Política de Privacidade e Proteção de Dados Pessoais

1. O Compromisso da Santa Casa da Misericórdia de Barcelos na qualidade de Responsável pelo tratamento de dados pessoais

O Regulamento Geral de Proteção de Dados [Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016] e a Lei n.º 58/2019 de 8 de agosto, vieram estabelecer novas regras relativas à proteção, tratamento e livre circulação dos dados pessoais das pessoas singulares.

A Santa Casa da Misericórdia de Barcelos (SCMB) enquanto Responsável pelo Tratamento de dados pessoais, no âmbito da atividade que desenvolve nas suas diversas áreas de intervenção, para prossecução dos seus fins, garante a proteção destes dados, cujo tratamento é realizado ao abrigo da legislação em vigor e da presente Política de Privacidade e Proteção de Dados.

A SCMB no exercício da sua missão, apresenta um conjunto de respostas organizadas e integradas na prestação de serviços nas áreas do envelhecimento, saúde, infância e juventude, combate à pobreza, atividades de voluntariado, formação, culto, na promoção da cultura e salvaguarda do o seu património. Dispõe de vários equipamentos, através dos quais desenvolve um leque de parcerias, com o objetivo de operacionalizar as respostas sociais, maximizando recursos e desenvolvendo sinergias.  Na prossecução da sua missão envolve ainda transversalmente outras estruturas e serviços locais, públicos e privados, em diferentes áreas de intervenção (saúde, social, segurança, solidariedade, educação, cultura e lazer).

Através desta Política de Privacidade e Proteção de Dados, a SCMB compromete-se, designadamente, a reconhecer a necessidade de segurança dos dados pessoais que trata e a garantir a proteção da privacidade dos respetivos titulares, como seu modo de atuação nesta matéria. Presta-se ainda informação sobre as regras, os princípios e as boas práticas que observa neste domínio do tratamento dos dados pessoais que lhe são confiados, em conformidade legal, e sobre os meios que os titulares dos dados têm ao seu dispor para exercício dos respetivos direitos.

No que respeita ao website (sítio da internet) da SCMB, recomendamos aos seus utilizadores a leitura do documento “Política de Privacidade” aí publicitado, onde constam todas as informações necessárias aos utilizadores do website.

2. O responsável pelo tratamento de dados e o encarregado da proteção de dados

O responsável pela recolha e tratamento dos dados pessoais é a SCMB, e nesse contexto garante aos utentes, utilizadores dos seus serviços, colaboradores e outros interessados a privacidade e proteção dos seus dados pessoais.

A SCMB considerou ser importante a nomeação de um Encarregado de Proteção de Dados, a quem incumbe garantir, entre outros aspetos, a conformidade das atividades de tratamento e proteção de dados pessoais sob a responsabilidade da SCMB, de acordo com a legislação aplicável e com a presente Política.

Assim, os titulares de dados pessoais, caso o pretendam, podem endereçar uma comunicação ao Encarregado da Proteção de Dados, relativamente a quaisquer assuntos relacionados com o tratamento de dados pessoais, utilizando, para o efeito, os seguintes canais:

Via postal: Campo da República S/N, 4750-275 Barcelos

Via e-mail: rgpd@misericordiabarcelos.pt

3. Dados Pessoais

Dados Pessoais são quaisquer informações, de qualquer natureza e em qualquer suporte, relativa a uma pessoa singular identificada ou identificável. É considerada identificável a pessoa que possa ser identificada direta ou indiretamente, por recurso a um identificador, designadamente, nome, número de identificação, dado de localização, identificador eletrónico ou outros elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social que permitam chegar à identificação dessa pessoa singular.

Consideram-se como dados pessoais sensíveis, exigindo condições de tratamento mais específicas, os seguintes: os dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical; os dados genéticos; os dados biométricos tratados com o objetivo de identificar uma pessoa de forma inequívoca; os dados relacionados com a saúde; e os dados relativos à vida sexual ou orientação sexual da pessoa.

4. Titulares de Dados

É titular de dados qualquer pessoa singular a quem os dados pessoais digam respeito e que de alguma forma interajam com a SCMB, tais como:

- Os utentes/utilizadores dos respetivos serviços/ respostas sociais, a saber,

     (i) Pessoas Idosas: Lares, Centro de Dia e Serviços de Apoio Domiciliário;

     (ii) Educação na Infância: Creches, Pré-Escolar e Creche Familiar (Amas);

     (iii) Saúde: Unidade de Cuidados continuados Integrados e Centro de Medicina Física e de Reabilitação;

     (iv) Ação Social e Voluntariado: Loja Social, intervenção social e voluntariado;

     (v) Centro de Formação;

     (vi) Igreja e Capelas mortuárias;

     (vii) Arquivo Histórico e Núcleo Museológico

- Os Irmãos da SCMB;

- Os beneméritos da SCMB;

- Os voluntários da SCMB;

- Os utilizadores dos serviços culturais da SCMB;

- Os utilizadores dos serviços e unidades de Culto da SCMB;

- Os recursos humanos da SCMB.

5. Categorias de dados pessoais tratados

Para gerirmos a nossa atividade e missão social, tratamos os seguintes dados pessoais, que indicamos a título exemplificativo:

- dados de identificação (nome, estado civil, género, número de documento de identificação civil, fiscal, de utente e de segurança social, nacionalidade, data de nascimento, número de quarto, dados bancários, comprovativos de rendimentos, dados económicos do agregado familiar, dados de habilitações literárias, dados de saúde),

- dados de contacto (morada, contacto telefónico, endereço de e-mail),

- interesses (hobbies, atividades físicas e/ou lúdicas),

- dados de interação electrónica (endereço de IP, identificadores de dispositivos móveis), e

- outros dados que se revelem necessários ou convenientes para a prestação dos serviços da SCMB, o que inclui a execução de obrigações legais às quais a Instituição está vinculada, nomeadamente perante a Autoridade Tributária e Aduaneira, a Segurança Social, a Caixa Geral de Aposentações ou outras entidades oficiais.

6. Recolha e tratamento de dados pessoais

A recolha e tratamento dos dados dos nossos Utentes, Colaboradores e Parceiros têm como única finalidade a prestação dos serviços que constituem a nossa missão, sendo requisitados de forma direta, quando interage com a Instituição, por qualquer forma. Também poderemos aceder a informação pessoal, de forma indireta, através de parceiros e entidades oficiais.

Consciente da defesa da privacidade e integridade do registo e tratamento dos dados pessoais, com a entrada em vigor do Regulamento Geral de Proteção de Dados, a Instituição reforçou a segurança física e digital dos mesmos, em plena conformidade legal.

No âmbito do tratamento de dados pessoais, a SCMB compromete-se a observar os seguintes princípios fundamentais:

     (i) Princípio da lealdade, licitude e transparência: os dados pessoais serão objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;

     (ii) Princípio da limitação das finalidades: os dados pessoais serão recolhidos para finalidades determinadas, explícitas e legítimas, não sendo tratados posteriormente de uma forma incompatível com essas finalidades;

     (iii) Princípio da minimização dos dados: os dados pessoais serão adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;

     (iv) Princípio da exatidão: os dados pessoais serão exatos e atualizados sempre que necessário, sendo adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;

     (v) Princípio da limitação da conservação: os dados pessoais serão conservados de uma forma que permite a identificação dos titulares apenas durante o período necessário para as finalidades para as quais os dados são tratados;

     (vi) Princípio da integridade e confidencialidade: os dados pessoais serão tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, sendo adotadas as medidas técnicas ou organizativas adequadas.

7. Fundamentos para que a Santa Casa da Misericórdia de Barcelos possa tratar os dados pessoais

As Finalidades de tratamento de dados pessoais são a execução dos contratos de prestação de serviços que dispomos à comunidade, gestão dos processos internos de Utentes e Colaboradores, gestão contabilística, fiscal e administrativa, gestão de contencioso, controlo da segurança física (videovigilância e geolocalização), cumprimento de obrigações legais.

Quanto aos fundamentos legais para o tratamento de dados pessoais, estamos devidamente legitimados pelos seguintes:

     (i) Consentimento (quando nos der o seu consentimento expresso, livre, informado e específico, para finalidade determinada, designadamente ser receptor de ações de divulgação institucional),

     (ii) Execução de contrato ou diligências pré-contratuais (quando o tratamento dos dados pessoais seja necessário para a celebração, execução e gestão do contrato do qual é parte),

     (iii) Cumprimento de obrigação legal (quando o tratamento de dados pessoais seja necessário para cumprir uma obrigação legal a que a Instituição esteja sujeita, tal como a comunicação de dados a entidades policiais, judiciais, fiscais ou reguladoras),

     (iv) Interesses vitais (quando o tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular),

     (v) Interesse público/Autoridade pública (quando o tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que a SCMB esteja investida, ou

     (vi) Prossecução de um nosso interesse legítimo (quando o tratamento dos por exemplo melhoria da qualidade do serviço, deteção de fraude, segurança de pessoas e bens, ou quando os motivos para a sua utilização devam prevalecer sobre os direitos dos titulares dos dados).

Os dados serão tratados e conservados conforme as finalidades e no período mínimo legal necessário.

8. Transferência de dados pessoais a subcontratantes e a terceiros

Os seus dados para além de em cumprimento de obrigação legal serem comunicados a entidades oficiais, poderão ser tratados por entidades subcontratadas pela Instituição, sempre que tal seja legalmente exigido ou contratualmente necessário, sendo fornecidos a essas entidades apenas os dados necessários à execução do serviço requerido.

Pautamos toda a nossa atuação e estendemos a Terceiros e Subcontratantes as obrigações relativamente ao tratamento de dados pessoais. Assim, não poderão transmitir os dados do titular a outras entidades sem que a SCMB tenha dado, previamente e por escrito, autorização para tal, estando também impedidos de contratar outras entidades sem autorização prévia da SCMB. A SCMB compromete-se a assegurar que estes subcontratantes serão apenas entidades que apresentem garantias suficientes de execução das medidas técnicas e organizativas adequadas, de forma a assegurar a privacidade dos dados dos titulares e a defesa dos seus direitos. Todos os subcontratantes ficam vinculados à SCMB através de um contrato escrito no qual são regulados, nomeadamente, o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais, as categorias dos titulares dos dados, os direitos e obrigações das partes, incluindo o dever de confidencialidade, e as medidas de segurança a implementar.

9. Direitos do titular dos dados pessoais

O titular dos dados pessoais dispõe dos seguintes direitos, que poderá exercer de forma a qualquer momento:

                Direito à Informação

O titular tem o direto de ser informado pela SCMB, previamente ao tratamento dos seus dados, sobre:

- A identidade e os contactos da SCMB e, se for caso disso, do seu representante;

- Os contactos do Encarregado de Proteção de Dados;

- As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;

- Os interesses legítimos da SCMB ou de um terceiro, se o tratamento dos dados se basear nesses interesses legítimos;

- Os destinatários ou categorias de destinatários dos dados pessoais, se aplicável;

- A transferência dos seus dados pessoais para um país terceiro ou uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão Europeia ou a referência a garantias de transferência apropriadas ou adequadas e aos meios de obter cópia das mesmas, se aplicável;

- O prazo de conservação dos dados pessoais ou, se não for possível, sobre os critérios usados para definir esse prazo;

- O direito de solicitar à SCMB o acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação, apagamento ou limitação, o direito de se opor ao tratamento e o direito à portabilidade dos dados;

- O direito de retirar o consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado, se o tratamento dos dados se basear no consentimento do titular. A retirada do consentimento não compromete a legalidade do tratamento efetuado com base no consentimento previamente dado;

- O direito de apresentar reclamação junto da autoridade de controlo nacional – Comissão Nacional de Proteção de Dados, ou outra autoridade de controlo;

- Se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados;

- A existência de decisões automatizadas, incluindo a definição de perfis, e informações relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados, se aplicável.

No caso de os dados do titular não serem recolhidos diretamente pela SCMB junto do mesmo, além das informações referidas acima, o titular é ainda informado acerca das categorias de dados pessoais objeto de tratamento e, bem assim, acerca da origem dos dados (designadamente quando provenham de fontes acessíveis ao público) e, nestas situações, as informações são fornecidas num prazo razoável após a obtenção dos dados pessoais, não superior a um mês, ou o mais tardar no momento da primeira comunicação ao titular dos dados, se os dados pessoais se destinarem a ser utilizados para fins de comunicação com o titular dos dados;

Independentemente de os dados serem ou não recolhidos junto do titular, e nos termos da legislação aplicável, a SCMB não tem a obrigação de prestar as informações quando e na medida em que o titular já tiver conhecimento das mesmas.

 

                Direito de Acesso - direito a obter a confirmação de quais são os seus dados pessoais que são tratados e informação sobre os mesmos.

Direito a ver ou obter cópia, por exemplo das faturas ou dos contratos escritos.

 

                Direito de Retificação - direito de solicitar a retificação dos seus dados pessoais que se encontrem inexatos ou solicitar que os dados pessoais incompletos sejam completados.

 

                Direito ao Apagamento dos dados ou “direito a ser esquecido” - direito de obter o apagamento dos seus dados pessoais, desde que não se verifiquem fundamentos válidos para a sua conservação, como por exemplo os casos em que a Instituição tem de conservar os dados para cumprir uma obrigação legal ou requerer o exercício de um direito.

O apagamento só pode ser pedido quando se aplique um dos seguintes motivos: os dados do titular deixarem de ser necessários para a finalidade que motivou a sua recolha ou tratamento; o titular retirar o consentimento em que se baseia o tratamento dos dados e não existir outro fundamento jurídico para o referido tratamento; o titular opor-se ao tratamento ao abrigo do direito de oposição e não existirem interesses legítimos prevalecentes que justifiquem o tratamento; caso os dados do titular sejam tratados ilicitamente; caso os dados do titular tiverem de ser apagados para o cumprimento de uma obrigação jurídica a que a SCML esteja sujeita; caso os dados do titular tenham sido recolhidos no contexto de uma oferta de serviços da sociedade da informação a crianças.

 

                Direito à Portabilidade - direito de receber os dados que nos forneceu em formato digital de uso corrente e de leitura automática se o tratamento se basear no consentimento ou num contrato de que o titular dos dados é parte e for realizado por meios automatizados. O direito de portabilidade não inclui dados inferidos nem dados derivados, i.e., dados pessoais que sejam gerados pela Instituição como consequência ou resultado da análise dos dados objeto de tratamento.

 

                Direito de Oposição e não sujeição a decisões individuais não automatizadas – nos casos em que o tratamento de dados for efetuado para efeito dos interesses legítimos da Instituição, ou o tratamento for efetuado para efeitos de marketing institucional ou definição de perfis com base nas suas preferências ou interesses pessoais, pode ainda, a qualquer altura opor-se ao tratamento dos dados pessoais. A SCMB só não cessará o tratamento se apresentar razões imperiosas e legítimas para essa tratamento que prevaleçam sobre os interesses, direotos e liberdades do titular, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

 

                Direito de Limitação do tratamento - direito a solicitar a limitação do tratamento dos seus dados pessoais, sob a forma de (1) suspensão do tratamento ou (2) limitação do âmbito do tratamento a certas categorias de dados ou finalidades de tratamento.

10. Forma e meios de contacto para os titulares exercerem os seus direitos

A SCMB fornece informações e comunica com o titular de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples.

Todos os direitos dos titulares dos dados podem ser exercidos através dos seguintes meios:

- Presencialmente, em qualquer estabelecimento da SCMB;

- Por via postal, para a morada Campo da República, S/N, 4750-275 Barcelos;

- Através de e-mail, para rgpd@misericordiabarcelos.pt.

 

Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida pela mesma via, salvo pedido do titular em contrário.

A SCMB dará resposta por escrito (incluindo por meios eletrónicos) aos pedidos dos titulares no prazo máximo de um mês a contar da data de receção dos mesmos, o qual pode ser prorrogado por igual período, quando for necessário, tendo em conta a complexidade e o número de pedidos, cabendo à SCMB informar os titulares dos dados de alguma prorrogação e dos motivos da demora no prazo de um mês.

Quando a SCMB tiver dúvidas razoáveis quanto à identidade da pessoa singular que apresenta o pedido, pode solicitar que lhe sejam fornecidas as informações adicionais que forem necessárias para confirmar a identidade do titular dos dados.

As informações são fornecidas pela SCMB a título gratuito, exceto quando os pedidos apresentados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, caso em que a SCMB se reserva o direito de exigir o pagamento de uma taxa de valor razoável, tendo em conta os custos administrativos do fornecimento das informações ou da comunicação.

11. Segurança e proteção dos dados

Para garantir a segurança dos dados pessoais e a máxima confidencialidade, a Instituição trata os dados pessoais a que acede de forma absolutamente confidencial, de acordo com as suas políticas e procedimentos internos de segurança e confidencialidade, os quais são atualizados periodicamente de acordo as necessidades, assim como com os termos e condições legalmente previstos.

Em função da natureza, do âmbito, do contexto e das finalidades do tratamento dos dados, bem como dos riscos decorrentes do tratamento para os direitos e liberdades do titular dos dados aplicamos, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas necessárias e adequadas à proteção dos dados.

A SCMB compromete-se ainda a assegurar que, por defeito, só sejam tratados os dados que forem necessários para cada finalidade específica do tratamento e que esses dados não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas.

Caso seja realizada transferência de dados pessoais para países fora da União Europeia observam-se as disposições legais aplicáveis, nomeadamente quanto à determinação da adequabilidade de tal país no que respeita a proteção de dados e aos requisitos aplicáveis a tais transferências.

12. Violação de dados pessoais

Em caso de violação de dados e na medida em que tal violação seja suscetível de implicar um elevado risco para os direitos e liberdades dos Utentes, Colaboradores e/ou Parceiros, a Instituição compromete-se a comunicar a violação de dados pessoais aos titulares dos dados e bem assim à Comissão Nacional de Proteção de dados, no prazo de 72 horas a contar do conhecimento do incidente.

Nos termos legais, a comunicação não é exigida nos seguintes casos:

- Caso a Instituição tenha aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tenham sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;

- Caso a Instituição tenha tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados já não é suscetível de se concretizar; ou

- Caso a comunicação aos titulares dos dados implique um esforço desproporcionado sendo dessa forma efetuada uma comunicação pública.

13. Alterações à presente política de privacidade e proteção de dados

A SCMB reserva-se o direito de alterar a presente Política de Privacidade a todo o tempo.

14. Lei e Foro Aplicáveis

A Política de Privacidade, bem como a recolha, tratamento ou transmissão de Dados Pessoais, são regidos pelo disposto no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 e pela legislação e regulamentação aplicáveis em Portugal, designadamente a Lei n.º 58/2019 de 8 de Agosto. Quaisquer litígios decorrentes da validade, interpretação ou execução da Política de Privacidade, ou que estejam relacionados com a recolha, tratamento ou transmissão de dados do seu titular, devem ser submetidos em exclusivo à jurisdição dos tribunais judiciais da comarca de Barcelos, sem prejuízo das normas legais imperativas aplicáveis.