventos promovidos pela Helenos;
  • Divulgação de informação comercial;
  • Segurança física das instalações e das pessoas.

 

6. Período de conservação da informação e dos dados pessoais

A Helenos trata e conserva a informação e os dados apenas durante o período que se mostre necessário à prossecução ou conclusão das finalidades do tratamento a que se destinam, estando esses prazos definidos com total respeito pelos prazos máximos necessários para cumprir com obrigações contratuais, legais ou regulamentares.

Regra geral, e quando exista um contrato que legitime o tratamento dos dados, a Helenos irá manter esses dados enquanto se mantiver a relação contratual. Outras circunstâncias existem, como o cumprimento de obrigações legais ou regulamentares, bem como a pendência de um processo judicial, que pode legitimar que os dados sejam conservados por período de tempo superior.

Findo o período de conservação, a Helenos procederá à eliminação dos referidos dados.

 

7. Direitos dos titulares dos dados

Nos termos da legislação em vigor, a partir do momento em que a Helenos recolhe e trata os dados, existe um conjunto de direitos que, a qualquer momento, o titular dos dados poderá exercer junto da empresa.

 

Quais os direitos dos titulares dos dados pessoais?

Direito de acesso: direito que permite aceder à informação detida pela empresa, nomeadamente, o tipo, finalidade do tratamento, a quem podem ser comunicados os dados, prazos de conservação e quais os dados que fornece de forma obrigatória ou facultativa.

Direito de retificação: direito que permite solicitar a retificação dos dados, exigindo que estes sejam exatos e atuais, como por exemplo, quando considerado que os mesmos estão incompletos ou desatualizados.

Direito à eliminação dos dados ou “Direito a ser esquecido”: direito a solicitar a eliminação dos dados, quando não existam fundamentos válidos para a conservação dos dados e desde que não exista outro fundamento válido que legitime tal tratamento (como a execução de um contrato ou o cumprimento de uma obrigação legal ou regulamentar).

Direito à Limitação: direito que permite a suspensão do tratamento ou a limitação do tratamento a certas categorias de dados ou finalidades.

Direito à Portabilidade: direito através do qual poderá ser solicitado o envio dos dados, em formato digital e de uso corrente, que permite a reutilização dos mesmos. Em alternativa, poderá ser solicitada a transmissão dos dados para outra entidade que passe a ser responsável pelo respetivo tratamento.

Direito de Oposição: direito que permite apresentar oposição à utilização dos dados em determinadas finalidades e desde que não se verifiquem interesses legítimos que prevaleçam sobre os seus interesses. Um dos exemplos deste direito respeita à oposição a finalidades de comercialização direta/ou marketing.

Direito de Retirar o Consentimento: direito que permite retirar o consentimento, mas que apenas pode ser exercido quando o mesmo seja a única condição de legitimidade, ou seja, não existam outras finalidades legais ou regulamentares previstas.

 

Como proceder ao exercício dos direitos descritos?

Todos os direitos supra descritos poderão ser exercidos, com as limitações previstas na legislação aplicável, mediante pedido por escrito, a ser remetido através do e-mail encarregado-dados@helenos.com.pt. De igual forma poderão ser remetidas pelos titulares dos dados pessoais questões relacionadas com o tratamento dos dados, junto do Encarregado de Proteção de Dados, através do mesmo endereço de e-mail. O titular dos dados pessoais poderá ainda apresentar qualquer reclamação junto da Autoridade Nacional de Controlo.

 

8. Transmissão de dados

Com quem podem ser partilhados os dados pessoais?

Atendendo às atividades da Helenos, S.A., e dependendo da respetiva finalidade, os dados poderão ser partilhados junto de entidades terceiras, nas quais se incluem organismos públicos nacionais e internacionais e entidades públicas e privadas para efeitos de cumprimento de obrigações legais ou regulamentares, contratuais ou funções de interesse público.

Os dados poderão ainda ser acedidos por prestadores de serviços da Helenos, tidos como necessários para a execução das finalidades supra descritas, nomeadamente no que respeita a serviços de segurança de informação. A Helenos garante que recorre apenas a prestadores de serviços que apresentem as garantias de execução de medidas técnicas e organizativas necessárias e adequadas à proteção dos dados pessoais.

COMUNICAÇÃO DE IRREGULARIDADES / DENÚNCIAS

1. O responsável pela gestão das irregularidades ou denúncias comunicadas

No âmbito das suas atividades e atribuições, a Helenos é a entidade responsável pela resolução de eventuais irregularidades comunicadas, delegando a atividade de receber, analisar, controlar e garantir a sua resolução ao Encarregado de Proteção de Dados da empresa, o qual poderá ser contactado através do e-mail encarregado-dados@helenos.com.pt.

Em alternativa, poderá ser dirigida carta ao Encarregado de Proteção de Dados para a morada: Travessa da Rua do Viso, nº. 2 Cave Esquerda | 3080-175 Figueira da Foz. Para garantir o princípio da confidencialidade, deverá ser mencionado no invólucro exterior do ofício que o seu conteúdo contém informação de carater confidencial (p. ex., OFÍCIO CONFIDENCIAL).

Ao Encarregado de Proteção de Dados compete, em especial, monitorizar a conformidade das atividades que envolvam a receção, o tratamento e o encaminhamento da comunicação de forma confidencial e em estrito cumprimento com as normas legais e regulamentares aplicáveis.

O Encarregado de Proteção de Dados é o ponto de contacto entre a Helenos e os seus Clientes, Colaboradores, Subcontratantes ou outros e, ainda, o ponto de contacto entre a Helenos e a Autoridade Nacional de Controlo, em questões relacionadas com a comunicação de irregularidades ou denúncias.

Na Helenos é entendido que existe uma cultura de confiança, integridade e transparência que permite que eventuais preocupações sejam rapidamente reportadas à Administração e, assim, rapidamente esclarecidas, resolvidas e prevenidas.

A assunção e resolução de eventuais situações anómalas converte-se em confiança na organização e na sua liderança, e apresentará um menor impacto negativo quanto mais célere e eficaz for a sua resolução. A formalização da comunicação de eventual irregularidade deve ser entendida como último recurso. Deve ser privilegiada a denúncia interna em detrimento da denúncia externa.

2. Suporte à comunicação de irregularidades ou denúncias

Sempre que possível a comunicação de irregularidades ou denúncias deve estar suportada no formulário IHL153, disponível neste site. Quando a comunicação não for suportada no referido formulário, a mesma deve ser apresentada com elementos que permitam:

– Identificar o denunciante e formas de contacto quando a denúncia não for anónima;

– Identificar de forma clara a irregularidade apontada;

– Identificar eventuais responsáveis;

– Tipificar e quantificar os danos;

– Identificar a ocorrência no tempo;

– Identificar o local da ocorrência;

– Outra informação relevante.

Os elementos que compõem a comunicação devem conter, sempre, evidências objetivas.

Quem pode efetuar a comunicação de irregularidade ou denúncia?

– Clientes;

– Colaboradores;

– Candidatos a colaboradores;

– Prestadores de serviço e respetivos colaboradores;

– Terceiros.

Quando comunicar irregularidade ou denúncia?

A comunicação deve ser efetuada quando existam indícios de:

– Irregularidades na contratação;

– Irregularidades na segurança e conformidade dos serviços;

– Infrações legais;

– Infrações aos códigos de conduta ou de ética da organização;

– Negligência grosseira;

– Crimes de corrupção e infrações conexas ou conflito de interesses;

– Falhas na segurança da rede e nos sistemas de informação;

– Ações ou omissões que resultem em danos ou risco de danos aos direitos humanos, ao ambiente, à saúde pública ou à segurança, etc.

Para a comunicação de irregularidades, o denunciante deve ter uma dúvida razoável que possa ser entendida por outra pessoa da mesma forma.

3. Tratamento na comunicação de irregularidades ou denúncias

O tratamento de toda a informação que constitua a comunicação da irregularidade ou denúncia implica:

– Boa fé do denunciante;

– Obrigações de confidencialidade;

– Tratamento apenas de dados relevantes;

– Conservação das comunicações;

– Proibição de retaliação;

– Proteção do denunciante;

– Proteção do denunciado;

– Atuação imediata;

– Conformidade com o RGPD (Regulamento Geral da Proteção de Dados)

– Elevado envolvimento da gestão de topo.

4. Processo de tratamento da comunicação

A comunicação é tratada e exposta ao seguinte processo:

– Receção, registo e organização;

– Análise e investigação, por pessoa ou grupo conhecedor e com maior competência face ao âmbito da comunicação;

– Obtenção de informação adicional sem colocar em risco a confidencialidade;

– Eliminação da informação não necessária;

– Planeamento de ações;

– Implementação e avaliação das ações planeadas;

– Emissão de relatório;

– Encerramento.

Além da pessoa ou grupo nomeado para a análise, intervêm no processo o Encarregado de Proteção de Dados e a Gestão de Topo. Estes são os elementos que constituem o grupo de trabalho restrito para a resolução da irregularidade ou denúncia.

5. Período de conservação dos registos da comunicação de irregularidades ou denúncias

A Helenos trata e conserva a informação e os dados apenas durante o período que se mostre necessário à prossecução ou conclusão das finalidades do tratamento a que se destinam, estando esses prazos definidos com total respeito pelos prazos máximos necessários para cumprir com obrigações contratuais, legais ou regulamentares. Findo o período de conservação, a Helenos procederá à eliminação dos referidos dados.

6. Reporte de dados

Quando identificado, ao denunciante assiste o direito de ter conhecimento da informação tratada a seu respeito e de ser informado das conclusões da comunicação efetuada.

LEGISLAÇÃO

O tratamento da informação e dos dados pessoais recolhidos pela Helenos estão em conformidade com a legislação nacional e comunitária em vigor, nomeadamente com os requisitos estabelecidos pelo Regulamento Geral de Proteção de Dados.

REVISÃO

A presente política poderá ser alterada a qualquer momento, mediante publicação nos canais de comunicação oficiais da organização.