POLÍTICA DE PROTEÇÃO DE DADOS

1.      PREÂMBULO

José Carlos Pinheiro, Lda., doravante JCP, tem a sua origem em manutenção e reparação de veículos automóveis.

Na JCP reconhecemos a importância basilar da proteção das pessoas singulares no que ao tratamento dos seus dados pessoais e à sua livre circulação diz respeito. 

Devido à rápida evolução tecnológica, a sociedade da informação coloca-nos atualmente desafios sem precedentes, que nos levam a procurar dar a resposta mais adequada em matéria de proteção de dados pessoais, quer aos nossos trabalhadores, fornecedores, parceiros e outras partes envolvidas, nomeadamente os nosso Clientes, os quais representam o motor de toda a nossa atividade. 

Estamos convictos, de que a melhor forma de responder ao mercado, através da atividade que desenvolvemos, é aquela que respeita e dá cumprimento a todas as disposições legais e que nos permite, deste modo, continuar a ser merecedores da confiança que em nós é depositada. 

É, assim, para a JCP, essencial que cumpramos com todas as exigências comunitárias e nacionais que atualmente se impõem, aliando a proteção dos dados pessoais, sempre aos mais elevados padrões de ética profissional, pelos quais nos temos pautado ao longo da história da JCP.

Foi, por conseguinte, elaborada e aprovada a presente Política de Proteção de Dados, para reforçar o nosso comprometimento, junto dos nossos Clientes e demais partes envolvidas. 

A Gerência,

2.      Natureza e Âmbito

A presente Política de Proteção de Dados estabelece as regras gerais de conduta a observar na atividade da JCP, no que concerne à proteção de dados pessoais e ao seu tratamento, sem prejuízo do disposto na legislação nacional e comunitária aplicável.

A presente Política de Proteção de Dados vincula a gerência da JCP, os seus trabalhadores, subcontratados e fornecedores

Como conceitos chave relativos ao tratamento de dados pessoais, destacamos:

Dados pessoais” – informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

Tratamento” – uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

Responsável pelo Tratamento” – pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais;

Subcontratante” – uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes. 

3.      Política de Proteção de Dados

1. Que fontes e dados utilizamos?

A JCP trata dados pessoais que recebe de si no contexto da nossa relação comercial, na medida do que for necessário para prestar os nossos serviços.

Os dados pessoais relevantes recolhidos no contacto com potenciais clientes podem ser:

– Nome, endereço/outras informações de contacto (telefone, endereço eletrónico), número do cartão de cidadão, número de identificação fiscal e matrícula.

A JCP reconhece a proibição de tratamento de categorias especiais de dados, pelo que o mesmo será efetuado excecionalmente, dentro dos limites legais estabelecidos.

Os dados pessoais objeto de tratamento são sempre adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados.

A JCP, enquanto administradora de uma página de Facebook, aceitou as condições de utilização desta plataforma, entre as quais se inclui a ferramenta Facebook Insights, o qual configura uma condição não alterável. Nessa medida, a JCP utiliza a ferramenta nos precisos termos que o Facebook expõe no seu Centro de Ajuda a respeito “Onde vejo quantas pessoas visualizaram a minha Página?”, o que permite consultar as visualizações por secção, idade e género, país, cidade e dispositivo, num formato puramente estatístico, não utilizando tal informação para outra finalidade.

Além disso, a JCP implementou medidas internas que garantem que, durante toda a relação comercial estabelecida com o seus Clientes, os diversos trabalhadores só têm acesso aos seus dados se e na medida das necessidades do respetivo posto de trabalho.

2. Por que razão tratamos os seus dados (finalidades do tratamento) e com que base legal?

Os dados pessoais tratados pela JCP são objeto de um tratamento lícito, leal e transparente, em relação ao titular dos dados, baseando-se sempre num dos seguintes fundamentos, não sendo posteriormente tratados de forma incompatível com esses fundamentos:

  1. Para o cumprimento de obrigações contratuais (art. 6.º, n.º 1, al. b) do RGPD): o tratamento de dados pessoais é realizado de modo a serem prestados os serviços de reparação e/ou manutenção automóvel, bem como de fornecimento de peças para automóvel, nos termos dos contratos com os nossos clientes ou para praticar atos a seu pedido antes da celebração de um contrato;
  2. Para cumprimento de uma obrigação jurídica (art. 6.º, n.º 1, al. c) do RGPD) ou no interesse público (art. 6.º, n.º 1, alínea e) do RGPD): muito embora seja uma decorrência dos serviços prestados aos nossos Clientes, a emissão de fatura consubstancia uma obrigação legal decorrente dos códigos fiscais;
  3. Com base no seu consentimento (art. 6.º, n.º 1, al. a) do RGPD): nas situações em que nos tenha prestado o consentimento para o tratamento de dados pessoais para fins específicos (por ex. para divulgação de outros serviços que possam ser do seu interesse). Por exemplo, para enviar-lhe informações sobre as nossas ofertas de produtos e serviços, novidades e eventos (newsletters).
  4. Para efeitos de salvaguarda de interesses legítimos prosseguidos pela JCP ou por terceiros (art. 6.º, n.º 1, al. f) do RGPD), exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular dos dados que exijam a proteção dos dados pessoais. A título exemplificativo, a JCP realiza inquéritos de satisfação dos seus Clientes através de Mailchimp, enquanto seu interesse legítimo de aferir o grau de satisfação do Cliente, com vista à melhoria contínua dos serviços prestados. 

Sempre que o tratamento de dados pessoais a efetuar pela JCP tiver por base o consentimento do titular dos dados, este consentimento será tão fácil de retirar quanto de dar.

3. Estou obrigado a fornecer os meus dados?

No âmbito da nossa relação comercial, tem de fornecer os dados pessoais que forem necessários para a iniciação e execução de uma relação comercial e para o cumprimento das obrigações contratuais associadas ou que sejamos legalmente obrigados a recolher. Em regra, não poderíamos celebrar qualquer contrato sem estes dados ou poderíamos não ser capazes de manter um contrato existente e teríamos de o fazer cessar.

4. Quem recebe os meus dados?

Na JCP, têm acesso aos seus dados apenas os colaboradores que os solicitarem para dar cumprimento às nossas obrigações contratuais e legais.

Os prestadores de serviços que contratamos também podem receber dados para estes efeitos se respeitarem as melhores regras de confidencialidade e as nossas instruções escritas ao abrigo da legislação sobre proteção de dados. Estas são essencialmente empresas das categorias que se mencionam de seguida.

No que se refere à transferência de dados para destinatários exteriores à JCP, deve assinalar-se, desde já, que, muito embora sejam utilizados softwares desenvolvidos por entidades externas, o local onde fica armazenada a informação é interno, pertencente à JCP, e a respetiva gestão e apoio técnico é levado a cabo por um subcontratado vinculado a adequadas regras e instruções escritas ao abrigo da legislação sobre proteção de dados. 

Além disso, apenas podemos divulgar informações sobre si se formos legalmente obrigados a fazê-lo, se nos tiver prestado o seu consentimento e/ou se os responsáveis pelo tratamento contratados por nós garantirem o cumprimento das disposições da legislação sobre proteção de dados aplicáveis.

Nestas condições, podem ser destinatários de dados pessoais, por exemplo:

– Autoridade e instituições públicas (por ex., Autoridade Tributária e Aduaneira), na medida em que exista obrigação legal ou oficial;

– Empresa de contabilidade que presta apoio contabilístico à JCP;

– Seguradoras, no âmbito de processos de peritagem que dão entrada na JCP;

– Mailchimp;

– Facebook.

5. Em que medida são tomadas decisões automatizadas (incluindo a definição de perfis)?

Em regra, não tomamos decisões com base apenas em tratamento automatizado, tal como se define no art. 22.º do RGPD. Se utilizarmos estes procedimentos em casos individuais, iremos informá-lo desta situação em separado.

6. Dados transferidos para um país terceiro ou para uma organização internacional 

Os dados apenas serão transferidos para fora da UE ou do EEE, se tal for necessário para a execução das suas ordens, prescrito por lei ou se nos tiver dado o seu consentimento. Se forem usados prestadores de serviços num país terceiro, são obrigados a cumprir o nível de proteção de dados da Europa, além de instruções escritas mediante aceitação das cláusulas contratuais-tipo da UE.

Além disso, a JCP reconhece, para o efeito, como países possuidores de regulação adequada ao exigido pelo RGPD, os mencionados pela Comissão Europeia na seguinte ligação: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en.

7. Durante quanto tempo serão conservados os meus dados?

Tratamos e armazenamos os seus dados pessoais pelo tempo que for necessário para o cumprimento das nossas obrigações contratuais e legais.

Se os dados deixarem de ser necessários para o cumprimento das nossas obrigações contratuais e legais, normalmente são apagados, salvo se for necessário o seu tratamento adicional (por tempo limitado) para os seguintes fins:

– Cumprimento de prazos de retenção de registos nos termos da legislação comercial e tributária. Os períodos de retenção de registos aqui prescritos vão de 2 a 10 anos.

– Conservação de provas no âmbito do regime de prescrições. Nos termos dos artigos 309.º e seguintes do Código Civil, estes prazos de prescrição podem ir até 20 anos. 

8. Exercício dos seus direitos enquanto Titular dos Dados

A JCP facilita o exercício dos direitos do titular dos dados, dando seguimento a pedidos por este efetuado, sem demoras injustificadas, no sentido de poder exercer os seguintes direitos:

  1. Retirar o seu consentimento a qualquer momento;
  2. Estar informado sobre o tratamento dos seus dados pessoais;
  3. Obter o acesso aos dados pessoais conservados que lhes digam respeito;
  4. Solicitar a correção de dados pessoais incorretos, inexatos ou incompletos;
  5. Solicitar o apagamento de dados pessoais que já não sejam necessários ou caso o seu tratamento seja ilícito, de acordo com as limitações impostas pela legislação em vigor;
  6. Opor-se ao tratamento dos seus dados pessoais para efeitos de comercialização ou por motivos que digam respeito à sua situação específica;
  7. Solicitar a limitação do tratamento dos seus dados pessoais em casos específicos;
  8. Receber os seus dados pessoais em formato de leitura automática e enviá-los para outro responsável pelo tratamento («portabilidade dos dados»);
  9. Solicitar que as decisões tomadas com base em tratamento automatizado que lhes digam respeito ou que os afetem significativamente e que se baseiem nos seus dados pessoais sejam tomadas por pessoas singulares e não apenas por computadores. Também tem o direito, neste caso, de manifestar o seu ponto de vista e de contestar a decisão.

Em caso de necessidade de prorrogação do tempo de resposta ao pedido formulado pelo titular dos dados, a JCP informá-lo-á dessa necessidade, tendo em conta as contingências associadas à resposta.

Os titulares dos dados têm ainda o direito de apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD), através dos seguintes meios: 

-por correio tradicional para o endereço Rua de São Bento, 148 – 3º, 1200-821 Lisboa;

-telefone: 213928400

-fax: 213976832

– endereço eletrónico: geral@cnpd.pt

9. Violação de Dados

A JCP aplica medidas técnicas e organizativas adequadas para evitar possíveis violações de dados.

Caso a JCP sofra um incidente de segurança relativo aos dados pessoais pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados e se a violação for suscetível de representar um risco para os direitos e as liberdades do titular dos dados, a JCP notificará a autoridade de controlo. 

Se a violação de dados representar um elevado risco para os titulares dos dados afetados, a JCP informá-los-á.

10.  Avaliação de Impacto Sobre a Proteção de Dados

A JCP realizará uma avaliação de impacto sobre a proteção de dados sempre que o tratamento seja suscetível de resultar num elevado risco para os direitos e as liberdades das pessoas singulares, nomeadamente, nas situações elencados no Regulamento n.º 798/2018, se aplicável, o qual publicou a lista de tratamento de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados.

Qualquer questão relacionada com a presente política ou qualquer outro aspeto relacionado com a proteção de dados pessoais deverá ser remetida para o seguinte contacto:

rgpd@josecarlospinheiro.pt