Politica de Protecção de Dados Agentes

CONDICIONES GENERALES DE CONTRATACIÓN EN MATERIA DE PROTECCIÓN DE DATOS.

ADAPTADAS AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS


1. CONTRATO DE DISTRIBUIÇÃO E COMERCIALIZAÇÃO DE SEGUROS.

Entre as partes celebrou-se um contrato de distribuição e comercialização de seguros de viagem (doravante o “contrato principal”), constitutivo de uma relação estritamente comercial a que não se aplica a Decreto-Lei n.º 144/2006 ( Regime jurídico do acesso e do exercício da actividade de mediação de seguros), Artigo 3.º, 2. Exclusões.

Para os efeitos das relações entre as partes, é possível que, no desenvolvimento das mesmas, se efetuem prestações de serviços que impliquem o tratamento de dados pessoais. Nesse sentido:

  1. a) Se o Agente for o tomador do seguro, em conformidade com os artigos 47º y 48º do Decreto-Lei nº 72/2008, de 16 de abril, de Regime jurídico jurídico do contrato de seguro”, determinará os possíveis segurados, onde aplicável, sem que seja necessário identificar os mesmos no início do contrato, bastando para tal que se lhes cobre o prémio correspondente e se lhes entregue as condições gerais das apólices.
  2. b) Se o Agente não for o tomador do seguro, a atividade de captação dos dados dos segurados entende-se amparada na assinatura de um contrato do art. 28 RGPD que agora se regulam.
  3. c) Além disso, o Agente, na qualidade de encarregado do tratamento, poderá coadjuvar a tramitação dos sinistros a pedido dos segurados com a sua autorização.

Por conseguinte, nesses casos, se a prestação do serviço pressupor o tratamento de dados de caráter pessoal da ERV, quer sejam automatizados, em papel ou mistos, o agente compromete-se a cumprir com o disposto no Regulamento Geral de Proteção de Dados de Caráter Pessoal (doravante RGPD), a Lei n.° 67/98 de 26 de Outubro (Dados pessoais), o restante da normativa de Proteção de Dados aplicável, assim como os padrões de medidas técnicas e organizativas apropriadas para assegurar um nível de segurança adequada ao risco e à natureza das informações tratadas. O incumprimento destas medidas permitirá a rescisão unilateral do contrato por parte da ERV.

Nesses casos, e daí em diante, a ERV será referida como “Responsável pelo Tratamento” e o agente como “Encarregado do Tratamento” ou “fornecedor” e, em conjunto, como as “Partes”.

2. OBJETO DO TRATAMENTO.

Além dos casos de captação de segurados, na qualidade de agentes não tomadores de apólices, sujeitos ao art. 28 do RGPD, criou-se um espaço “web” através do qual é possível notificar sinistros e informar os segurados sobre o estado e o avanço dos mesmos, com a finalidade de ajudar os mesmos na gestão e tramitação dos seus sinistros.

Nesses casos o agente, na qualidade de mediador, bem como na de tomador, ou na de terceiro alheio ao seguro, pode chegar a ter acesso a dados pessoais dos segurados, devendo para tal contar e atuar com a autorização dos mesmos.

Além disso, caso se efetue entre as partes o auxílio na gestão de sinistros à margem da referida aplicação web, ou caso o Agente não seja tomador da apólice e gira a captação dos dados dos segurados, ou preste serviços que impliquem o tratamento de dados dos segurados, torna-se necessário cumprir o disposto no art. 28 do RGPD.

Como tal, nesses casos, em que não existe consentimento do interessado ou uma lei que habilite de outro modo o possível tratamento de dados, existirá um contrato de serviço de tratamento sujeito às presentes condições gerais, onde os serviços serão o (i) auxílio na gestão de sinistros, através da web ou à margem da web, e (ii) mediação na formalização de seguros (nos casos em que não seja tomador).

3. IDENTIFICAÇÃO DAS INFORMAÇÕES AFETADAS E CHAVES DE UTILIZADOR E PALAVRAS-PASSE.

O Encarregado do Tratamento terá acesso unicamente aos dados pessoais necessários para prestar o serviço, em conformidade com o Contrato principal.

A introdução da chave e da palavra-passe implica a expressa aceitação destas condições. A esse respeito recordamos que a utilização das chaves (utilizador e palavra-passe) concedidas para a gestão da notificação e consultas de sinistros é pessoal e intransmissível da empresa utilizadora que, enquanto agência de viagens, tomadora, mediadora ou terceiro, está obrigada à sua tutela, podendo comunicar as mesmas aos seus próprios funcionários. Caso os funcionários do utilizador deixem de prestar serviços na entidade utilizadora, deve-se solicitar a alteração das chaves correspondentes para assegurar a confidencialidade da informação.

O utilizador obriga-se a informar o segurado sobre os documentos a imprimir para a assinatura do próprio segurado, ou para sua informação, e a adverti-lo que em todo o caso poderá opor-se a que este serviço lhe seja prestado através da entidade utilizadora.

4. DURAÇÃO

A aplicação das presentes condições tem início a 25 de maio de 2018 e a sua duração está sujeita à duração do Contrato Principal, de forma a deixarem de vigorar quando este terminar por qualquer motivo.

Uma vez concluído o referido Contrato Principal, o encarregado do tratamento deve suprimir ou devolver ao Responsável pelo Tratamento, ou a outro encarregado que o responsável designar, os dados pessoais a que teve acesso e eliminar qualquer cópia que esteja em seu poder.

5. OBRIGAÇÕES DO ENCARREGADO DO TRATAMENTO

O Encarregado do Tratamento e todos os seus funcionários obrigam-se a:

  • Utilizar os dados pessoais objeto do tratamento, ou os que recolherem para a sua inclusão, apenas com a finalidade de prestar os serviços objeto do Contrato Principal. Em caso algum poderá utilizar os dados para fins próprios.
  • Tratar os dados de acordo com as instruções do Responsável pelo Tratamento. Se o encarregado do tratamento considerar que alguma das instruções infringe a normativa aplicável, especialmente a respeitante à Proteção de Dados, quer da União, quer dos Estados membros, o encarregado informará imediatamente o responsável.
  • Possuir, na forma escrita, um registo de todas as categorias de atividades de tratamento efetuadas por conta do Responsável pelo Tratamento, que contenha a informação requerida pelo RGPD, salvo se esta medida não for necessária em conformidade com a normativa aplicável, sobretudo o art. 30.5 do RGPD. Caso seja obrigatório, no registo de Atividades incluir-se-á:
    • O nome e os dados de contacto do encarregado ou encarregados e de cada responsável por conta do qual atua o encarregado e, quando aplicável, o representante do responsável ou do encarregado e do delegado de proteção de dados.
    • As categorias de tratamentos efetuados por conta de cada responsável.
    • Se não se autorizarem Transferências Internacionais de Dados, salvo indicação contrária no Contrato Principal, caso ulteriormente sejam autorizadas ou necessárias, devem-se incluir as transferências de dados pessoais para um terceiro país ou organização internacional, incluir a identificação desse terceiro país ou da organização internacional e, no caso de as transferências indicadas no artigo 49 secção 1, parágrafo segundo do Regulamento Geral de Proteção de Dados (RGPD), a documentação de garantias adequadas.
    • Uma descrição geral das medidas técnicas e organizacionais de segurança relativas a:
      • Pseudonimização e encriptação de dados pessoais.
      • Capacidade de assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas e serviços de tratamento.
      • Capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de forma rápida, na eventualidade de incidente físico ou técnico.
      • Processo de verificação e avaliação regulares da eficácia das medidas técnicas e organizativas para assegurar a segurança do tratamento.
  • Não comunicar os dados a terceiros, salvo mediante a autorização expressa e por escrito do responsável pelo tratamento, nos casos legalmente admissíveis. Não obstante:
    • O encarregado pode comunicar os dados a outros encarregados do tratamento do mesmo responsável, de acordo com as instruções do responsável. Nesse caso, o responsável identificará, previamente e por escrito, a entidade à qual se devem comunicar os dados, os dados a comunicar e as medidas de segurança a aplicar para proceder à comunicação.
    • Se o encarregado tiver de transferir dados pessoais para um terceiro país ou para uma organização internacional, em virtude do Direito da União ou dos Estados membros aplicáveis, informará previamente o responsável dessa exigência legal, salvo se esse Direito o proibir por motivos importantes de interesse público.
  • Não ceder, nem total nem parcialmente, o contrato a terceiros, assim como não subcontratar nenhuma das prestações que constituam o objeto deste contrato e que envolvam o tratamento de dados pessoais, salvo os serviços auxiliares necessários para o normal funcionamento dos serviços do encarregado e salvo se o Contrato Principal autorizar expressamente alguma subcontratação. Não obstante:
    • Se for necessário subcontratar algum tratamento, o prestador deve comunicar o facto, previamente e por escrito, ao responsável com uma antecedência suficiente, indicando os tratamentos que pretende subcontratar e identificando de forma clara e inequívoca a empresa subcontratada e os respetivos dados de contacto. A subcontratação só é possível se o responsável a autorizar expressamente e por escrito.
    • O subcontratado, que também terá a condição de encarregado do tratamento, está igualmente obrigado a cumprir as obrigações estabelecidas neste documento para o encarregado do tratamento e as instruções do responsável. Compete ao encarregado inicial regular a nova relação de forma a que o novo encarregado se sujeite às mesmas condições (instruções, obrigações, medidas de segurança…) e aos mesmos requisitos formais, relativamente ao adequado tratamento dos dados pessoais e à garantia dos direitos das pessoas afetadas. No caso de incumprimento por parte do subencarregado, o encarregado inicial continuará a ser plenamente responsável perante o responsável relativamente ao cumprimento das obrigações.
  • Deve manter o dever de sigilo relativamente aos dados de caráter pessoal a que tenha tido acesso em virtude do presente serviço, inclusivamente após o fim do Contrato Principal.
  • Deve também assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometem, de forma expressa e por escrito, a respeitar a confidencialidade e a cumprir as medidas de segurança correspondentes, relativamente às quais devem ser informadas convenientemente, durante toda a duração do tratamento, e ainda após a cessação do mesmo. Nesse sentido, quando o tratamento envolver benefícios médicos, jurídicos, psicológicos ou outros em que exista um especial estatuto regulador do dever de sigilo, este também deve ser cumprido de forma adicional, em toda a sua extensão e natureza.
  • Deve manter à disposição do Responsável pelo Tratamento a documentação de acreditação do cumprimento da obrigação estabelecida na secção anterior. Concretamente, o fornecedor deve incluir nos seus contratos de trabalho com os funcionários, ou com terceiros, a obrigação do dever de sigilo, incluindo após a cessação da relação jurídica com os mesmos.
  • Deve assegurar a formação necessária em matéria de proteção de dados pessoais das pessoas autorizadas a tratar os dados pessoais. O facto de o contrato principal poder incluir, a título de recomendação, algumas medidas básicas de formação ou de consciencialização, não exclui o fornecedor deste dever.
  • Quando as pessoas afetadas exercerem os direitos de acesso, retificação, supressão e oposição, limitação do tratamento, portabilidade de dados e a não ser objeto de decisões individuais automatizadas (incluindo a elaboração de perfis) perante o Encarregado do Tratamento, este deve comunicá-lo por correio eletrónico para o endereço indicado pelo Responsável pelo Tratamento (dpd@erv.es). A comunicação deve efetuar-se de forma imediata e em caso algum além do dia útil seguinte ao da receção do pedido, juntamente, quando aplicável, com outras informações que possam ser relevantes para atender à solicitação.
  • Se o encarregado tiver de proceder à recolha de dados pessoais, deve facilitar a informação correspondente, do modo e forma indicados no Contrato Principal, aquando da recolha da informação ou nos prazos legais.
  • Notificar as violações de segurança, e assim:
    • O encarregado notificará o responsável pelo tratamento, sem atrasos indevidos, e em qualquer caso antes do prazo máximo de 24 horas, através de dpd@erv.es e do telefone 211 206 286, as violações de segurança dos dados pessoais a seu cargo das quais tenha conhecimento, juntamente com todas as informações relevantes para a documentação e comunicação da incidência.
    • Em seguida facilitar-se-á, no mínimo, as seguintes informações:
      • Indicação da probabilidade ou não de que essa violação da segurança constitui um risco para os direitos e as liberdades das pessoas físicas
      • Descrição da natureza da violação da segurança dos dados pessoais, incluindo, quando possível, as categorias e o número aproximado de interessados afetados, e as categorias e o número aproximado de registos de dados pessoais afetados.
      • O nome e os dados de contacto do delegado de proteção de dados ou de outro ponto de contacto em que seja possível obter mais informações.
      • Descrição das possíveis consequências da violação da segurança dos dados pessoais.
      • Descrição das medidas adotadas ou propostas para solucionar a violação da segurança dos dados pessoais, incluindo, quando aplicável, as medidas adotadas para mitigar os possíveis efeitos negativos.
    • Se não for possível facultar as informações simultaneamente, e na medida em que não for, as informações serão facilitadas gradualmente sem atrasos indevidos.
  • Assistir o responsável pelo tratamento na realização das avaliações de impacto relativas à proteção de dados.
  • Assistir o responsável pelo tratamento na realização das consultas prévias à autoridade de controlo, quando aplicável.
  • Disponibilizar ao responsável todas as informações necessárias para demonstrar o cumprimento das suas obrigações, assim como para a realização das auditorias ou as inspeções realizadas pelo responsável ou outro auditor por ele autorizado.
  • Implementar as medidas de segurança técnicas e organizacionais necessárias para assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas e serviços relacionados com o tratamento. Para tal, devem-se aplicar, no mínimo, as medidas de segurança indicadas nas presentes condições, assim como as que forem recolhidas no âmbito do Contrato Principal ou respetivos anexos.
  • Designar um delegado de proteção de dados e comunicar a sua identidade e dados de contacto ao responsável, quando tal for necessário a nível legal o regulamentar.
  • Devolver ao Responsável pelo Tratamento os dados de caráter pessoal e, quando aplicável, os suportes onde os mesmos constam, uma vez cumprida a prestação dos serviços. A devolução deve incluir a eliminação total dos dados existentes nos equipamentos informáticos utilizados pelo Encarregado do Tratamento. O encarregado pode conservar uma cópia, com os dados devidamente bloqueados, enquanto for possível a derivação de responsabilidades pela execução da prestação. O Responsável poderá ordenar, aquando da cessação da relação, ou no Contrato Principal, que esta obrigação seja cumprida mediante a destruição dos dados. Uma vez destruídos, o encarregado deve certificar a sua destruição por escrito e deve entregar o certificado ao responsável pelo tratamento.
  • Na medida do possível, o fornecedor deve proporcionar uma base para a construção da resiliência e a capacidade de fornecer uma resposta eficaz que assegure a continuidade do serviço contratado.

BRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO

Cabe ao Responsável pelo Tratamento:

  • Facultar ao Encarregado do Tratamento o acesso às informações ou aos sistemas necessários para prestar o serviço contratado.
  • Velar, de forma prévia e durante todo o tratamento, pelo cumprimento do RGPD por parte do Encarregado do Tratamento.
  • Supervisionar o tratamento e as condições da prestação dos serviços de acordo com o estabelecido no Contrato Principal.
  • Cumprir com as obrigações correspondentes de acordo com o estabelecido na normativa aplicável em matéria de proteção de dados de caráter pessoal”.

7. MEDIDAS DE SEGURANÇA MÍNIMAS A IMPLEMENTAR

O Encarregado pelo Tratamento deve implementar, no mínimo, as seguintes medidas de segurança sobre os dados pessoais objeto do tratamento.

7.1 MEDIDAS ORGANIZACIONAIS.

Todos os funcionários do Encarregado do Tratamento com acesso aos dados pessoais devem ter conhecimento das suas obrigações relativamente ao tratamento de dados pessoais e devem ser informados sobre essas obrigações. As informações mínimas conhecidas de todos os funcionários serão as seguintes:

7.1.1 Dever de confidencialidade e sigilo

  • Deve-se evitar o acesso de pessoas não autorizadas aos dados pessoais, a fim de evitar expor os dados pessoais a terceiros. Quando alguém se ausentar do posto de trabalho deve bloquear o ecrã ou terminar a sessão.
  • Os documentos em papel e suportes eletrónicos serão armazenados num lugar seguro (armários ou recintos de acesso restrito) vinte e quatro horas por dia.
  • Não se descartarão documentos ou suportes eletrónicos (cd, pen drives, discos rígidos, etc.) com dados pessoais sem garantir a sua destruição.
  • Não se comunicarão dados pessoais ou qualquer informação pessoal a terceiros.
  • O dever de sigilo e confidencialidade persistirá até mesmo quando cessar a relação laboral do funcionário com a empresa.
  • Quando a documentação não estiver arquivada por se encontrar em processo de revisão, tramitação ou transferência, o fornecedor e os respetivos funcionários devem guardá-la e impedir em todo o momento que possa ser acedida por pessoas não autorizadas, por exemplo, através da utilização de dispositivos que obstaculizem a abertura sem autorização.

7.2 MEDIDAS TÉCNICAS..

Todos os funcionários do Encarregado do Tratamento com acesso aos dados pessoais devem ter conhecimento das suas obrigações relativamente ao tratamento de dados pessoais e devem ser informados sobre essas obrigações. As informações mínimas conhecidas de todos os funcionários serão as seguintes:

7.2.1 Identificação

  • Quando se utilizar o mesmo computador ou dispositivo para o tratamento de dados pessoais e fins de uso pessoal, deve-se dispor de vários perfis ou utilizadores diferentes para cada uma das finalidades. Deve-se separar o uso profissional e pessoal do computador.
  • Recomenda-se dispor de perfis com direitos de administrador para a instalação e configuração do sistema, e de utilizadores sem privilégios ou direitos de administração para o acesso aos dados pessoais. Esta medida evitará que, em caso de ataque cibernético, seja possível a obtenção de privilégios de acesso ou a modificação do sistema operativo.
  • Deve-se assegurar a existência de palavras-passe para o acesso aos dados pessoais armazenados em sistemas eletrónicos. A palavra-passe deve ter pelo menos 8 caracteres e deve conter números e letras. Na eventualidade de o fornecedor, por si ou pelos seus funcionários, aceder a sistemas informáticos do Responsável estará obrigado a fazer um uso adequado e confidencial dos mesmos, assim como das informações obtidas através da respetiva utilização. Conforme mencionado anteriormente, as chaves (utilizador e palavra-passe) concedidas para a gestão da notificação e consultas de sinistros são pessoais e intransmissíveis da empresa utilizadora que, enquanto agência de viagens, tomadora, mediadora ou terceiro, está obrigada à sua tutela, podendo comunicar as mesmas aos seus próprios funcionários. Caso os funcionários do utilizador deixem de prestar serviços na entidade utilizadora, deve-se solicitar a alteração das chaves correspondentes para assegurar a confidencialidade da informação.
  • Quando diferentes pessoas acederem aos dados pessoais, para cada pessoa com acesso aos dados pessoais será fornecido um nome de utilizador e uma palavra-passe específicos (identificação inequívoca).
  • Deve-se garantir a confidencialidade das palavras-passe, evitando a exposição a terceiros. Em caso algum se deve partilhar as palavras-passe, nem devem ser anotadas num lugar comum de modo a permitir o acesso de pessoas que não o utilizador.

7.2.2 Dever de salvaguarda

Em seguida, expõem-se as medidas técnicas mínimas para assegurar a salvaguarda dos dados pessoais:

  • Atualização de computadores e dispositivos: Os dispositivos e computadores utilizados para o armazenamento e o tratamento dos dados pessoais devem manter-se atualizados na medida do possível. O Fornecedor irá dispor das licenças oportunas para a utilização das ferramentas e programas informáticos necessários para a prestação do serviço.
  • Malware: Nos computadores e dispositivos onde se realiza o tratamento automatizado dos dados pessoais irá dispor-se de um sistema de antivírus para assegurar, na medida do possível, o roubo e a destruição das informações e dos dados pessoais. Deve-se atualizar periodicamente o sistema de antivírus.
  • Firewall: Para evitar acessos remotos indevidos aos dados pessoais deve-se assegurar a ativação de uma firewall nos computadores e dispositivos em que se realizam o armazenamento e/ou o tratamento de dados pessoais.
  • Encriptação de dados: Quando for necessário efetuar a extração de dados pessoais fora do recinto onde se realiza o seu tratamento, seja por meios físicos ou por meios eletrónicos, deve-se avaliar a possibilidade de utilizar um método de encriptação para garantir a confidencialidade dos dados pessoais em caso de acesso indevido às informações.
  • Cópia de segurança: Periodicamente será efetuada uma cópia de segurança num segundo suporte diferente do utilizado para o trabalho diário. A cópia será armazenada num lugar seguro, diferente daquele onde se encontra o computador com os ficheiros originais, a fim de permitir a recuperação dos dados pessoais em caso de perda das informações.

8. OUTRAS MEDIDAS DE SEGURANÇA ADICIONAIS

Em função do desenvolvimento do estado da tecnologia, os custos de aplicação e a natureza, o alcance, o contexto e os fins do tratamento, assim como riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, o responsável poderá exigir o cumprimento de medidas adicionais relativamente às medidas mínimas supramencionadas, ou às medidas consignadas no Contrato Principal (doravante “medidas adicionais impostas”).

Além disso, e em todo o caso, em conformidade com o art. 32 do RGPD, o encarregado deve implementar as medidas adicionais necessárias para assegurar um nível de segurança adequado ao risco, sem que o mero cumprimento destas medidas substitua a obrigação de análise que o encarregado deve realizar.

Do mesmo modo, o Contrato Principal, os respetivos anexos ou complementos (“medidas adicionais impostas”) poderão estabelecer medidas acrescidas e específicas.

9. RESCISÃO DO CONTRATO POR INCUMPRIMENTO DAS OBRIGAÇÕES EM MATÉRIA DE PROTEÇÃO DE DADOS

Sem prejuízo de outros motivos de rescisão, e embora não se tenha produzido nenhum prejuízo concreto, a mera inobservância destas condições, em especial das medidas de segurança aplicáveis, dará lugar ao direito de rescisão de contrato pelo Responsável, sem que o fornecedor tenha direito a indemnização alguma.

Nesse caso, o fornecedor obriga-se a manter a prestação do serviço até que o Responsável encontre um substituto desse fornecedor, devendo colaborar no plano que permita a transferência das informações e o serviço ao Responsável ou a um terceiro, com inclusão do calendário de atividades a realizar, formação e a responsabilidade da execução.

O responsável poderá, em lugar de rescindir o contrato, endereçar uma advertência ou uma intimação ao fornecedor, assim como conceder um prazo para a correção de qualquer inobservância que for apreciada.

10. OUTRAS DISPOSIÇÕES

O contrato principal pode exigir a subscrição e a manutenção de apólices de seguros para assegurar os riscos derivados do tratamento de dados.

A aplicação de medidas de segurança também é necessária para preservar não só os dados de caráter pessoal, como o know-how e os segredos comerciais a que a agência e os respetivos funcionários tenham acesso no decurso da atividade objeto do contrato

A agência deverá:

  • Indemnizar pelos danos e prejuízos que, pelos seus incumprimentos, possa gerar.
  • Cumprir com as suas obrigações fiscais, laborais e de Segurança Social aplicáveis, sendo impossível transferir responsabilidade alguma ao responsável por estes conceitos.
  • Permitir e atender às inspeções de terceiros que atuem por conta do responsável, assim como das Administrações Públicas que possam inspecionar o Responsável, quando legalmente aplicável.
  • Informar com a maior brevidade relativamente a qualquer alteração ao seu estatuto de acionista, de administrador, de proximidade da idade de reforma ou relativamente à cessação do serviço que possa afetar o cumprimento do contrato, para que o Responsável possa adotar medidas oportunas para assegurar a segurança do tratamento.

Os dados dos intervenientes nos contratos são incluídos na aplicação da normativa em virtude do art. 6.1 f) do Regulamento (UE) 2016/0679, entendendo que o tratamento é necessário para a satisfação dos interesses legítimos perseguidos pelo Responsável pelo Tratamento ou por um terceiro, sempre que não prevaleçam sobre eles os interesses ou os direitos e liberdades fundamentais do interessado que requeiram a proteção de dados pessoais. Estes dados serão tratados no exercício da sua atividade e para a finalidade da manutenção do contrato e as relações derivadas do mesmo, podendo exercer os seus direitos de acesso, retificação, supressão, limitação de tratamento, portabilidade e oposição a que decorra sobre esses dados, o que poderá exercer expressamente no endereço que se declara conhecido pelas Partes.

11. TRATAMENTO DE DADOS DE AGENTES.

A normativa de Proteção de Dados não se aplica aos dados de pessoas jurídicas, assim como aos seus dados de contacto, em conformidade com o Considerando 14 do RGPD. Não obstante, se se tratarem dados de encarregados de pessoas físicas (autónomos e empresários individuais), ou de representantes de encarregados de pessoas jurídicas, na medida em que a informação se alargar aos dados de contacto mencionados, será necessário aplicar a normativa e, por conseguinte, no cumprimento do dever de informação se comunica que:

  • Responsável. O Responsável pelo tratamento dos seus dados é a ERV SEGUROS DE VIAGEM EUROPAÏSCHE REISEVERSICHERUNG AG, SUCURSAL EM PORTUGAL (doravante ERV). Nomeámos uma pessoa encarregue de salvaguardar a privacidade na nossa entidade (o Delegado de Proteção de Dados ou “DPD”), perante a qual poderá apresentar qualquer reclamação ou solicitar o esclarecimento de qualquer dúvida. Contacte-a através do morada Av. da Liberdade nº 200, 1250-147 Lisboa ou através do endereço de e-mail dpd@erv.es
  • Fins do tratamento e legitimação. Os dados serão tratados unicamente para cumprir as normas e o contrato assinado, assente na aplicação das leis e do próprio contrato, e o interesse legítimo relativo aos dados de contacto de pessoa jurídica referentes à localização profissional, com a finalidade de manter relações comerciais ou outras de qualquer índole com a entidade fornecedora onde preste os seus serviços. O mesmo se aplicará aos dados de empresários individuais quando se referirem a eles unicamente nessa condição e não forem tratados para encetar uma relação com os mesmos enquanto pessoas físicas. Também por interesse legítimo poderão ser utilizados para controlo de fraude ou atuações administrativas internas. Se nos tiver entregue informações financeiras, económicas, contabilísticas ou de recursos para consolidar a sua oferta, ou outra informação como a relativa à honorabilidade, o tratamento basear-se-á no consentimento derivado da entrega dessa informação para tê-la em conta na adjudicação da sua oferta, ou no processo de homologação correspondente, assim como na proporcionalidade e interesse legítimo derivado da obtenção por outras fontes e necessidade de tratamento dessa informação. Pode exercer sempre o direito de oposição perante qualquer tratamento baseado no interesse legítimo.
  • Destinatários. Apenas a ERV poderá visualizar os seus dados, salvo se nos tiver fornecido o seu consentimento para a sua cessão, ou esta seja imposta por uma norma. Se a homologação do fornecedor lhe permitir operar em todo o grupo de empresas, poderá estender-se às mesmas. Consulte no nosso website a relação de empresas do grupo.
  • Conservação. Iremos conservar os seus dados unicamente enquanto mantivermos uma relação consigo, na qualidade de encarregado homologado. A partir da cessação da relação, apenas se conservarão devidamente bloqueados (ou seja, à disposição das autoridades correspondentes e para assumir as responsabilidades e a defesa da entidade) os dados mínimos necessários relativos aos contratos celebrados para poder atender a qualquer reclamação, enquanto o prazo não tiver prescrito. Normalmente, os prazos aplicáveis são de 10 anos segundo a Lei de Prevenção de Branqueamento de Capitais, quando aplicável, de 6 anos por obrigações comerciais e prazos mais alargados devido à exigência de responsabilidade pelo serviço prestado. Decorridos esses prazos proceder-se-á ao cancelamento final dos mesmos.
  • Direitos. Poderá aceder, retificar, eliminar os seus dados, opor-se ao uso dos mesmos, revogar os seus consentimentos, assim como outros direitos reconhecidos pela normativa, como o direito de portabilidade, limitação do tratamento, ou apresentar uma reclamação perante a Agência de Proteção de Dados, ou ao nosso Delegado de Proteção de Dados. Além disso, se foram adotadas decisões automatizadas que o afetam, o que não se prevê, pode sempre solicitar a intervenção humana para as rever, e pode sempre opor-se a qualquer tratamento, ou revogar o consentimento sem qualquer prejuízo para si. Pode exercer os seus direitos remetendo-nos uma carta e anexando uma cópia do seu Documento Nacional de Identificação, ou um documento oficial equivalente, com o assunto “PROTEÇÃO DE DADOS” para o seguinte morada: Av. da Liberdade nº 200, 1250-147 Lisboa, ou através do endereço de e-mail dpd@erv.es.
  • Procedência e categorias de dados: os dados procedem do próprio contrato, da oferta remetida, ou dos contactos celebrados para a assinatura do contrato. Trata-se portanto de dados meramente identificativos, com inclusão do número de documento nacional de identificação, quando aplicável, ou de poderes notariais de representação, se assim se tiverem consignado ou entregue, assim como dados de contacto empresarial (como telefone, fax, correio eletrónico e postal), cargo e funções na sua empresa. No caso de empresários individuais ou autónomos, o processo de homologação pode supor a comunicação de dados financeiros e económicos, necessários para avaliar a solvência do prestador de serviços ou a sua obtenção por outras fontes, como a consulta a ficheiros de solvência ou de outra ordem relativos ao cumprimento ou incumprimento de obrigações, ou outros dados manifestamente públicos contidos em jornais oficiais ou em bases legais.

12. ACEITAÇÃO DE ANEXO

O agente encarregado compromete-se a cumprir o disposto no presente documento, assim como o Regulamento Geral de Proteção de Dados de Caráter Pessoal, a Lei nº 67/98 de 26 de Octubro (Dados pessoais), a restante normativa de Proteção de Dados aplicável, assim como os padrões de medidas técnicas e organizacionais apropriadas para assegurar um nível de segurança adequado ao risco e à natureza das informações tratadas.

volver a www.erv.pt