1. Âmbito de aplicação
Esta política tem como objetivo apresentar os compromissos da Pluris Investments S.A. (doravante denominada por PLURIS ou Grupo1) em relação à gestão da privacidade e proteção de dados pessoais dos titulares cujo tratamento é da sua responsabilidade e responder às exigências do Regulamento Geral de Proteção de Dados2 e respetiva legislação nacional de execução3.
Pretende-se ainda demonstrar como serão tratados os dados pessoais no contexto da atividade desenvolvida pelo Grupo e seus colaboradores, através da definição de regras internas que cumpram com os requisitos exigidos pelo Regulamento, nomeadamente, da legitimidade, do tratamento e da conservação.
Todos os dados pessoais serão tratados e geridos nos termos da presente política em conjunto com a Política da Segurança da Informação, tendo em conta um inventário realizado e atualizado desses dados pessoais.
2. Funções e Responsabilidades
A Administração da Pluris assegurará que a presente política está alinhada com a estratégia do Grupo, para assim garantir a sua melhoria contínua no que respeita à segurança da informação e privacidade.
O Encarregado de Proteção de Dados (EPD) tem como função assegurar a conformidade para com os requisitos do Regulamento de forma contínua e sistemática, que todos os direitos dos titulares estão a ser cumpridos e que são operacionalizados os controlos de segurança adequados para os objetivos aqui definidos.
A Administração da PLURIS designa e atribui ao Encarregado de Proteção de Dados (ou “DPO” – Data Protection Officer) as funções e responsabilidades descritas supra em relação a todas as empresas do Grupo.
Todos os colaboradores do Grupo, e bem assim os seus subcontratantes – no que a estes seja aplicável – têm a responsabilidade de colaborar com e cumprir e fazer cumprir os compromissos desta política.
Para o caso dos navios de rio e navios de mar, há lugar ainda à definição de um “Local DPO” por navio, cuja missão consiste na no exercício de funções de DPO local quando os navios se encontram em situação de cruzeiro, e qua atuará de acordo com as regra da presente politica.
1 Por Grupo deve entender-se todas as empresas que são participadas, direta ou indiretamente, em pelo menos 10% do seu capital social pela empresa Pluris Investments, S.A.
2 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 e subsequentes alterações,.
3 A Lei n.º 58/2019, de 8 de Agosto (e suas subsequentes alterações) que assegura a execução na ordem jurídica nacional do Regulamento Geral de Proteção de Dados.
3. Titulares de dados pessoais
Para execução das suas atividades e finalidades de tratamento associadas são recolhidos pela Pluris dados pessoais das seguintes origens:
- Clientes corporativos por contrato
- Clientes registados através de ferramentas Web
- Clientes por aquisição de bilhética
- Colaboradores internos e de prestadores de serviços contratados
- Fornecedores e prestadores de serviços
- Visitantes das instalações físicas ou náuticas
4. Garantia de Confidencialidade e privacidade dos dados pessoais
Os dados pessoais identificados na presente Política serão tratados pela Pluris enquanto entidade responsável pelo tratamento de dados pessoais.
Por forma a garantir a confidencialidade e a privacidade dos dados, o Grupo assegura que estes apenas serão acedidos por colaboradores formalmente autorizados para o desempenho das suas funções.
As responsabilidades de cada colaborador em matérias de Segurança, Privacidade e Proteção de Dados Pessoais encontram-se detalhada nos contratos celebrados com a Pluris, incluindo, as obrigações de confidencialidade e sigilo às quais estejam adstritos.
5. Identificação do responsável pelo tratamento de dados pessoais
O responsável pelo tratamento de dados pessoais é a Pluris Investments, S.A. com sede na Rua de Miragaia 103, 4050-387, Porto, Portugal, com o número de registo de pessoa coletiva 508 767 881.
O grupo PLURIS lidera um conjunto de empresas às quais são aplicáveis as responsabilidades e obrigações decorrentes desta Política.
6. Avaliação de Impacto da proteção de dados
Nos casos em que as operações de tratamento de dados sejam suscetíveis de resultar num risco cujo nível não seja aceite pelo grupo, a PLURIS levará a cabo, antes do início do tratamento, uma avaliação de impacto com o objetivo de os identificar e tratar.
7. Recolha, processamento, partilha e retenção de dados pessoais
a) Recolha de dados pessoais
1. Para situações que não envolvam ferramentas Web
Os dados pessoais são recolhidos diretamente, através das seguintes formas:
- Candidaturas espontâneas ou resposta a ofertas de emprego com partilha do Curriculum Vitae
- Preenchimento de formulários em papel
- Captação de imagens e vídeos nas instalações fixas e a bordo de navios de mar ou rio
- Dados biométricos
- Telefone (para o caso de colaboradores)
- Na compra de bilhética, produtos de marketing ou outros materiais adquiridos em lojas físicas ou navios do Grupo, incluindo serviços de restauração
Os dados pessoais podem ser recolhidos indiretamente, através das seguintes formas:
- Importação do conteúdo do Curriculum Vitae para o registo de cadastro de recursos humanos.
- Importação de dados com responsabilidade partilhada com parceiros comerciais contratados
- Pontos de venda de marketing, serviços de restauração ou afins
- Empresas de seleção de candidatos a emprego
- Empresas de prestação de serviços médicos
- Empresas prestadoras de serviços de seguros de vida
A recolha de dados pessoais sensíveis só será realizada para os casos estritamente necessários e justificáveis pela actividade desenvolvida pela PLURIS e seu Grupo e de acordo com a legislação em vigor.
2. Para situações que envolvam ferramentas Web
Os dados pessoais são recolhidos diretamente através de ferramentas Web oficiais da organização, nomeadamente websites de compras online, ou indiretamente através de ferramentas de marketing automation e publicidade online de parceiros subcontratantes devidamente autorizados e em total cumprimento da nossa política de gestão da privacidade de dados pessoais.
Poderão ainda ocorrer recolhas indiretas através de parceiros subcontratantes referentes à colocação de encomendas, nomeadamente, a aquisição de bilhética para acesso exposições ou a serviços da empresa.
A política de gestão de cookies complementa este tema, apresentando as opções de “opt-in” e “opt-out” que estão disponíveis para este componente dos websites.
O titular de dados pessoais poderá ainda realizar o “opt-out” de serviços de publicidade online nas ferramentas sociais, designadamente, no Facebook, Google Ads, Instagram e Linkedin.
A Pluris garante que nenhum formulário manual ou informatizado terá opções previamente preenchidas, sendo todas as alternativas selecionadas pelo titular dos dados.
Os dados pessoais serão recolhidos com base nos fundamentos de licitude previstos na presente política e em respeito pelo princípio da minimização.
b) Processamento de dados pessoais
1. Para situações que não envolvam ferramentas Web
Não haverá utilização de dados pessoais para efeitos de criação e utilização de perfis de vendas ou indicadores de produtos, regiões ou tendências.
2. Para situações que envolvam ferramentas Web
Tais atividades incluem:
c) Partilha de dados pessoais
1. Para situações que não envolvam ferramentas Web
Além das finalidades de partilha descritas abaixo, não poderão ser realizadas outras, salvo autorização prévia e expressa do Encarregado de Proteção de Dados.
Finalidades decorrentes da actividade da Pluris Investment SA e sociedades do seu Grup, inter alia:
– Segurança social;
– Comunicação com Autoridade tributária, aduaneira ou outras entidades legais;
-Comunicação de reclamações ou violações de privacidade;
– Comunicação com o DPO;
– Segurança portuária e controlo de imigração;
– Registo laboral & pay roll;
-Emissão do certificado médico para fins marítimos ou similares;
– Cumprimento de registo e obrigações sindicais;
– Criação e registo de apólice de Seguro;
– Cumprimento de obrigações fiscais e aduaneiras.
Os dados pessoais podem ser partilhados com entidades subcontratadas para os efeitos acima referidos, nos termos dos contratos celebrados com as mesmas. A Pluris apenas recorre a subcontratantes que garantam, nos termos da lei, a implementação de medidas técnicas e organizativas adequadas à proteção dos seus dados através de acordos de subcontratantes, assegurando assim a defesa dos seus direitos à luz da lei de proteção de dados aplicável.
A partilha de dados classificados como sensíveis apenas será realizada com entidades legais, parceiros prestadores de serviços médicos e similares.
Estas partilhas de dados serão, em regra, realizadas no espaço europeu.
Existem situações especificas que exigem a partilha de dados para entidades fora do espaço europeu, nomeadamente:
- Com as autoridades portuárias: para efeitos de segurança e controlo de imigração em navios de cruzeiro de mar, em conformidade com as disposições legais aplicáveis.
- Com empresas do Grupo: para suporte de atividades de interesse legítimo, garantindo a minimização do tratamento de dados pessoais
2. Para situações que envolvam ferramentas Web
Além das finalidades de partilha descritas abaixo, não poderão ser realizadas outras, salvo autorização prévia e expressa do Encarregado de Proteção de Dados.
Finalidades decorrentes com marketing, pagamentos electronicos e outros serviços que envolvam a utilização de ferramentas electronicas:
– Realização de campanhas publicitarias
– Publicidade em locais virtuais como Google Ads, Facebook, Instagram e Linkedin;
– Necessidades operacionais na interligação com a HiPay e Paypal e outras Gateways de pagamento eletrónico com uso de cartões de crédito;
– Envio de notícias, campanhas e ofertas personalizadas para o cliente.
Existe lugar à partilha de dados com subcontratantes formalmente autorizados para efeitos de marketing digital, sendo que os dados pessoais envolvidos nestas partilhas estão sujeitos ao consentimento por parte do respetivo titular, havendo em qualquer momento lugar à possibilidade de realizar “opt-out”.
Estas partilhas podem dar origem a transferências de dados para fora do espaço europeu, para os casos de segmentação de campanhas de marketing digital com parceiros subcontratantes intercontinentais. Nestes casos, a organização terá o cuidado de implementar controlos de segurança apropriados a cada situação de risco identificada, assim como assegurar ao titular a garantia da execução incondicional dos seus direitos e todos os requisitos do Regulamento Geral de Proteção de Dados.
d) Conservação de dados pessoais
O período de tempo durante o qual serão conservados os dados pessoais varia conforme a finalidade para a qual os dados são tratados.
Por retenção entende-se o armazenamento seguro de dados, em formato digital ou em papel, assegurando as condições de gestão de acesso para garantia de confidencialidade, da integridade, disponibilidade da informação e não repúdio, assim como da sua preservação nas devidas condições de utilização em função do tempo definido.
Serão cumpridos os requisitos legais que exigem a conservação de dados pessoais durante um período mínimo para cada objetivo.
Quando tal período mínimo não for imposto, os dados pessoais serão conservados apenas durante o período estritamente necessário à prossecução das finalidades para as quais os dados foram recolhidos ou são posteriormente tratados ou, se e quando aplicável, pelo período determinado pela autoridade de proteção de dados competente, após o qual os dados serão definitivamente apagados em modo seguro.
8. Utilizaçao & Finalidade dos Cookies:
São utilizados cookies para personalizar conteúdos e anúncios em função das características do visitante, interagir com funcionalidades de redes sociais, analisar o tráfego do website, assim como dar suporte a controlos de segurança implementados.
Em função das opções do visitante das páginas dos websites podem ser partilhados dados com os nossos parceiros de redes sociais, para objetivos publicitários, para análise de tráfego e da navegação pelas páginas do websites e ferramentas de redes sociais no âmbito desta política.
Em caso algum serão recolhidos dados pessoais através de cookies.
a) Tipos de cookies:
Os cookies são ficheiros de texto que podem ser utilizados por websites para tornar a experiência do utilizador mais eficiente.
De acordo com a legislação em vigor, podem ser armazenados e operacionalizados cookies no equipamento em que o visitante faz acesso se forem estritamente necessários para o funcionamento do website.
Para todos os outros tipos de cookies permitimos que o titular de dados pessoais exerça o seu direito de consentimento informado.
Alguns cookies podem ser instalados automaticamente pelos nossos parceiros de negócio, sempre de uma forma explicita para o visitantes.
b) Os websites podem utilizar os seguintes tipos de cookies:
Ba) Necessários
Os cookies necessários suportam a execução de funções básicas como a navegação entre páginas e a respetiva rastreabilidade.
É importante ressalvar que o website pode não funcionar corretamente sem estes cookies, e como tal, são considerados fundamentais e justificados.
Bb) Estatísticos ou Funcionais
Os cookies de estatística ajudam o gestor do website a entender como o visitante interage com as páginas que o compõe, recolhendo e tratando informações de forma anónima.
Bc) Marketing
Os cookies de marketing são utilizados para acompanhar o acesso e a sequência de utilização de página pelo visitante.
Permitem a personalização de anúncios ou outros materiais de marketing a apresentar e que sejam relevantes e apelativos para o visitante, tornando a experiência de navegação mais personalizada e dinâmica.
O visitante do website, e como tal titular de dados pessoais, deve proceder à seleção, em cada caixa disponível, do tipo de cookies que autoriza.
Ao clicar no botão “Aceito”, está a reconhecer a aceitação desta política de cookies e a confirmação de autorização para o tipo de cookies selecionados.
9. Direitos dos titulares
Aos titulares de dados serão asseguradas as condições de exercer os seus direitos previstos pelo regulamento geral de proteção de dados.
O Encarregado de Proteção de Dados nomeado pelo grupo estará envolvido em todas as questões relacionadas com a proteção de dados pessoais, devendo ser preferencialmente colocadas por escrito através do endereço de email dpo.mysticinvest@mysticinvest.com todas as questões que os titulares de dados pessoais entendam necessárias.
Caso o titular dos dados pretenda apresentar uma reclamação ou reportar uma violação de privacidade, o titular poderá comunicar através do email complaint.mysticinvest@mysticinvest.com ou diretamente com a autoridade de controlo que selecionar.
Em alternativa, o titular terá ao seu dispor um portal de comunicação via Web, onde poderá realizar todas as interações acima citadas e obter informação sobre o processamento de tais pedidos.
Na sequência dos registos de reclamação ou de violação de privacidade, o Grupo compromete-se a informar o titular sobre cada passo e avanço do processo de da sua reclamação, sem prejuízo do cumprimento dos prazos definidos pelo regulamento.
10. Revisão e melhoria contínua
Esta política será revista anualmente, ou sempre que existirem alterações significativas no inventário de dados pessoais e/ou nos suportes informáticos ou documentais.
Cada uma destas revisões dará origem a uma nova versão deste documento.
11. Divulgação e publicação
A Política de Gestão de Privacidade está classificada como informação de acesso público. (cfr. Política de classificação da informação) e estará disponível para consulta através da Internet, seja no Website institucional, nas ferramentas na Internet de suporte ao negócio e também nas redes sociais do grupo.
Durante o processo de acolhimento, será dado aos novos colaboradores conhecimento da presente Política, bem como fará parte deste processo a participação obrigatória daqueles nas ações de formação e sensibilização em matéria de segurança, privacidade e proteção de dados pessoais que farão parte do processo de acolhimento.
Após publicação e divulgação da política, ficam os colaboradores obrigados a:
➢ Proteger os ativos de informação a seu cargo;
➢ Colaborar na gestão do respetivo risco;
➢ Participar qualquer evento que possa colocar em causa a segurança da informação;
➢ Cumprir e fazer cumprir a presente política.
Os colaboradores poderão consultar a presente Política a qualquer momento através da plataforma de gestão documental da rede interna do grupo.
As entidades/colaboradores que, por razões inerentes à sua função, não tenham acesso à plataforma, terão conhecimento da presente política através da partilha no formato adequado a cada caso.
12. Vigência da Política:
A presente política foi aprovada pela Administração do grupo Pluris e torna-se vigente na data em que é publicada.
Qualquer alteração posterior entrará em vigor imediatamente após a sua publicação.