Incentivehouse - Programas de Incentivos

1. Finalidade, escopo e usuários

A INCENTIVEHOUSE, Lda., pessoa coletiva com o número de contribuinte fiscal 508 192 269, com sede legal na Rua António Correia Baharem, nº11, r/c Esqº, 2580-468 Carregado e sede operativa na Rua Gonçalves Zarco, nº 6-D, em Lisboa, a seguir designado por "INCENTIVEHOUSE", compromete-se a cumprir as leis e regulamentações aplicáveis relacionadas à proteção de dados pessoais em países onde a INCENTIVEHOUSE atua. Esta política estabelece os princípios básicos pelos quais a INCENTIVEHOUSE processa os dados pessoais de utilizadores, clientes, fornecedores, parceiros de negócios, colaboradores e outros indivíduos, e indica as responsabilidades de seus departamentos de negócios e colaboradores ao processar dados pessoais.

Esta política aplica-se à INCENTIVEHOUSE em todas as suas presenças situadas em território português.

Os usuários deste documento são todos os colaboradores, permanentes ou temporários, que trabalham em nome da INCENTIVEHOUSE.

2. Documentos de referência

• UE RGPD 2016/679 (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares)
• Legislação nacional sobre proteção de dados, não revogada pelo Regulamento UE2016/679
• Orientações do Comité Europeu para a Proteção de Dados (CEPD) e da Comissão Nacional de Proteção de Dados (CNPD)
• Registo / inventário de dados e atividades de processamento da INCENTIVEHOUSE
• Mecanismos de exercício de direitos dos titulares de dados da INCENTIVEHOUSE
• Procedimento de transferência de dados pessoais transfronteiriços da INCENTIVEHOUSE
• Procedimento de notificação de violação da INCENTIVEHOUSE

3. Definições

As seguintes definições de termos utilizados neste documento são extraídas do artigo 4º do regulamento geral de proteção de dados da União Europeia:

Dados pessoais: quaisquer informações relativas a uma pessoa singular identificada ou identificável "titular dos dados" que possam ser identificadas, direta ou indiretamente, em particular por referência a um identificador como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

Dados pessoais especiais: os dados pessoais que, pela sua natureza, são particularmente sensíveis em relação aos direitos e liberdades fundamentais merecem uma proteção específica, uma vez que o contexto do seu tratamento pode criar riscos significativos para os direitos fundamentais e liberdades dos indivíduos. Esses dados pessoais incluem dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou associação sindical, dados genéticos, dados biométricos para fins de identificação exclusiva de uma pessoa singular, dados relativas à saúde ou aos dados relativos à vida sexual ou à orientação sexual de uma pessoa singular ou que exponham a vida privada.

Responsável pelo tratamento: a pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro organismo que, isoladamente ou conjuntamente com outros, determina as finalidades e os meios de tratamento de dados pessoais. No caso concreto é a INCENTIVEHOUSE (INCENTIVEHOUSE).

Consentimento do titular dos dados: uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

Violação de dados pessoais: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

Dados biométricos: dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;

Dados relativos à saúde: dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;

Subcontratante: A pessoa singular ou coletiva, autoridade pública, agência ou qualquer outro organismo que processe dados pessoais em nome de um controlador de dados.

Tratamento: Uma operação ou conjunto de operações que é realizada com dados pessoais ou conjuntos de dados pessoais, por meios automatizados ou não, tais como a recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, difusão ou de outra forma disponibilizar, alinhamento ou combinação, restrição, apagamento ou destruição dos dados.

Anonimização: A irreversível desagregação de dados pessoais, de modo a que a pessoa não possa ser identificada mediante o emprego de tempo, custo ou tecnologia razoáveis, seja pelo responsável pelo tratamento seja por qualquer outra pessoa, para identificar esse indivíduo. Os princípios de processamento de dados pessoais não se aplicam a dados anónimos, já que deixam de ser considerados dados pessoais.

Pseudonimização: O tratamento de dados pessoais de tal forma que os dados pessoais já não possam ser atribuídos a um determinado titular de dados sem o uso de informações adicionais, desde que essas informações adicionais sejam mantidas separadamente e estejam sujeitas a técnicas e medidas organizacionais para garantir que os dados pessoais não sejam atribuídos a uma pessoa singular identificada ou identificável. A Pseudonimização reduz, mas não elimina completamente, a possibilidade de fazer corresponder os dados pessoais a uma determinada pessoa. Os dados pseudoanimizados continuam a ser dados pessoais, o processamento de dados pseudoanimizados deve cumprir os princípios do processamento de dados pessoais não pseudoanimizados.

Tratamento transfronteiriço de dados pessoais: tratamento de dados pessoais que se realiza no contexto das atividades dos estabelecimentos em mais de um Estado-membro de um controlador ou de um transformador na União Europeia onde o controlador ou o transformador é estabelecidas em mais de um Estado-membro; ou o tratamento de dados pessoais que se realiza no contexto das atividades de um estabelecimento único de um controlador ou de um transformador na União, mas que afeta substancialmente ou é suscetível de afetar substancialmente os titulares de dados em mais do que um Estado-membro;

Autoridade de controlo: uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 51.º do RGPD; em Portugal é a Comissão Nacional de Proteção de Dados.

As atribuições e competências da autoridade de controlo incluem a realização de investigações e a aplicação de medidas e coimas, promovendo a sensibilização do público para os riscos, as regras, a segurança e os direitos relativos ao tratamento de dados pessoais, bem como a obtenção de acesso a qualquer instalação do Responsável pelo tratamento e do subcontratante, incluindo qualquer meios e equipamento de processamento de dados.

4. Princípios fundamentais da proteção de dados

A fim de assegurar um nível adequado de proteção de dados pessoais de pessoas singulares, A INCENTIVEHOUSE cumpre os princípios de proteção de dados previstos no artigo 5. º do RGPD tanto enquanto Responsável pelo Tratamento, como enquanto Subcontratante.

4.1 Tratamento lícito, leal e transparente

Os dados pessoais devem ser processados legalmente, de forma justa e transparente em relação ao titular dos dados. Os titulares dos dados têm o direito de conhecer a razão pela qual estão a fornecer os seus dados pessoais e como serão processados. Este conhecimento deve ser prévio ao fornecimento dos dados. Quando os dados não são recolhidos junto do seu titular, porque por exemplo são transmitidos entre entidades, deve informar-se o titular num prazo razoável, mas o mais tardar no prazo de um mês, salvo se o titular já tiver conhecimento das informações ou se verificar outras das exceções prevista na lei.

4.2. Limitação das finalidades

Os dados pessoais devem ser recolhidos para propósitos específicos, ou seja, finalidades bem explícitas e legítimos e não processados de forma incompatível com esses propósitos/finalidades.

4.3. Minimização dos dados

Os dados pessoais devem ser adequados, pertinentes e limitados ao que é necessário em relação aos fins para os quais são processados.

4.4. Exatidão

Os dados pessoais devem ser exatos e atualizados sempre que necessário; devem ser tomadas medidas razoáveis para garantir que os dados pessoais inexatos, tendo em conta os fins para os quais são processados, sejam apagados ou retificados atempadamente.

4.5. Limitação do período de armazenamento

Os dados pessoais devem ser mantidos apenas pelo tempo necessário para os fins para os quais esses dados pessoais foram recolhidos. Os prazos para determinados documentos estão previstos em documentos legais. A INCENTIVEHOUSE tem uma política de retenção de dados onde estão previstos os tempos de conservação.

4.6. Integridade e confidencialidade

Tendo em conta o estado de tecnologia e outras medidas de segurança disponíveis, o custo de implementação, a probabilidade e a severidade dos riscos para os dados pessoais, a INCENTIVEHOUSE usa medidas técnicas ou organizacionais apropriadas para processar dados pessoais em uma forma que garanta a segurança adequada dos dados pessoais, incluindo a proteção contra o tratamento não autorizado e a divulgação, perda, destruição ou danificação acidental ou ilícita.

4.7. Responsabilização

A INCENTIVEHOUSE deve ser responsável pela conformidade com os princípios acima descritos e ser capaz de demonstrar essa conformidade através da manutenção de políticas de proteção de dados e do registo das atividades de tratamento dos dados.

5. Edificar a proteção de dados desde o início

A fim de demonstrar a conformidade com os princípios da proteção de dados, a INCENTIVEHOUSE deve construir a proteção de dados aplicando, desde o início do tratamento os princípios acima elencados. A INCENTIVEHOUSE assegura que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. A INCENTIVEHOUSE reduz e elimina todo o tratamento de dados que se demonstre excessivo em relação à finalidade que se pretende alcançar.

5.1. Notificação aos titulares dos dados

(Consulte a seção 6 - diretrizes de processamento justo)

5.2. Recolha

A INCENTIVEHOUSE deve esforçar-se para coletar o mínimo possível de dados pessoais. Se os dados pessoais forem fornecidos por terceiros , quem os recebe deve garantir que os dados pessoais sejam recolhidos legalmente. Aquando da recolha, a INCENTIVEHOUSE faculta a informação necessária aos titulares dos dados.

5.3. Uso, retenção e eliminação

As finalidades para os quais são utilizados, métodos, modo de armazenamento e período de retenção de dados pessoais devem ser coerentes com as informações fornecidas nos avisos de privacidade e informações sobre o tratamento dadas aos titulares dos dados. A INCENTIVEHOUSE deve manter a exatidão, integridade, confidencialidade dos dados pessoais com base na finalidade do processamento. Mecanismos de segurança adequados destinados a proteger os dados pessoais devem ser usados para evitar que os dados pessoais sejam roubados, indevidamente usados ou vilipendiados, evitando violações de dados pessoais.

5.4. Divulgação a terceiros

Sempre que a INCENTIVEHOUSE utiliza um fornecedor ou parceiro de negócios para processar dados pessoais em seu nome, deve garantir que este processador irá fornecer medidas de segurança para salvaguardar os dados pessoais que são adequados para os riscos associados. Para este efeito, pode ser utilizado o questionário de conformidade RGPD do processador sempre que necessário.

A INCENTIVEHOUSE deve contratualmente exigir que o fornecedor ou parceiro de negócios forneça, pelo menos, o mesmo nível de proteção de dados que é praticado na INCENTIVEHOUSE. O fornecedor ou parceiro de negócios só deve processar dados pessoais para cumprir as suas obrigações contratuais para com a INCENTIVEHOUSE ou segundo as instruções da INCENTIVEHOUSE e não para quaisquer outros fins. Quando a INCENTIVEHOUSE processa dados pessoais em conjunto com terceiros independentes (responsáveis conjuntos), a INCENTIVEHOUSE deve determinar por acordo as responsabilidades de cada uma das partes. A determinação e feita em documento legalmente vinculativo.

5.5. Transferência transfronteiriça de dados pessoais

Na eventualidade de transferir dados pessoais para fora do espaço económico europeu (EEE), devem ser utilizadas salvaguardas adequadas, incluindo a verificação da existência de acordo internacionais, conforme exigido pela União Europeia. A entidade que recebe os dados pessoais deve respeitar os princípios do tratamento de dados pessoais estabelecidos nos acordos sobre transferência de dados transfronteiras.

5.6. Direitos dos titulares dos dados

Ao atuar como um Responsável ou Subcontratante pelo tratamento de dados, a INCENTIVEHOUSE é responsável por fornecer aos titulares de dados um mecanismo de exercício de direitos sobre os dados pessoais.

Os titulares de dados têm o direito de receber, a pedido, uma cópia dos seus dados em papel ou num formato estruturado (digital) de acesso fácil. Deverá ser permitido que os titulares dos dados acedam aos seus dados pessoais, que atualizem, retifiquem, peçam a limitação, apagamento ou transmissão dos seus dados pessoais, se apropriado ou exigido por lei. O mecanismo de acesso será mais detalhado no procedimento de solicitação de acesso pelo titular de dados. A INCENTIVEHOUSE é responsável por garantir que tais pedidos sejam processados no prazo de um mês.

5.7. Portabilidade

Os titulares de dados têm o direito de pedir à INCENTIVEHOUSE que transmita os seus dados para outro Responsável pelo tratamento, gratuitamente. Deve, no entanto, assegurar-se que o acesso de um titular não afeta os direitos de privacidade de outros indivíduos. Ao exercer o seu direito de portabilidade dos dados nos termos da lei, o titular dos dados tem o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja tecnicamente possível.

5.8. Direito a ser esquecido

Mediante pedido, os titulares de dados têm o direito de obter da INCENTIVEHOUSE a eliminação dos seus dados pessoais, dentro dos limites legais. Quando a INCENTIVEHOUSE atua como Subcontratante, nomeadamente em relação aos dados que trata na sua plataforma, agirá em consonância com o Responsável pelo Tratamento. A INCENTIVEHOUSE tomará as providências necessárias (incluindo medidas técnicas) para informar os terceiros que usam ou processam esses dados para também eles cumprirem o pedido.

6. Diretrizes de processamento justo

Os dados pessoais só devem ser processados quando expressamente autorizados pela Administração da INCENTIVEHOUSE.

6.1. Avisos, notificações e informações aos titulares dos dados

No momento da recolha ou antes de recolher dados pessoais para qualquer tipo de atividades de processamento incluindo, mas não limitado, a prestação de serviços, venda de produtos ou atividades de marketing, a INCENTIVEHOUSE é responsável por informar adequadamente os sujeitos de dados do seguinte: identidade e contactos da INCENTIVEHOUSE, a categoria de dados pessoais recolhidos e categoria dos seus titulares, a/as finalidade/s do tratamento, o/s fundamento/s legal/is, os direitos dos titulares dos dados em relação aos seus dados pessoais, o período de retenção, as potenciais transferências de dados internacionais, se os dados forem partilhados com terceiros e as medidas de segurança da INCENTIVEHOUSE para proteger os dados pessoais. Estas informações são fornecidas através do aviso de privacidade. Quando os dados pessoais sejam compartilhados com um terceiro, a INCENTIVEHOUSE deve garantir que os titulares de dados foram notificados sobre isso através de um aviso de privacidade.

Quando os dados pessoais são transferidos para um país terceiro de acordo com a política de transferência de dados transfronteiras, o aviso de privacidade deve refletir essa realidade e indicar claramente para que país e qual a entidade para onde são transferidos. Deve ainda referir os acordos internacionais sobre proteção de dados existentes entre os dois países.

6.2. Obtenção de Consentimentos

Sempre que o processamento de dados pessoais é baseado no consentimento do titular dos dados, a INCENTIVEHOUSE é responsável por manter um registro desses consentimentos. A INCENTIVEHOUSE é responsável por fornecer aos titulares dos dados opções para o consentimento e deve informar e garantir que o seu consentimento (sempre que o consentimento é usado como o fundamento legal para o processamento) pode ser retirado a qualquer momento e quais os efeitos da retirada do consentimento.

Quando a recolha de dados pessoais for feita através da oferta direta de serviços da sociedade de informação (Internet), a INCENTIVEHOUSE avisa que os serviços da INCENTIVEHOUSE são direcionados apenas a maiores de idade. Visto não ser possível o registo de pessoas não autorizadas, a INCENTIVEHOUSE pode concluir que nunca trata dados pessoais de pessoas menores.

6.3. Processamento justo

Quanto às solicitações para o exercício de direitos relacionados com dados pessoais, a INCENTIVEHOUSE deve garantir que essas solicitações são tratadas dentro de um período de tempo razoável e dentro do prazo máximo de um mês. A INCENTIVEHOUSE também deve manter o registo dos pedidos e respostas aos mesmos.

Os dados pessoais só devem ser processados para a finalidade para a qual foram originalmente recolhidos. Caso a INCENTIVEHOUSE deseje processar dados pessoais coletados para outra finalidade, a INCENTIVEHOUSE deve obter o consentimento de seus titulares de dados em redação clara e concisa. Qualquer pedido deve incluir a finalidade original para a qual os dados foram coletados, e também a nova, ou adicional, finalidade. O pedido também deve incluir o motivo da alteração na finalidade. O Departamento de Compliance é sempre consultado quanto à legalidade da nova finalidade e avaliação da necessidade obtenção de novo consentimento.

O Administrador é responsável pela criação e manutenção de um cadastro de avisos de privacidade e mapa de atividades de processamento de dados.

7. Organização e Responsabilidades

A responsabilidade de garantir o processamento adequado de dados pessoais reside em todos os que trabalham para ou com a INCENTIVEHOUSE e têm acesso aos dados pessoais processados pela INCENTIVEHOUSE:

O administrador toma decisões e aprova as estratégias gerais da INCENTIVEHOUSE em matéria de proteção de dados pessoais.

O Departamento de Compliance é responsável pela gestão do plano de proteção de dados pessoais e pelo desenvolvimento e promoção de políticas de proteção de dados pessoais.

O departamento de Compliance monitoriza e analisa as leis de dados pessoais e mudanças nos regulamentos, desenvolve requisitos de conformidade e auxilia os departamentos da INCENTIVEHOUSE na consecução de seus objetivos que impliquem o tratamento de dados pessoais.

O Responsável pelo marketing e comunicação, é responsável por:

• Aprovar quaisquer declarações de proteção de dados anexadas a comunicações como e-mails e cartas.
• Abordar quaisquer consultas de proteção de dados de jornalistas ou meios de comunicação como jornais.
• Sempre que necessário, trabalha em conjunto com o responsável pela proteção de dados para garantir que as iniciativas de marketing e comunicação respeitem os princípios de proteção de dados.

O Responsável pelos Recursos Humanos é responsável por:

• Facultar a cada colaborador o documento de Informação de Privacidade a Colaboradores antes do início da recolha dos seus dados pessoais.
• Melhorar a consciencialização de todos os colaboradores sobre a proteção de dados pessoais.
• Organizar, em conjunto com o Departamento de Compliance, treino e formação em proteção de dados pessoais para todos os colaboradores que trabalham com dados pessoais.
• Proteção de dados pessoais de colaboradores desde o início até à eliminação. Deve garantir que os dados pessoais dos colaboradores sejam processados com base nos propósitos legítimos do empregador e na necessidade de utilização desses dados.

O Departamento comercial é responsável por:

Transmitir as responsabilidades de proteção de dados pessoais aos fornecedores e melhorar os níveis de consciencialização dos fornecedores sobre a proteção de dados pessoais, bem como diminuir o envio de dados pessoais para qualquer terceiro, fornecedor ou parceiro de negócio. O departamento comercial deve garantir que a INCENTIVEHOUSE se reserva o direito de auditar fornecedores. Sempre que um contrato transfira para um terceiro o poder de tratar dados pessoais da responsabilidade da INCENTIVEHOUSE, deverá ser feito um Acordo de Subcontratação de tratamento de dados pessoais com essa entidade.

8. Resposta a incidentes de violação de dados pessoais

Quando a INCENTIVEHOUSE tomar conhecimento de uma violação de dados pessoais suspeita ou real, deve dar disso conhecimento ao Departamento de Compliance, que deve coadjuvar o Administrador na realização de uma investigação interna e tomar as medidas corretivas apropriadas em tempo útil, de acordo com a política de violação de dados. Sempre que exista qualquer risco para os direitos e liberdades dos titulares de dados, a INCENTIVEHOUSE deve notificar as autoridades competentes em matéria de proteção de dados sem demora indevida e, quando possível, no prazo de 72 horas de acordo com os critérios estabelecidos na Lei.

9. Auditoria e responsabilização

O departamento de Compliance é responsável por auditar este documento, sempre que o Administrador assim o entenda.

Qualquer colaborador que violar esta política estará sujeito a ação disciplinar, assim como poderá estar sujeito a responsabilidade civil ou criminal se a sua conduta violar leis ou regulamentos nessas matérias.

10. Conflito de normas

Esta política destina-se a dar cumprimento às normas legais e regulamentares, nacionais, europeias e internacionais aplicáveis a Portugal. No caso de existir qualquer conflito entre esta política e as leis e regulamentos aplicáveis, os diplomas legais prevalecerão sobre esta política.

11. Valdidade e gestão de documentos

Este documento é válido a partir de 20 de Agosto de 2019.