Política de Privacidade e Tratamento de Dados Pessoais
A PHARMA SOFTWARE AND BEYOND, LDA (doravante, “PHARMA SOFTWARE”), pessoa coletiva n.º 515983918, sediada na Rua João Ramalho, n.º 141, 4200-342, Porto, Portugal, estabeleceu como prioridade nas suas políticas a proteção dos dados pessoais por si recolhidos e tratados.
Como tal, a presente política serve o propósito de integrar os conceitos e as diretrizes subjacentes a uma boa conduta à luz do Regulamento (EU) 2016/679, de 27 de abril de 2016 (“Regulamento Geral sobre a Proteção de Dados Pessoais” ou “RGPD”) e da Lei n.º 58/2019, de 8 de agosto de 2019, que assegura a execução do RGPD na ordem jurídica nacional.
Esta política vincula a PHARMA SOFTWARE no exercício da sua atividade e é transversal às relações que mantém ou prevê manter com os seus colaboradores, parceiros e prestadores de serviços, podendo ser alterada a todo o tempo na medida do necessário à sua atualização e correção. Qualquer alteração significativa será comunicada.
Para qualquer questão relacionada com a presente política de privacidade, poderá contactar a PHARMA SOFTWARE através do endereço de e-mail privacy@mypharmabud.com.
I. RESPONSÁVEL PELO TRATAMENTO DE DADOS PESSOAIS
A PHARMA SOFTWARE, nos termos do RGPD e ao abrigo desta política, é responsável pelo tratamento de dados pessoais, podendo ser responsabilizada por eventuais danos que resultem para os titulares dos dados, objeto das operações de tratamento que realiza. Esta qualidade deriva do facto de proceder ao tratamento de dados pessoais de pessoas singulares que, independentemente da sua nacionalidade ou local de residência, se encontram na União Europeia.
Foi neste sentido que considerou a necessidade de desenvolver um plano de controlo, manutenção e proteção da privacidade dos titulares dos dados que trata nessa qualidade, em conformidade e nos termos do RGPD.
Com efeito, enquanto responsável pelo tratamento, a PHARMA SOFTWARE assume o dever de:
Aplicar medidas técnicas e organizativas adequadas a assegurar e a comprovar que as operações de tratamento que realiza são conformes com o RGPD.
Cooperar com a Comissão Nacional de Proteção de Dados, reportando situações de incidentes e solicitando pareceres, quando necessário e/ou adequado.
Adotar mecanismos e procedimentos de comunicação, céleres e eficazes, com o titular dos dados pessoais, bem como as medidas técnicas e organizativas necessárias à assistência e salvaguarda dos seus respetivos direitos.
Assegurar que os prestadores de serviços que contrata têm implementadas medidas técnicas e organizativas adequadas e suficientes a garantir a proteção dos dados pessoais que lhes fornece no âmbito dos contratos de prestação de serviços e regular as suas responsabilidades em conformidade com o RGPD.
II. SOBRE OS DADOS PESSOAIS AO SEU CUIDADO
A PHARMA SOFTWARE reconhece que, para que esta política seja o mais transparente e esclarecedora possível, é necessário identificar o tipo de dados pessoais tratados e as operações de tratamento conduzidas, bem como compreender o que está em causa em cada uma delas.
Além disto, revela-se fundamental que os titulares dos dados pessoais tratados pela empresa consigam entender e assimilar quais os deveres e/ou direitos que lhes assistem em matéria de proteção de dados pessoais.
A. IDENTIFICAR DADOS PESSOAIS E OPERAÇÕES DE TRATAMENTO
DADOS PESSOAIS: Engloba qualquer informação, independentemente da natureza e do respetivo suporte (incluindo som e imagem), relativa a uma pessoa singular, suscetível de a identificar ou de a tornar identificável, direta ou indiretamente, por referência a um identificador, designadamente: nome, números de identificação, elementos específicos da identidade física, fisiológica, psíquica, económica, cultural ou social, dados de localização (ex.: coordenadas), identificadores por via eletrónica (ex.: endereços IP, cookies e outras tecnologias semelhantes).
OPERAÇÕES DE TRATAMENTO DE DADOS: Englobam toda a atividade que incida sobre dados pessoais, independentemente do meio – automatizado ou não – através do qual é realizada, como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou a interconexão, a limitação, o apagamento ou a destruição, em conformidade com o RGPD.
TRATAMENTO QUE NÃO EXIGE IDENTIFICAÇÃO: Não constituem dados pessoais as informações anónimas ou as que forem tornadas de tal modo anónimas que o seu titular não seja identificado ou identificável (“dados anónimos”). Por outro lado, já serão dados pessoais os dados “pseudoanónimos”, que permitem a identificação do seu titular através de informações adicionais (ex.: endereço de e-mail criptografado ou um ID de utilizador).
Sempre que a PHARMA SOFTWARE proceda ao tratamento de dados que não sejam suscetíveis de identificar o titular dos dados – o que acontece, por exemplo, quanto trata dados anonimizados –, o titular dos dados apenas poderá exercer os seus direitos previstos nos artigos 15.º a 20.º do RGPD caso forneça informações adicionais que permitam a sua identificação.
DECISÕES BASEADAS EM TRATAMENTO AUTOMATIZADO DE DADOS: O “tratamento automatizado” compreende operações efetuadas com recurso a processos automatizados, por exemplo: registo de dados, aplicação a esses dados de operações lógicas e ou aritméticas, mas também a sua modificação, supressão, extração ou difusão. Os titulares dos dados não estarão sujeitos a decisões tomadas exclusivamente com base em tratamento automatizado dos seus dados pessoais – sobretudo para criação e avaliação de perfis baseados em qualidades da pessoa ou da sua situação particular, determinação de hábitos, interesses ou comportamentos -, a não ser que nisso expressamente consintam. Uma exceção acontecerá se o tratamento automatizado for necessário à celebração ou execução de um contrato em que o titular seja parte ou se tal estiver legalmente previsto. Em todos os casos, o titular dos dados será devidamente informado de que será realizado esse tratamento, quais os motivos e quais as consequências que poderão existir para os seus direitos, liberdades e interesses. Serão também informados que têm a possibilidade de:
Se oporem a que os seus dados sejam tratados nestes termos.
Obterem intervenção humana por parte da PHARMA SOFTWARE no tratamento dos dados.
Manifestarem o seu ponto de vista e contestarem a decisão.
As operações de tratamento de dados pessoais levadas a cabo pela PHARMA SOFTWARE estarão sempre condicionadas à verificação de um fundamento – sob pena de configurarem uma contraordenação muito grave –, que, nos termos do art. 6.º do RGPD, poderá ser:
EXECUÇÃO DE UM CONTRATO NO QUAL O TITULAR É PARTE, OU DILIGÊNCIAS PRÉ-CONTRATUAIS: As operações de tratamento de dados pessoais com fundamento num contrato a que o titular dos dados se submeteu ou pretende submeter (ex. contrato de trabalho ou prestação de um serviço), dependem da sua necessidade para celebração do contrato pretendido, na medida em que tal esteja devidamente justificado e documentado. Estes dados poderão ser utilizados para preparar ofertas comerciais e propostas contratuais, no seguimento do pedido do titular relacionado com a execução e/ou celebração de um contrato.
OBRIGAÇÃO JURÍDICA: Os dados do titular podem ser tratados se tal for exigível por legislação da União Europeia ou de um Estado-Membro, como é o caso de Portugal.
FINALIDADE COMPATÍVEL COM AQUELA PARA A QUAL OS DADOS FORAM INICIALMENTE RECOLHIDOS: Se os dados forem recolhidos com um propósito (finalidade) poderão ser usados para outro que seja compatível com ele. Nestes casos não é necessário justificar as operações de tratamento de dados pessoais com um fundamento jurídico distinto daquele que permitiu a recolha inicial daqueles dados. No entanto, deve a PHARMA SOFTWARE verificar:
O cumprimento dos requisitos de licitude do tratamento inicial.
A existência de uma ligação entre a primeira finalidade e aquela a que se destina a nova operação de tratamento.
O contexto em que os dados pessoais foram recolhidos, em especial das expectativas razoáveis do titular dos dados quanto à sua posterior utilização, baseadas na sua relação com o responsável pelo tratamento.
A natureza dos dados pessoais.
As consequências que o posterior tratamento dos dados possa ter para o seu titular.
A existência de garantias adequadas tanto no tratamento inicial como nas outras operações de tratamento previstas.
INTERESSES LEGÍTIMOS PROSSEGUIDOS PELO RESPONSÁVEL PELO TRATAMENTO DE DADOS PESSOAIS OU POR OUTREM: O tratamento de dados fundamentado com base em interesses legítimos da PHARMA SOFTWARE ou de eventuais parceiros será lícito sempre que prevaleçam sobre os interesses ou direitos e liberdades fundamentais do titular dos dados. Poderá existir interesse legítimo, por exemplo, quando:
Se verifique uma relação relevante e apropriada entre a PHARMA SOFTWARE e o titular dos dados, e este consiga esperar o tratamento adicional dos seus dados.
O tratamento de dados seja necessário à prevenção e controlo de fraude.
A PHARMA SOFTWARE realize operações de marketing direcionado, de forma a prestar um melhor serviço ao cliente que o solicitou.
CONSENTIMENTO: O consentimento será o último fundamento de tratamento de dados a ser utilizado pela PHARMA SOFTWARE para justificar as operações de tratamento de dados que realiza. A PHARMA SOFTWARE apenas solicitará consentimento do titular para o tratamento dos seus dados pessoais quando não se verificar nenhum outro fundamento de licitude previsto. Sempre que seja o caso, a PHARMA SOFTWARE recorrerá a mecanismos que permitam documentar os justos termos em que o consentimento for prestado.
Para que o consentimento possa ser considerado válido, o mesmo terá de resultar de um ato positivo, claro e que reflita a vontade livre, específica, informada e inequívoca do titular, dirigida a determinado tratamento sobre os seus dados pessoais – podendo este ser revogado a todo o tempo. Não podem ser utilizados meios destinados à obtenção indevida do consentimento do titular de dados, como são exemplo o uso de opções pré-validadas, ou do silêncio como forma de consentimento implícito. Nas situações de pessoas com deficiência visual ou auditiva, estas sempre terão direito a um processo comunicacional adaptado à sua condição particular. O mesmo acontecerá nos casos em que a pessoa não saiba ler ou escrever, ocasião em que pode recorrer à assinatura a rogo, depois de lhe ser dada toda a informação necessária e de lhe ser lido o consentimento que presta. Pode ainda ser este ser prestado verbalmente, se o seu titular permitir que seja devidamente documentado e arquivado.
C. DURAÇÃO E FINALIDADE DO TRATAMENTO
O tratamento de dados pessoais poderá ainda pressupor a identificação de uma finalidade específica de tratamento, e dependerá sempre da definição dos períodos de duração do tratamento e da consecutiva conservação dos dados pessoais tratados.
SOBRE A DURAÇÃO: A operação de tratamento de dados pessoais deve ser feita pelo período mínimo necessário, findo o qual a PHARMA SOFTWARE cessará a atividade de tratamento ou solicitará a autorização do titular para continuar o tratamento dos seus dados.
A duração da operação de tratamento poderá ultrapassar o prazo previsto se existirem normas legais que obriguem ao tratamento (em especial, à conservação dos dados) por um prazo mais alargado.
SOBRE A FINALIDADE: No momento da recolha de dados pessoais o deverá ser informado acerca do tratamento sobre os seus dados relativamente a uma ou a várias finalidades específicas e concretas. Com efeito, se as operações de tratamento dependerem do consentimento do titular dos dados e se a atividade de tratamento que a PHARMA SOFTWARE pretende conduzir estiver associada a várias finalidades, o titular terá de prestar consentimento em relação a todas elas.
D. CATEGORIAS DE DADOS PESSOAIS
O RGPD, além de definir o conceito de dados pessoais, introduziu também a necessidade de os categorizar, inclusive, através da consagração de obrigações que impendem sobre o responsável pelo tratamento de dados pessoais a este respeito.
Desta categorização, podem identificar-se várias tipologias de dados pessoais, tais como: dados de identificação, dados relacionados com características físicas e psicológicas, dados financeiros, dados sociais, dados de rastreamento, dados de saúde, etnia, entre outras.
No que toca a categorias especiais de dados pessoais, a saber, dados que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa os mesmos merecem uma proteção acrescida, uma vez que o seu tratamento poderá não justificar o risco sobre os direitos, liberdades e interesses fundamentais do titular (nomeadamente, o seu direito à reserva da vida privada e demais direitos conexos). O tratamento destes dados, também apelidados “sensíveis”, é por regra proibido, a menos que:
O titular dos dados preste consentimento explícito para o tratamento dentro de uma ou mais finalidades específicas;
O tratamento seja necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social;
O tratamento seja necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa, no caso de incapacidade física ou legal de prestar consentimento;
O tratamento seja efetuado no âmbito de atividades legítimas e mediante garantias adequadas, por uma fundação, associação ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos, religiosos ou sindicais, e desde que esse tratamento se refira exclusivamente aos membros ou antigos membros desse organismo ou a pessoas que com ele tenham mantido contactos regulares relacionados com os seus objetivos, e que os dados pessoais não sejam divulgados a terceiros sem o consentimento dos respetivos titulares;
O tratamento se refira a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;
O tratamento seja necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício da sua função jurisdicional;
O tratamento seja necessário por motivos de interesse público importante proporcional ao objetivo visado, desde que respeite a essência do direito à proteção dos dados pessoais e preveja medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados;
O tratamento seja necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base no direito ou por força de um contrato com um profissional de saúde. O tratamento é permitido também se for realizado sob a responsabilidade de um profissional sujeito à obrigação de sigilo profissional, (ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade).
O tratamento seja necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou para assegurar um elevado nível de qualidade e de segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos, sempre tendo por base o sigilo profissional;
O tratamento seja necessário para fins de arquivo de interesse público, de investigação científica ou histórica ou estatísticos.
III. DADOS PESSOAIS NA ESTRUTURA EMPRESARIAL
Os dados pessoais dizem sempre respeito a um titular. No âmbito empresarial, consideram-se titulares de dados os colaboradores, prestadores de serviços ou, outras pessoas com quem a empresa se relacione, mormente clientes.
A. DADOS PESSOAIS DE COLABORADORES
No exercício de atividade que prossegue, a PHARMA SOFTWARE pode recolher dados pessoais de colaboradores em vários e distintos momentos, pautando tal recolha e tratamento com os limites plasmados no Código do Trabalho e demais legislação conexa e, bem ainda, com os princípios inerentes ao tratamento decorrentes do RGPD. Também os subcontratantes da PHARMA SOFTWARE podem eventualmente ter acesso e proceder ao tratamento dos dados pessoais dos colaboradores, desde que para efeitos de gestão das relações laborais, verificada que esteja a necessidade de tal acesso e tratamento e, desde que o mesmo esteja ao abrigo de um contrato de prestação de serviços sujeito a garantias de sigilo e confidencialidade.
NO ÂMBITO DE RECRUTAMENTO E CONTRATAÇÃO: O recrutamento na PHARMA SOFTWARE é pontual, mas tanto pode ter por base um processo promovido pela PHARMA SOFTWARE, como a receção de curriculum vitae a título de candidaturas espontâneas, em mão ou por e-mail.
O procedimento de recrutamento poderá implicar que a PHARMA SOFTWARE estabeleça várias fases de tratamento de informação, nomeadamente o recebimento dos currículos, a avaliação dos mesmos, a seriação e seleção de candidatos e o preenchimento de fichas de recolha de dados.
Em última linha, o recrutamento culmina em momento negocial de contratação, em que os dados recolhidos nestes termos serão os mesmos que servirão de base ao contrato a celebrar.
Esta informação pessoal – mormente dados pessoais identificativos como o nome e contactos, e dados académicos e profissionais como certificados de curso e experiência profissional -, será tratada internamente pela PHARMA SOFTWARE, sendo garantida a confidencialidade no seu tratamento, nos termos desta política.
Em situações como a de recebimento de currículos em mão, os dados pessoais são facultados na área de receção da PHARMA SOFTWARE e só num segundo momento serão tratados pelo responsável pelo recrutamento. Nestes casos, o titular dos dados pessoais deverá facultá-los atendendo a este circunstancialismo, mediante o recurso a um envelope fechado ou outro depósito seguro de informação.
Em todo o caso, a PHARMA SOFTWARE sempre informará o titular desta condição no momento de recolha dos seus dados e, sempre que possível, disponibilizará um depósito fechado ou um invólucro.
Este tratamento será sempre feito com intervenção humana e terá como referência o prazo legal de conservação de 5 anos.
EM CUMPRIMENTO DE OBRIGAÇÕES LEGAIS: Existem várias disposições legais que regulam e obrigam ao tratamento de dados de colaboradores, como obrigações para com a Segurança Social, obrigações emergentes do Código de Trabalho, obrigações para com a Autoridade para as Condições de Trabalho, obrigações relativas ao envio de informações à Autoridade Tributária e Aduaneira, obrigações relativas a comunicações a autoridades judiciárias, nomeadamente, o envio de informação a Tribunais, obrigações de informação ao Instituto Nacional de Estatística, I.P., obrigações emergentes no âmbito da gestão da informação dos Serviços de Segurança, Higiene e Saúde no trabalho, obrigações relacionadas com o envio de dados dos colaboradores para Seguradoras e obrigações para com a Direção-Geral do Emprego e das Relações de Trabalho (DGERT).
As operações que tenham por base o cumprimento de obrigações legais não prejudicam o dever da PHARMA SOFTWARE no que diz respeito à limitação do tratamento de dados ao mínimo necessário e às garantias de segurança destes dados.
Os colaboradores serão informados desta política e das operações de tratamento que a PHARMA SOFTWARE realiza sobre os seus dados pessoais. A conservação destes dados será feita pelo período em que durar a relação laboral, salvo se houver outros prazos previstos na lei, ou se existirem interesses superiores da PHARMA SOFTWARE ou de outros, devidamente identificados e definidos.
PRAZOS LEGAIS DE CONSERVAÇÃO DE DADOS PESSOAIS EM CONTEXTO LABORAL:
Considera-se enquanto prazo de conservação aquele que estiver fixado por norma legal ou regulamentar, ou, caso tal não se verifique, o que se considerar necessário para a prossecução das finalidades do tratamento. Aplicam-se os seguintes prazos legais de conservação de dados pessoais em contexto laboral:
Dados obtidos durante o recrutamento: 5 anos. No entanto, se o colaborador for contratado, os dados deverão ser conservados durante a relação laboral.
Contratos de trabalho: até 12 anos após o fim dos mesmos.
Documentos de inscrição e cessação junto da Segurança Social, Fundo de Garantia Salarial, Autoridade para as Condições do Trabalho: até 12 anos após o fim do contrato de trabalho.
Elementos contabilísticos, como os recibos de vencimento ou o relatório único: até 12 anos após o fim do contrato de trabalho.
Elementos obrigatórios para a Segurança, Higiene e Saúde no trabalho – o prazo de conservação está definido em 40 anos, mas existe a obrigação de transferir todos estes dados para os Ministérios competentes se, antes de decorridos 40 anos, a PHARMA SOFTWARE for extinta.
Elementos de formação profissional (ex.: dossiers técnico-pedagógicos) – até 1 ano após o fim do contrato de trabalho, mas sempre 3 anos depois da formação do colaborador. Sendo a formação certificada pela DGERT, os dados deverão ser conservados até que esta entidade audite a PHARMA SOFTWARE, conforme decorre da legislação.
Registos laborais obrigatórios (como o registo de horário e de férias e o mapa de horário de trabalho): em princípio, o período de conservação será de até 1 ano após o fim do contrato de trabalho, mas poderão ser guardados até 12 anos, sendo necessária uma avaliaçãoda situação em cada caso.
Documentos sobre seguros: no mínimo 5 anos, e, dependendo da apólice de seguro, pode atingir o prazo de 1 ano após o fim do contrato de trabalho.
Arquivo de logs em sede de registo de acesso a informação sensível: durante a relação laboral e até 1 ano após a respetiva cessação.
Demais dados pessoais tratados no âmbito do controlo da utilização, para fins privados, dos meios de informação e comunicação no contexto laboral: durante a relação laboral e até 1 ano após a respetiva cessação.
Dados biométricos dos colaboradores: conservados sobre o período necessário para a prossecução das finalidades do tratamento a que se destinam. Serão destruídos aquando da cessação do contrato de trabalho do colaborador, ou aquando da sua transferência para outro local de trabalho.
B. DADOS PESSOAIS DE PRESTADORES DE SERVIÇOS
No exercício da atividade que prossegue, a PHARMA SOFTWARE pode contratar prestadores de serviços em nome individual, pelo que poderá recolher e tratar os respetivos dados pessoais em vários e distintos momentos – nomeadamente, no âmbito de diligências pré-contratuais. Durante estes momentos negociais e de contratação, poderá ser recolhida informação pessoal – mormente dados pessoais identificativos como o nome e contactos, e dados contabilísticas como n.º de contribuinte e domicílio profissional –, que será tratada pela PHARMA SOFTWARE, sendo garantida a confidencialidade no seu tratamento, nos termos desta política.
NO SEGUIMENTO DA RELAÇÃO CONTRATUAL: No que diz respeito à gestão dos contratos de prestadores de serviços, a PHARMA SOFTWARE adota ou poderá adotar várias medidas administrativas que envolvem o tratamento de dados pessoais dos mesmos.
Estes dados serão conservados pelo período em que durar a relação contratual, salvo se houver outros prazos previstos na lei, ou se existirem interesses prevalecentes da PHARMA SOFTWARE ou de outros, devidamente identificados e definidos.
Contratos de prestação de serviços: até 12 anos após a sua cessação.
Elementos contabilísticos (i.e., recibos verdes, declaração de rendimentos, entre outros): até 12 anos após a cessão do contrato de prestação de serviços.
Quando os dados pessoais são necessários para que o responsável pelo tratamento comprove o cumprimento de obrigações contratuais, os mesmos devem ser conservados até que decorra o prazo de prescrição dos direitos correspetivos.
C. DADOS PESSOAIS DE UTILIZADORES DA APLICAÇÃO
A PHARMA SOFTWARE desenvolveu a aplicação “PharmaBud”, cuja utilização se destina a profissionais de saúde e a profissionais da indústria farmacêutica, pela própria natureza do seu âmbito e objetivos. Por esta razão, a PHARMA SOFTWARE necessita de recolher informações pessoais dos utilizadores que utilizam a aplicação, designadamente, para verificar que o acesso à aplicação lhes pode ser concedido, por via de uma credenciação. A PHARMA SOFTWARE procederá ao tratamento de dados pessoais dos utilizadores relativos a:
INFORMAÇÕES FORNECIDAS PELOS UTILIZADORES DURANTE A UTILIZAÇÃO DA APLICAÇÃO:
Autenticação
Para a finalidade de criar uma conta na aplicação, serão solicitadas aos utilizadores que sejam profissionais de saúde as seguintes informações pessoais: o seu nome profissional (portanto não necessariamente completo), o seu endereço de correio eletrónico, o seu contacto telefónico, a sua profissão, de entre opções pré-definidas de acordo com as definições de profissionais de saúde, a sua área de especialização e/ou áreas de interesse, o local ou os locais onde trabalha, igualmente de entre opções pré-definidas respeitante a instituições, entidades e/ou estabelecimento de prestação de cuidados de saúde ou farmácias, bem como uma fotografia da sua cédula profissional, a qual servirá para validação da qualidade de profissional de saúde.
A fotografia da cédula profissional é solicitada para validação do acesso à aplicação, mediante confronto com a informação publicamente disponibilizada pelas respetivas ordens profissionais. Após esta verificação, a fotografia será prontamente eliminada, sendo conservadas as informações que constem da cédula para efeitos de comprovação perante eventuais fiscalizações.
O fornecimento das informações de contacto é necessário para que o utilizador possa aceder à aplicação autenticando-se, representado o endereço de correio eletrónico o seu nome de utilizador, bem como para manter a sua conta segura (podendo ser enviadas SMS ou e-mails em caso de perda ou esquecimento da palavra-passe), prevenindo fraudes e uso indevido e mantendo também a segurança dos serviços fornecidos pela aplicação. Além disso, a partilha do contacto telefónico é essencial para a comunicação dos utilizadores com os profissionais da indústria farmacêutica e outros utilizadores profissionais de saúde, que utilizem a aplicação.
Tendo em conta que o tratamento destes dados pessoais é estritamente necessário para o fornecimento dos serviços solicitados pelo utilizador, o fundamento do tratamento é a sua necessidade para a execução de um contrato ou de diligências pré-contratuais solicitadas pelo titular dos dados, nos termos do artigo 6.º/1, alínea b) do RGPD. A recusa do fornecimento dos dados pessoais solicitados pela PHARMA SOFTWARE poderá ter como consequência a indisponibilidade dos serviços prestados através da aplicação.
Perfil
A PHARMA SOFTWARE terá acesso às informações que sejam voluntariamente partilhadas pelo utilizador no seu perfil, entre as quais, a sua profissão, instituições onde exerce profissionalmente, fotografia de perfil, entre outras publicações que voluntariamente partilhe. As informações voluntariamente fornecidas pelo utilizador poderão ser utilizadas para efeitos de recomendação de conteúdo e de publicidade personalizada, com base nos interesses legítimos da PHARMA SOFTWARE, designadamente, de marketing direto e de aprimoramento dos serviços fornecidos.
INFORMAÇÕES RECOLHIDAS AUTOMATICAMENTE
Tendo como fundamento os interesses legítimos da PHARMA SOFTWARE, entre os quais a gestão das suas necessidades comerciais, incluindo a análise do desempenho dos serviços prestados e o seu aprimoramento e a prossecução de fins estatísticos, poderão ser recolhidas automaticamente informações relacionadas com:
A utilização da aplicação, designadamente, a interação do utilizador com a aplicação (por exemplo, a data e hora dos acessos e as pesquisas efetuadas);
O dispositivo através do qual o utilizador acede à aplicação (por exemplo, ID de dispositivo ou outros identificadores únicos, as características do dispositivo e do software utilizado, bem como identificadores de dispositivo passíveis de redefinição, também denominados identificadores de publicidade, tais como os identificadores em dispositivos móveis, tablets e dispositivos que possuam os referidos identificadores e informações recolhidas através de cookies, web beacons e tecnologias similares);
A rede dos utilizadores (designadamente, informações sobre a ligação, incluindo o tipo – WiFi ou móvel –, endereço de IP (que nos pode indicar a sua localização geral), bem como informações standard sobre os registos de servidores Web e navegadores.
A PHARMA SOFTWARE poderá ainda proceder ao tratamento de dados pessoais dos utilizadores para a prossecução das seguintes finalidades e com os seguintes fundamentos:
Para a finalidade de envio de comunicações comerciais relativas à atividade desenvolvida pela PHARMA SOFTWARE, tendo como fundamento o interesse legítimo da PHARMA SOFTWARE em informar o utilizador sobre os serviços que fornece, e com base no seu consentimento, caso seja aplicável. O consentimento poderá ser livremente revogado a todo o momento, mantendo-se lícito o tratamento realizado com base no consentimento até à data da sua revogação.
Para a finalidade de responder a solicitações ou reclamações do utilizador da aplicação, tendo como fundamento o interesse legítimo no fornecimento de um serviço de apoio personalizado e adequado, bem como a necessidade de execução de contrato ou de diligências pré-contratuais solicitadas pelo utilizador;
Para o cumprimento de obrigações jurídicas;
Para o exercício ou defesa de direitos num processo judicial, administrativo ou extrajudicial, tendo como fundamento o interesse legítimo da PHARMA SOFTWARE em fundamentar o exercício dos seus direitos.
Para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular.
SOBRE A COMUNICAÇÃO DE DADOS PESSOAIS DOS UTILIZADORES DA APLICAÇÃO A OUTRAS ENTIDADES:
A PHARMA SOFTWARE pode recorrer à prestação de serviços de outras entidades para auxiliar a gestão da sua aplicação, os quais não terão, necessariamente, acesso a dados dos utilizadores. Será assegurado o balizamento das responsabilidades em termos de tratamento de dados pessoais e garantida a confidencialidade, integridade e segurança dos dados pessoais (para mais informações, veja-se infra o capítulo IV).
Os dados pessoais dos utilizadores poderão ainda ser transferidos a outras entidades na medida do estritamente necessário para o cumprimento de obrigações jurídicas que impendam sobre a PHARMA SOFTWARE.
Além disso, a PHARMA SOFTWARE poderá fornecer dados estatísticos agregados, insuscetíveis de identificar o utilizador, a terceiros, incluindo outras empresas ou entidades, sejam ou não subscritoras da aplicação, acerca do modo de utilização da aplicação.
À exceção da eventual necessidade de cumprimento de obrigações jurídicas, em nenhum caso os dados pessoais dos utilizadores da aplicação serão transferidos para fora da União Europeia, pelo que qualquer eventual transferência de dados ocorrerá ao abrigo das leis de privacidade e proteção de dados pessoais da União Europeia, como é o caso do RGPD.
A PHARMA SOFTWARE não terá acesso a dados pessoais dos utilizadores da aplicação junto de quaisquer terceiros, pelo que apenas tratará dados recolhidos através da utilização da aplicação.
PRAZOS DE CONSERVAÇÃO DE DADOS RECOLHIDOS ATRAVÉS DA APLICAÇÃO:
O prazo de conservação dos dados pessoais recolhidos através da utilização da aplicação poderá variar em função da finalidade do tratamento em causa. A PHARMA SOFTWARE conservará os dados pessoais dos utilizadores durante os seguintes prazos:
No que concerne aos dados relativos ao registo e ao perfil, enquanto o utilizador mantiver a sua conta ativa e durante 5 após a sua inativação;
No que respeita a eventuais comunicações trocadas entre as partes, durante o período em que tais comunicações perdurem.
Para o efeito de envio de comunicações comerciais relacionadas com a atividade desenvolvida pela PHARMA SOFTWARE, até ao momento em que o titular exerça o seu direito de oposição ou revogue o seu consentimento, consoante o que seja aplicável.
A recolha de dados pessoais no âmbito da utilização da aplicação não será feita sem mais: a PHARMA SOFTWARE informará os seus utilizadores, na qualidade de titulares de dados pessoais, desta política e de outras, no momento da recolha dos dados pessoais. Estas informações serão facilmente acessíveis e prestadas de forma clara e transparente, e associadas a um pedido de consentimento para o tratamento que se pretenda fazer dos dados a recolher, sempre que tal se aplique.
IV. PARCEIROS E PRESTADORES DE SERVIÇOS
A PHARMA SOFTWARE poderá cooperar com outras pessoas ou entidades que tratem dados pessoais por sua conta (“subcontratantes”), ou que estejam autorizadas a ter contacto com os mesmos, ou até que com eles lidem de forma puramente incidental (“terceiros”). Nessa senda, a PHARMA SOFTWARE terá que enviar os dados dos titulares para essas pessoas ou entidades que poderão ser: instituições financeiras, seguradoras, serviços de assessoria técnica, entidades de deteção e prevenção de fraude ou de prestação de serviços de segurança, medicina no trabalho e até prestadores de serviços relacionados com marketing e publicidade.
A título de exemplo, tanto poderá estar em causa a prestação de um serviço de limpeza das suas instalações cujo objeto do contrato não é a realização de operações de tratamento de dados pessoais, como poderá estar em causa a subcontratação de prestadores de serviços que, no âmbito de execução de um contrato, terão de aceder e tratar dados recolhidos e inicialmente tratados pela PHARMA SOFTWARE.
Nestas situações, e por razões de transparência, os titulares dos dados serão informados, sempre que possível, de quem são essas entidades e do que fazem com os dados tratados.
A PHARMA SOFTWARE celebrará com os seus parceiros e prestadores de serviços acordos de regulação de responsabilidades em matéria de proteção de dados pessoais. Tais acordos deverão ser reduzidos a escrito, conter menção ao objeto do contrato, com especial incidência sobre a concreta operação de tratamento de dados a realizar, respetiva duração, finalidade do tratamento, tipo de dados pessoais tratados e categorias de titulares de dados pessoais envolvidos.
O titular dos dados poderá, a qualquer momento, solicitar informações acerca dos termos em que os seus dados são tratados pelos parceiros e prestadores de serviços da PHARMA SOFTWARE.
A PHARMA SOFTWARE apenas aceitará relacionar-se com entidades que assegurem o cumprimento das suas obrigações nos termos desta política (sem prejuízo de outras que as partes entendam ser mais vantajosas para o titular dos dados pessoais), a saber:
Não podem subcontratar uma outra entidade para tratar os dados objeto do acordo existente com a PHARMA SOFTWARE sem o seu consentimento anterior e expresso, fornecido por escrito. E, quando o façam, devem garantir que o subcontratante ulterior cumpre as demais obrigações do RGPD em iguais termos.
Não podem transferir os dados pessoais dos titulares para pessoas ou entidades fora da União Europeia, exceto quando tal for necessário por exigência legal ou perante a existência de interesse público prevalecente, devendo informar a PHARMA SOFTWARE.
Devem guardar sigilo sobre todas as informações a que tenham acesso na execução do acordo.
Devem possuir e manter as medidas técnicas e organizativas adequadas e suficientes para que as operações de tratamento dos dados pessoais levadas a cabo cumpram os requisitos previstos no RGPD, nomeadamente, no que respeita à defesa dos direitos dos respetivos titulares e à segurança do referido tratamento, de forma a não colocar em risco os dados pessoais tratados.
Devem apagar ou devolver à PHARMA SOFTWARE os dados pessoais a que tenham tido acesso, aquando do término do acordo ente si celebrado, apagando todas as cópias existentes, a menos que exista uma obrigação legal ou um interesse público prioritário, caso em que deverão informar a PHARMA SOFTWARE.
Devem disponibilizar à PHARMA SOFTWARE todas as informações necessárias para que esta cumpra as obrigações a que esteja sujeita ao abrigo do RGPD, facilitando e contribuindo para as auditorias, inspeções e demais fiscalizações.
Devem conservar registos escritos das operações de tratamento de dados pessoais realizadas em nome da PHARMA SOFTWARE nos termos do RGPD, e disponibilizá-los, se for o caso, à Comissão Nacional de Proteção de Dados.
Não podem tratar dados pessoais para qualquer outra finalidade que não seja afim daquela que é objeto da prestação dos serviços.
Devem garantir que é ministrada a formação necessária em proteção de dados pessoais ao pessoal autorizado a tratar dados pessoais.
Quando necessário, devem designar um encarregado da proteção de dados e divulgar os respetivos contactos à PHARMA SOFTWARE.
Devem informar a PHARMA SOFTWARE quando considerarem que as suas instruções se mostram contrárias ao RGPD, ao direito da União Europeia ou dos Estados-Membros.
Sempre que a PHARMA SOFTWARE figure na qualidade de parceiro ou prestador de serviços num acordo celebrado com outra entidade, atuará segundo as orientações e instruções fornecidas por esse responsável pelo tratamento de dados e nos termos da presente política.
V. PRINCÍPIOS QUE VINCULAM O TRATAMENTO DE DADOS PESSOAIS
A PHARMA SOFTWARE compreende que a salvaguarda da dignidade, liberdade e autonomia dos titulares dos dados que trata dependem do respeito por um conjunto de princípios basilares – que assegura, sob pena de incorrer na prática de uma contraordenação muito grave -, a saber:
PRINCÍPIO DA LICITUDE: Apenas serão tratados dados quando exista um fundamento legítimo previsto por lei para o efeito, em total salvaguarda dos direitos dos respetivos titulares.
PRINCÍPIO DA TRANSPARÊNCIA: Todas as comunicações e informações relacionadas com as operações de tratamento de dados pessoais serão de fácil acesso e formuladas em linguagem clara e precisa. A PHARMA SOFTWARE prestará todas as informações relevantes aos titulares dos dados pessoais. Assim sendo, privilegiará a recolha de dados pessoais junto do titular dos dados, atuando, na medida do possível, de forma a salvaguardar que o titular dos dados é devidamente informado sobre as operações de tratamento conduzidas sobre os seus dados pessoais.
PRINCÍPIO DA LIMITAÇÃO DAS FINALIDADES: Apenas serão tratados dados pessoais quando os fins do tratamento identificados não possam ser atingidos por outros meios.
PRINCÍPIO DA MINIMIZAÇÃO DOS DADOS E DA LIMITAÇÃO DO SEU TRATAMENTO: Apenas serão usados os dados pessoais adequados, pertinentes e limitados às necessidades decorrentes dos fins do tratamento. Ademais, estes apenas serão conservados pelo período mínimo e indispensável para o efeito. A PHARMA SOFTWARE estabelecerá prazos de conservação para cada operação de tratamento, findos os quais procederá à sua destruição ou apagamento. A par disto, existirá uma revisão regular e periódica relativamente à licitude dos dados tratados. Sempre que possível, os dados usados serão anonimizados.
PRINCÍPIO DA EXATIDÃO, DA INTEGRIDADE E DA LEALDADE DOS DADOS: A PHARMA SOFTWARE adotará medidas com vista a manter os dados corretos, atualizados e íntegros, evitando que sejam indevidamente tratados, e ainda a sua perda, destruição ou danificação.
PRINCÍPIO DA CONFIDENCIALIDADE: Os dados pessoais serão tratados de forma idónea a garantir a sua segurança e confidencialidade.
VI. DIREITOS DOS TITULARES DOS DADOS PESSOAIS
A. DIREITOS DOS TITULARES DOS DADOS PESSOAIS
DIREITO DE ACESSO: O titular dos dados pessoais pode solicitar à PHARMA SOFTWARE o acesso aos dados por si facultados e às informações que estejam relacionadas com o seu tratamento, nomeadamente quem trata os seus dados pessoais, quais os prazos de tratamento associados, quais as categorias de dados em que se inserem, e até quais os direitos de que dispõe sobre os mesmos. Contudo, este direito de informação e/ou de acesso poderá ser recusado, quando seja legalmente imposto à PHARMA SOFTWARE um dever de segredo, oponível ao próprio titular dos dados. Nestes casos, o titular de dados sempre poderá solicitar parecer à Comissão Nacional de Proteção de Dados quanto à oponibilidade do dever de segredo.
DIREITO DE RETIFICAÇÃO: O titular dos dados pessoais pode e deve retificá-los, não sendo a PHARMA SOFTWARE responsável pelos danos que resultem da negligência e do descuido do titular na retificação dos seus dados, sempre que tenha tomado medidas de segurança pertinentes e adequadas.
DIREITO À LIMITAÇÃO E AO APAGAMENTO (DIREITO A SER ESQUECIDO): O titular dos dados pessoais pode requerer a limitação de tratamento relativamente a todos ou alguns dos dados pessoais tratados e, eventualmente, o seu apagamento, quando:
Verifique que os dados mantidos não estão exatos.
Considere que os dados são desnecessários em relação às finalidades para as quais foram recolhidos.
Tenha exercido o seu direito de oposição.
Os dados forem tratados de forma ilícita.
Exista obrigação legal que obrigue ao apagamento.
Pretenda retirar o consentimento e não exista outro fundamento para o tratamento.
No entanto, sempre que exista um prazo de conservação dos dados em crise, imposto por lei, este direito só poderá ser exercido após o decurso de tal prazo.
DIREITO DE PORTABILIDADE: O titular pode requerer a portabilidade dos seus dados pessoais, desde que tal seja tecnicamente possível, em formato estruturado, de uso corrente e de leitura automática. Este direito cinge-se apenas aos dados que tenham sido fornecidos pelos respetivos titulares.
DIREITO DE OPOSIÇÃO: Sempre que os dados pessoais tratados sejam utilizados para salvaguardar interesses legítimos próprios da PHARMA SOFTWARE ou de outrem, ou ainda interesses públicos identificados, o titular de dados pessoais tem o direito de se opor a tal tratamento, por motivos relacionados com a sua situação particular. O exercício deste direito determina a cessação do tratamento dos dados pessoais, a não ser que a PHARMA SOFTWARE apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
B. LIMITAÇÕES AOS DIREITOS DOS TITULARES DOS DADOS PESSOAIS
O exercício de qualquer direito por parte do titular dos dados tratados pela PHARMA SOFTWARE, na qualidade de responsável pelo tratamento, será assistido no prazo de 30 (trinta) dias, a menos que se sobreponha razão de interesse público, de interesse legítimo superior próprio da PHARMA SOFTWARE ou de outrem, obrigação legal ou contratual ou, ainda, se o pedido for manifestamente infundado. Tais factos impeditivos poderão, inclusive, justificar que os dados facultados sejam conservados para além do período inicialmente previsto.
Sempre que assista os titulares dos dados no exercício dos seus direitos, a PHARMA SOFTWARE poderá pedir informações adicionais com vista a comprovar titularidade dos dados e natureza do pedido, podendo, caso se justifique, cobrar taxas associadas a este serviço de fornecimento de dados.
A PHARMA SOFTWARE não está obrigada a socorrer os pedidos dos titulares dos dados se tal resultar de disposições legais, nomeadamente como acontece com os prazos de prescrição ou de caducidade.
C. TUTELA DOS DIREITOS DO TITULAR
A presente política visa informar e garantir a transparência aos titulares de dados. O titular de dados pode tentar resolver diretamente a sua situação com a PHARMA SOFTWARE. Tal não impede que o titular, sempre que se sinta prejudicado, recorra a outras vias para defender os seus direitos e interesses (por ex., apresentando uma reclamação à Comissão Nacional de Proteção de Dados ou recorrendo aos Tribunais).
Para efeitos de processamento de reclamações, os dados facultados serão tratados em função da duração da comunicação estabelecida e do tempo necessário à resolução do conflito apresentado.
Além de outros deveres de informação plasmados nesta política, os titulares de dados pessoais tratados pela PHARMA SOFTWARE, serão informados sobre:
A identidade e os contactos da PHARMA SOFTWARE.
As finalidades do tratamento a que os dados pessoais se destinam e o seu fundamento.
A existência de interesses legítimos da PHARMA SOFTWARE ou de terceiros.
Os destinatários ou categorias de destinatários dos dados pessoais.
O prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo.
Os seus direitos e forma de exercício dos mesmos.
O titular de dados que tenha sofrido danos advenientes do tratamento ilícito dos seus dados pessoais, ou de qualquer outro ato que viole as disposições do RGPD ou da lei nacional que assegura a sua execução, aufere o direito de exigir da PHARMA SOFTWARE, de responsável conjunto ou de subcontratante da mesma, a reparação pelos danos sofridos, propondo, para tal, a competente ação de responsabilidade civil. Todavia, sempre que faça prova suficiente de que o facto causador dos danos não lhe é imputável, a PHARMA SOFTWARE não incorre em responsabilidade civil.
VII. TRANSFERÊNCIA DE DADOS PESSOAIS
COOPERAÇÃO COM PARCEIROS E PRESTADORES DE SERVIÇOS: No âmbito da atividade que desenvolve, a PHARMA SOFTWARE poderá recorrer a parceiros e prestadores de serviços e, para esse efeito, tornar acessíveis os dados pessoais que trata. Com efeito, todos os parceiros e prestadores de serviços devem concordar manter um nível de proteção de dados pessoais equivalente ao plasmado nesta política.
Em todo o caso, a PHARMA SOFTWARE adotará as medidas adequadas a garantir que os seus parceiros e prestadores de serviços cumprem todas as suas obrigações relativas à proteção dos dados pessoais objeto das operações de tratamento que conduzem e, em última linha, responsabiliza-se pela sua realização, nos termos desta política.
VIII. CONFIDENCIALIDADE DO TRATAMENTO
As operações de tratamento de dados pessoais conduzidas diretamente pela PHARMA SOFTWARE ou pelos seus parceiros e prestadores de serviços são abrangidas por um dever de confidencialidade transversal aos respetivos colaboradores e demais profissionais com quem se relacionem.
Com efeito, aqueles estão proibidos de aceder a dados pessoais em violação dos termos contratuais aos quais estejam vinculados, e serão informados deste dever de confidencialidade que os vincula mesmo após o término das suas funções, sem prejuízo de diferente solução poder resultar de legislação aplicável.
A PHARMA SOFTWARE estabelecerá políticas de acesso a dados pessoais em razão das necessidades inerentes às funções desempenhadas na sua estrutura, sendo assim respeitado o princípio da “necessidade de informação”, com vista a impedir, na medida do possível, a apropriação indevida de dados pessoais objeto das operações de tratamento conduzidas.
IX. AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS (AIPD)
Sempre que o tratamento de dados pessoais que a PHARMA SOFTWARE realize suscite dúvidas quanto a saber se implica ou não um elevado risco para os direitos e liberdades das pessoas singulares, aquela deverá realizar uma Avaliação de Impacto a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco – em conformidade com o considerando 90 do RGPD.
Esta obrigação é, aliás, extensível aos subcontratantes com quem se relacione.
A AIPD consiste num processo destinado a descrever o tratamento de dados realizado por um responsável pelo tratamento, a aferir da necessidade e proporcionalidade desse mesmo tratamento, permitindo assim conhecer quais os riscos que desse mesmo tratamento possam advir, e bem ainda, quais as consequências para os titulares dos dados. Através desta avaliação, torna-se possível determinar, consoante os riscos verificados, as medidas necessárias para as mitigar e para garantir o compliance com o RGPD. Considera-se assim que, a AIPD consiste num processo destinado a estabelecer e demonstrar a conformidade das operações de tratamento de dados com o RGPD, podendo ser realizada para este efeito, ainda que não seja obrigatória no caso concreto.
A AIPD é obrigatória nos termos legais se/quando a PHARMA SOFTWARE:
Trate dados pessoais com vista à tomada de decisões que produzam efeitos jurídicos ou que afetem o titular dos dados significativamente de forma similar, baseadas no tratamento automatizado de dados, na sequência de qualquer avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, incluindo a definição de perfis.
Realize operações de tratamento de dados em grande escala de categorias especiais de dados, ou de dados pessoais relacionados com condenações penais e infrações, nos termos do art. 10.º do RGPD.
Introduza um sistema de controlo sistemático de zonas acessíveis ao público em grande escala.
Utilize uma nova tecnologia de forma massiva e para controlo de dados em grande escala.
A PHARMA SOFTWARE deverá servir-se destas avaliações para demonstrar o bom cumprimento do seu dever de proteção de dados pessoais, obrigando-se a solicitar a opinião dos titulares dos dados pessoais ou o parecer da Comissão Nacional de Proteção de Dados sempre que necessário.
Para o efeito, deverá guiar-se por procedimentos transparentes e eficazes, capazes de:
Efetuar uma descrição sistemática das operações de tratamento e quais as finalidades subjacentes.
Avaliar a necessidade e proporcionalidade das operações de processamento.
Identificar, gerir e avaliar os riscos que advêm para os direitos e liberdades dos titulares dos dados pessoais.
Identificar os mecanismos de segurança e controlo existentes.
Desenvolver medidas de mitigação de riscos.
Identificar a periodicidade da realização de avaliação de impacto.
Verificar se a Comissão Nacional de Proteção de Dados deve ser previamente consultada. Isto acontece quando da avaliação de impacto resulte na verificação da falta de garantias e de medidas e procedimentos de segurança para atenuar os elevados riscos que o tratamento implica para os direitos e liberdades das pessoas singulares, e o responsável pelo tratamento considere que o risco não poderá ser atenuado através de medidas razoáveis, atendendo à tecnologia disponível e aos custos de aplicação.
Determinar quando será necessária a assistência de um subcontratante para assegurar o cumprimento das obrigações decorrentes da realização de avaliações de impacto.
A. OBRIGAÇÃO DE REPORTAR INCIDENTES
Os titulares dos dados violados serão informados, sem demora injustificada, quando o incidente represente elevado risco para os seus direitos, liberdades e interesses fundamentais, mediante comunicação escrita em linguagem clara e de fácil compreensão que informe:
Do nome e dos contactos do encarregado da proteção de dados e/ou da pessoa responsável dentro da empresa, para que possam ser solicitadas mais informações;
Das consequências prováveis da violação ocorrida;
Da capacidade da empresa para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento de dados;
Da capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada, no caso de um incidente físico ou técnico;
Do processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
Esta obrigação não é aplicável se as medidas técnicas e organizativas existentes ou adotadas forem suficientes e adequadas à tutela dos titulares dos dados pessoais ou se implicar um esforço desproporcionado, casos em que é feita uma comunicação pública para o efeito.
B. COOPERAÇÃO E COMUNICAÇÃO COM A AUTORIDADE DE CONTROLO
Em Portugal, a autoridade de controlo é a Comissão Nacional de Proteção de Dados.
Sempre que algum incidente de violação de dados pessoais cause um risco para os direitos, liberdades e interesses fundamentais dos seus titulares, a PHARMA SOFTWARE informará a Comissão Nacional de Proteção de Dados da ocorrência, com a maior brevidade possível e num prazo máximo de 72 horas, sob pena de ter de justificar a sua demora.
Os eventuais subcontratantes com quem a PHARMA SOFTWARE se relacione estão obrigados a informar de eventuais ocorrências de incidentes de violação de dados pessoais, logo após o seu conhecimento.
Deverão ser elaborados relatórios de reporte que documentem as violações que ocorram e que identifiquem as medidas de reparação adotadas face à necessidade de reparação de danos presentes e de mitigação de danos futuros; assim como mecanismos e procedimentos céleres e eficientes de comunicação.
A PHARMA SOFTWARE cooperará, a par dos subcontratantes com quem se relacione, com a Comissão Nacional de Proteção de Dados, designadamente, através do envio de relatórios, da solicitação de pareceres e orientações, e sempre que a pedido daquela entidade.
Tal implica, desde logo, que os pontos de acesso a dados pessoais devam estar devidamente identificados, autenticados e restringidos mediante políticas de atribuição de direitos de acesso e privilégio, em prol da proteção de dados contra acessos não autorizados e indevidos, contra a sua perda, destruição e corrupção (independentemente de os dados serem tratados digitalmente ou não). Implica também que o fluxo de dados preveja a encriptação dos mesmos, bem como outras medidas que permitam o secretismo da informação transmitida.
Todas as operações de tratamento de dados estarão devidamente monitorizadas e registadas não só para efeitos de controlo, mas também para prova de proteção dos dados. Tal sistema de monitorização e registo deve:
Identificar quais os dados tratados, onde se encontram conservados e quem acede aos mesmos;
Identificar o responsável pelo tratamento, responsáveis conjuntos, subcontratantes e terceiros;
Identificar a finalidade do processamento;
Categorizar os dados e descrever as respetivas categorias;
Registar detalhes do fluxo de transferências de dados: categorias de destinatários, prova de garantias adequadas, etc.;
Descrever genericamente as medidas de segurança implementadas (técnicas e organizacionais), por ex., por remissão a políticas internas, normas, etc.
Atualizar a informação recolhida e assegurar a manutenção da integridade do seu conteúdo.
Envolver sistemas de backup data up to date e de disaster recovery testing, entre outros.
Para qualquer questão emergente da presente política, reiteramos a nossa disponibilidade para todas as informações. Contacte-nos por correio eletrónico para privacy@mypharmabud.com