INFORMAÇÕES BÁSICAS SOBRE A PROTECÇÃO DE DADOSEm cumprimento da obrigação de informar as pessoas em causa sobre as circunstâncias e condições do tratamento dos seus dados e sobre os direitos que lhes assistem, fornecemos-lhes as seguintes informações.
CONTROLADOR DE DADOS: Vives De La Cortada, S.C.P.
OBJECTIVO DO TRATAMENTO DOS SEUS DADOSVives De La Cortada, S.C.P. : Para o informar sobre os produtos e/ou serviços de Vives De La Cortada, S.C.P .
RETENÇÃO DE DADOS: Os dados são conservados durante o tempo estritamente necessário para a relação e conforme exigido por lei, sendo posteriormente destruídos pelos processos seguros da organização.
LEGITIMAÇÃO PARA O TRATAMENTOConsentimento explícito através da aceitação das condições de utilização do formulário de registo para a nossa newsletter.
DESTINATÁRIOS DOS SEUS DADOS PESSOAISNão está prevista qualquer transferência de dados, exceto nos casos em que exista uma obrigação legal. Não estão previstas transferências internacionais de dados.
OS SEUS DIREITOSO utilizador pode revogar o seu consentimento e exercer os seus direitos de acesso, retificação, oposição, limitação, portabilidade e eliminação dos dados, dirigindo-se por escrito à Vives De La Cortada, S.C.P. em C/ Ciutat 7 Bajo Izquierda, 08002, Barcelona, bem como dirigindo-se à autoridade de controlo competente (AEPD).
Aceito as condições de utilização da subscrição da newsletter da Vives De La Cortada, S.C.P .
-
INTRODUÇÃO
A Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (Lei Orgânica de Proteção de Dados e Garantia dos Direitos Digitais) foi aprovada no final de 2018 e constituiu a aplicação do Regulamento Geral de Proteção de Dados em Espanha.
DIREITOS DIGITAIS APROVADOS
Esta legislação introduziu novos direitos digitais para os consumidores e utilizadores em Espanha, que são descritos a seguir.
-
O direito à desconexão digital no local de trabalhoPela primeira vez em Espanha, é regulamentado o direito dos trabalhadores a não serem obrigados a estar ao telemóvel ou ao computador no final do dia de trabalho. E que as empresas promovam acções para prevenir a fadiga informática dos seus trabalhadores.
As diferentes formas de exercício deste direito, em função da natureza e da finalidade da relação de trabalho, são deixadas à negociação colectiva ou a acordos entre empresas e sindicatos. Em qualquer caso, porém, o direito à conciliação da vida profissional e pessoal deve ser promovido. Especialmente quando todo ou parte do trabalho é efectuado à distância ou no domicílio do trabalhador, utilizando ferramentas tecnológicas.
-
Privacidade dos empregados: Regula igualmente o direito à privacidade no que respeita à utilização de dispositivos de geolocalização, videovigilância e gravação de som no local de trabalho. Proíbe expressamente a gravação em locais como vestiários, casas de banho ou cantinas.
A utilização destes sistemas só será permitida pela empresa quando exista um risco relevante para a segurança das instalações, bens e pessoas, e sempre após informação aos trabalhadores. E a entidade empregadora só pode aceder aos conteúdos dos suportes digitais disponibilizados aos seus trabalhadores para controlar o cumprimento das obrigações laborais e garantir a integridade desses dispositivos.
-
Direito a ser esquecido na Internet e nas redes sociais: No desenvolvimento do RGPD, esta nova lei regula o direito a ser esquecido. Por outras palavras, o direito de qualquer pessoa a que os dados pessoais que forneceu para publicação pelos serviços de redes sociais e serviços equivalentes da sociedade da informação sejam apagados, a seu simples pedido. Este direito também se estende ao direito a ser esquecido nas pesquisas na Internet.
-
O direito à educação digital e a proteção dos menores: Este regulamento estabelece 14 anos como a idade mínima em que os menores podem dar o seu consentimento para o tratamento dos seus dados pessoais. No caso de menores de 14 anos, o consentimento deve ser dado pelos pais ou tutores legais. Além disso, a utilização ou divulgação de imagens ou informações pessoais de menores nas redes sociais que possam implicar uma interferência ilícita nos seus direitos fundamentais será motivo de intervenção do Ministério Público.
-
Bónus social de acesso à Internet: A lei estabelece o direito de todos acederem à Internet de forma universal, acessível e não discriminatória, combatendo:
-
Disparidades entre géneros
-
Geracional
-
Por motivo de deficiência
-
Por local de residência, como as zonas rurais.
A fim de respeitar este direito, são estabelecidas várias medidas.
Plano de acesso à Internet
O Governo deve elaborar um plano de acesso à Internet que inclua também um cheque social de acesso à Internet para facilitar o acesso à Internet às famílias e aos meios sociais economicamente desfavorecidos.
O direito à neutralidade da rede
Os fornecedores devem fornecer uma oferta transparente de serviços, sem discriminação por motivos técnicos ou económicos. E garantir a segurança das comunicações que os utilizadores recebem ou transmitem através da rede.
O direito a um testamento digital
Os familiares ou herdeiros do falecido podem transmitir aos serviços da sociedade da informação a vontade relativa ao destino ou à eliminação dos dados, exceto se o falecido o tiver expressamente proibido.
-
Relatório anual: O governo terá de apresentar um relatório anual ao Congresso dos Deputados. Este relatório deve conter os seguintes elementos
-
Evolução dos direitos,
-
Garantias e mandatos previstos na lei e
-
As medidas necessárias para promover a promoção dos direitos digitais em Espanha.
-
DOCUMENTOS E CLÁUSULAS LEGAIS (ACTUALIZADOS DE ACORDO COM A NOVA DESIGNAÇÃO DO LOPD-GDD)
-
CLÁUSULA DE INFORMAÇÃO AOS TRABALHADORES
RECOMENDAÇÕES PARA O PESSOAL ENVOLVIDO EM OPERAÇÕES DE PROCESSAMENTO E TELETRABALHO
As recomendações ao pessoal devem ser definidas na política de teletrabalho do gestor, referenciadas no acordo de teletrabalho e adaptadas à situação específica das tarefas a desempenhar.
O conteúdo dessas recomendações pode ser consultado da seguinte forma:
-
Respeitar a política de proteção da informação em situações de mobilidade definida pelo gestor
- Devem ser observadas as medidas e recomendações constantes das orientações e política de proteção de dados e segurança da informação em situações de mobilidade definidas pela organização, bem como as restantes regras e procedimentos que a desenvolvem e, em especial, o que respeita ao dever de confidencialidade do trabalhador em relação aos dados pessoais a que tem acesso no desempenho das suas funções laborais.
-
Proteger o dispositivo utilizado na mobilidade e o acesso ao mesmo
- A pessoa empregada deve definir e utilizar palavras-passe fortes que sejam diferentes das utilizadas para aceder a contas de correio eletrónico pessoais, redes sociais e outras aplicações utilizadas na sua vida pessoal.
- Não descarregar ou instalar aplicações ou software que não tenham sido previamente autorizados pela organização.
- É aconselhável evitar ligar dispositivos à rede empresarial a partir de locais públicos, bem como ligar a redes WIFI abertas não seguras.
- Os mecanismos de autenticação definidos (certificados, palavras-passe, tokens, sistemas de dois factores, etc.) devem ser mantidos em segurança para poderem ser validados com os sistemas de controlo de acesso remoto da organização.
- Caso exista equipamento da empresa, este não deve ser utilizado para fins privados, evitando o acesso a redes sociais, correio eletrónico pessoal, páginas web com reclamações e publicidade chocante, bem como outros sítios susceptíveis de conter vírus ou favorecer a execução de código nocivo.
- Se o equipamento utilizado para estabelecer a ligação remota for pessoal, é importante evitar a simultaneidade de actividades pessoais e profissionais e definir perfis separados para cada tipo de tarefa.
- O sistema antivírus instalado no computador deve estar operacional e atualizado.
- Deve-se sempre verificar a legitimidade das mensagens de correio eletrónico recebidas, verificando se o domínio de correio eletrónico de onde provêm é válido e conhecido, e ter cuidado com o descarregamento de anexos com extensões invulgares ou com o estabelecimento de ligações através de links incluídos no corpo da mensagem de correio eletrónico que apresentem um padrão invulgar.
- Se puderem ser geridas pelo empregado, as ligações WIFI, Bluetooth e similares que não estejam a ser utilizadas devem ser desactivadas.
- No final do dia de trabalho móvel, a sessão de acesso remoto deve ser desligada e o acesso ao dispositivo deve ser desligado ou bloqueado.
-
Garantir a proteção das informações tratadas
- Tanto em locais públicos como no ambiente doméstico, devem ser tomadas precauções para garantir a confidencialidade das informações tratadas.
- Se habitualmente gera e trabalha com papel, em situações de mobilidade é importante minimizar ou evitar a entrada e saída de documentos em papel e tomar precauções extremas para evitar o acesso não autorizado de terceiros.
- As informações em papel, incluindo os rascunhos, não devem ser eliminadas sem que se garanta a sua correcta destruição. Se possível, não deite fora papéis inteiros ou picados em caixotes de lixo de hotéis, locais públicos ou no lixo doméstico, onde alguém poderia aceder e obter informações pessoais.
- Devem ser tomadas precauções extremas para impedir o acesso não autorizado a informações pessoais e de terceiros tratadas, não deixando à vista quaisquer suportes de informação no local de teletrabalho e bloqueando as sessões dos dispositivos quando estes não estão a ser utilizados.
- Evite expor o ecrã ao olhar de outras pessoas. Se trabalha regularmente a partir de locais públicos, é aconselhável utilizar um filtro de privacidade para o ecrã.
- Na medida do possível, é aconselhável evitar escutas, por exemplo, utilizando auscultadores ou retirando-se para uma área onde o trabalhador não esteja acompanhado.
-
Guardar as informações nos espaços de rede fornecidos
- É aconselhável evitar armazenar as informações geradas durante a situação de mobilidade localmente no dispositivo utilizado e utilizar os recursos de armazenamento partilhado ou em nuvem fornecidos pela organização.
- Se for permitida a utilização de computadores pessoais, não utilizar, em caso algum, aplicações não autorizadas na política da entidade para partilhar informações (serviços em nuvem para alojamento de ficheiros, correio pessoal, mensagens rápidas, etc.) - A política de cópia de segurança da empresa definida para cada dispositivo não deve ser bloqueada ou desactivada.
- É aconselhável rever e eliminar periodicamente as informações residuais que possam estar armazenadas no dispositivo, tais como ficheiros temporários do browser ou descarregamentos de documentos.
-
Se houver suspeita de que as informações possam ter sido comprometidas, comunique imediatamente a violação de segurança
- Qualquer anomalia que possa afetar a segurança das informações e dos dados pessoais tratados deve ser comunicada ao responsável pelo tratamento, sem demora e o mais rapidamente possível, através dos canais definidos para o efeito.
- No caso de quaisquer questões que possam surgir no contexto de situações de mobilidade e que possam representar um risco para a proteção da informação e para o acesso aos recursos da empresa, o trabalhador deve consultar o responsável pela proteção de dados e o responsável pela segurança da informação, ou os perfis responsáveis designados para o efeito, e comunicar-lhes qualquer informação relevante de que tenha conhecimento.
B- INSTRUÇÕES RELATIVAS À UTILIZAÇÃO DAS TECNOLOGIAS DA INFORMAÇÃO E DA COMUNICAÇÃO DA EMPRESA
A empresa coloca à disposição dos seus trabalhadores uma série de ferramentas informáticas para que estes possam desempenhar as funções para as quais foram contratados. Estes meios incluem equipamento informático, equipamento telefónico, software, correio eletrónico ou qualquer outra ferramenta de processamento de dados, todos eles propriedade da empresa. O objetivo deste documento é, portanto, garantir a utilização adequada das ferramentas informáticas.
As regras do presente documento aplicam-se a todo o pessoal da empresa que tenha acesso a ferramentas de gestão e comunicação da informação, independentemente da natureza das suas actividades.
-
Regras de utilização do material informático:
Os dispositivos informáticos fornecidos pela empresa aos trabalhadores são propriedade da empresa e só são colocados à disposição do trabalhador para efeitos de execução dos seus serviços profissionais. Por conseguinte, estes equipamentos não devem ser utilizados para fins pessoais, sendo proibido o armazenamento de dados pessoais nos equipamentos.
Do mesmo modo, tanto a identificação do utilizador como a palavra-passe devem ser secretas. Cada funcionário é obrigado a mantê-las secretas. Se o utilizador suspeitar que outra pessoa sabe as palavras-passe, deve alterá-las imediatamente.
-
Regras de utilização do software:
Os softwares ou programas instalados na rede da empresa, por exemplo, em dispositivos USB, são propriedade da empresa e só podem ser utilizados para fins profissionais. É proibida a utilização não profissional, a cópia, a reprodução, a destruição, a danificação ou a alteração do software.
Do mesmo modo, a instalação de programas informáticos nos equipamentos da empresa só pode ser efectuada por pessoal autorizado.
-
Regras de utilização da Internet:
Os endereços Internet com conteúdos ofensivos da dignidade humana ou dos direitos fundamentais não devem ser acedidos em caso algum. Quando considerado necessário para a proteção da empresa, a empresa reserva-se o direito de controlar a rede Internet a partir dos computadores utilizados pelos trabalhadores.
-
Regras de utilização do correio eletrónico:
O correio eletrónico disponibilizado ao trabalhador destina-se à prestação de serviços profissionais e é propriedade da empresa. Por conseguinte, deve ser utilizado exclusivamente para fins profissionais. A empresa está isenta de qualquer responsabilidade que possa resultar de uma utilização incorrecta por parte do trabalhador. O correio eletrónico não pode, em caso algum, ser utilizado para o envio de mensagens com conteúdos ilegais, ilícitos, ofensivos ou que atentem contra a dignidade humana, os direitos fundamentais ou a própria empresa.
Em caso de cessação da relação de trabalho, o acesso ao correio eletrónico será interrompido.
-
ANÁLISE DE RISCOS E MEDIDAS DE SEGURANÇA
De acordo com as disposições do RGPD, os responsáveis pelo tratamento e os subcontratantes devem efetuar uma análise de risco, de modo a que possam ser implementadas medidas de segurança adequadas para garantir os direitos e liberdades das pessoas. Por conseguinte, o objetivo do presente documento é estudar os riscos das actividades de tratamento com baixa exposição ao risco.
Identificação dos riscos com baixa probabilidade de se concretizarem:
-
Modificação ou alteração não intencional de dados pessoais.
-
Perda não intencional de dados pessoais.
-
Acesso não autorizado a dados pessoais.
-
Ausência de procedimentos para o exercício dos direitos.
-
Tratamento ilícito de dados pessoais.
Seguem-se algumas medidas técnicas para garantir a proteção dos dados:
-
ACTUALIZAÇÃO DE COMPUTADORES E DISPOSITIVOS: Os dispositivos e computadores utilizados para o armazenamento e tratamento de dados pessoais devem ser mantidos tão actualizados quanto possível.
-
MALWAREDeve ser instalado um sistema antivírus nos computadores e dispositivos onde é efectuado o tratamento automatizado de dados pessoais, a fim de garantir, na medida do possível, o roubo e a destruição de dados e informações pessoais. O sistema antivírus deve ser atualizado regularmente.
-
FIREWALLA fim de impedir o acesso remoto indevido aos dados pessoais, deve assegurar-se que existe uma firewall activada e corretamente configurada nos computadores e dispositivos em que os dados pessoais são armazenados e/ou tratados.
-
ENCRIPTAÇÃO DE DADOSQuando a extração de dados pessoais é efectuada fora das instalações onde o tratamento é realizado, quer por meios físicos quer electrónicos, deve ser considerado um método de cifragem para garantir a confidencialidade dos dados pessoais em caso de acesso indevido à informação.
-
CÓPIA DE BACKUPPeriodicamente, deve ser efectuada uma cópia de segurança num segundo suporte diferente do utilizado para o trabalho diário. A cópia deve ser guardada num local seguro, diferente do local onde se encontra o computador com os ficheiros originais, a fim de permitir a recuperação dos dados pessoais em caso de perda de informação.