CESPU-PEQ-COR.png

POLÍTICA DE PRIVACIDADE


POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DO GRUPO CESPU

As empresas do Grupo CESPU estimam e valorizam a privacidade dos dados das diferentes partes interessadas, nomeadamente alunos, ex-alunos, utentes, funcionários, fornecedores e prestadores de serviços. A Política de Proteção de Dados Pessoais que se segue pretende apresentar a forma como a CESPU trata os seus Dados Pessoais e garante a sua privacidade.

Responsável pelo tratamento dos Dados Pessoais

A Responsável pelo tratamento dos dados pessoais é a empresa do grupo CESPU que presta serviços e recolhe e trata Dados Pessoais.

O Encarregado de Proteção de Dados

O Encarregado de Proteção de Dados pode ser contactado por e-mail através do endereço eletrónico

protecao.dados@cespu.pt

O Encarregado de Proteção de Dados tem as seguintes funções:

a) Controlar a conformidade legal do Tratamento de Dados realizado pelas empresas do Grupo CESPU com o Regulamento Geral de Proteção de dados e outra legislação aplicável à proteção de dados;

b) Prestar aconselhamento às empresas do Grupo CESPU em matéria de proteção de dados;

c) Cooperar com a CNPD, com os Titulares dos Dados ou outras autoridades em todas as questões relacionadas com a proteção de dados.

Dados Pessoais e Tratamento de Dados Pessoais

Dados pessoais, são informação relativa a uma pessoa singular identificada ou identificável;

É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

Tratamento de dados pessoais, é uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

Categoria de Dados Pessoais tratados

No desenvolvimento das suas atividades, as empresas do grupo CESPU tratam dados de diferentes titulares e com diferentes finalidades.

É de referir que os titulares dos dados não são obrigados a partilhar os seus Dados Pessoais com as empresas do Grupo CESPU. No entanto, caso optem por não os partilhar, haverá casos em que as empresas CESPU não conseguirão prestar os serviços pretendidos.

De seguida elencam-se os principais grupos de dados pessoais tratados pelas empresas do grupo CESPU:

⋅  Dados de contacto pessoais
⋅  Dados académicos
⋅  Dados de saúde
⋅  Dados de pagamento
⋅  Dados da conta
⋅  Dados das credenciais de segurança
⋅  Dados demográficos
⋅  Dados biométricos
⋅  Dados de imagem 

Recolha de Dados

A CESPU recolhe dados pessoais presencialmente, por telefone, por escrito ou através de sistemas informáticos. Os dados pessoais recolhidos são tratados quer por meios não automatizados (por exemplo, ficheiros manuais), quer informaticamente e no estrito cumprimento da legislação de proteção de dados pessoais, sendo armazenados em base de dados específicas, criadas para o efeito. Em situação alguma os dados recolhidos serão utilizados para outra finalidade que não seja aquela para a qual foi dado o consentimento por parte do titular dos dados ou a condição de legitimidade do tratamento.

Finalidades de tratamento

No desenvolvimento das várias atividades das empresas do Grupo CESPU, há necessidade de tratar diferentes dados para finalidades específicas. De seguida apresentam-se as principais finalidades de tratamento de dados das empresas do Grupo CESPU:

⋅  Prestação de Serviços de Ensino;
⋅  Prestação de Serviços de Saúde;
⋅  Prestação de Serviços de Formação;
⋅  Gestão Contabilística, Administrativa e Fiscal;
⋅  Gestão de Recursos Humanos;
⋅  Atividades de Comunicação, Comerciais e marketing;
⋅  Definição de Perfis;
⋅  Segurança das instalações;
⋅  Cumprimento de Requisitos e Obrigações Legais;

As informações sobre o tratamento de dados pessoais são prestadas ao titular dos dados no momento da sua recolha ou, se os dados pessoais tiverem sido obtidos a partir de outra fonte, dentro de um prazo razoável, consoante as circunstâncias.

Aquando da recolha dos dados a CESPU, enquanto responsável pelo tratamento, faculta ao titular dos dados pessoais informações mais detalhadas sobre a utilização que dará à informação, designadamente:

⋅  A identidade e os contactos do responsável pelo tratamento.
⋅  Os contactos do encarregado da proteção de dados.
⋅  As finalidades a que se destina o tratamento dos dados pessoais, bem como o fundamento jurídico para esse mesmo tratamento.
⋅  Os destinatários ou categorias de destinatários dos dados pessoais.
⋅  Os direitos do titular dos dados.
⋅  O prazo de conservação dos dados ou os critérios usados para definir esse prazo.
⋅  Quais os dados que tem de fornecer obrigatoriamente e quais são facultativos.

  Licitude de Tratamento

O tratamento dos dados só é licito na medida da verificação de pelo menos uma das situações abaixo referidas:

⋅ Relação contratual / prestação de serviços

As empresas do Grupo CESPU tratarão Dados Pessoais caso o Tratamento dos Dados seja necessário no âmbito da relação contratual entre a empresa e o titular dos dados enquanto cliente, trabalhador ou fornecedor de serviços ou para a execução de atividades prévias ao contrato a pedido do titular dos dados;

⋅ Cumprimento de Requisitos e Obrigações Legais
As empresas do Grupo CESPU tratarão Dados Pessoais no âmbito do cumprimento de requisitos e

obrigações legais;
⋅ Defesa de interesses vitais do titular dos dados

As empresas do Grupo CESPU tratarão Dados Pessoais caso o tratamento seja necessário para a defesa de interesses vitais do titular dos dados;

⋅ Interesse público

As empresas do Grupo CESPU tratarão Dados Pessoais caso o tratamento seja necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

⋅ Interesse legitimo
As empresas do Grupo CESPU tratarão Dados Pessoais caso o tratamento seja necessário para efeito

dos interesses legítimos prosseguidos pelo responsável pelo tratamento; ⋅ Consentimento do Titular dos Dados

O Consentimento do Titular dos Dados, é uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento; as empresas do Grupo CESPU tratarão Dados Pessoais se o seu titular der o respetivo Consentimento.

Prazo de conservação dos seus Dados Pessoais

As empresas do Grupo CESPU conservam os Dados Pessoais pelo período de tempo necessário tendo em conta:

⋅  Tempo necessário para a execução da finalidade para a qual os dados foram recolhidos;
⋅  Obrigações legais;
⋅  Prazos legais;
⋅  Litígios;

O período durante o qual os dados são armazenados e conservados varia de acordo com a finalidade do respetivo tratamento.

A CESPU pode conservar os dados pessoais durante o tempo em que se lhe possa exigir algum tipo de responsabilidade derivada de uma relação jurídica, da execução de um contrato ou da aplicação de medidas pré contratuais.

Sempre que não exista uma exigência legal específica, os dados serão armazenados e conservados apenas pelo período necessário para cumprir as finalidades que motivaram a sua recolha e tratamento ou pelo período de tempo autorizado pela Autoridade de Controlo, findo o qual os mesmos serão eliminados.

A CESPU, em sede de tratamento para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica, ou para fins estatísticos, pode conservar os dados durante períodos mais longos, sem prejuízo de aplicar as garantias adequadas, nos termos da legislação em vigor, para os direitos e liberdades do titular dos dados. Essas garantias implicam a adoção de medidas técnicas e organizativas que visem assegurar, nomeadamente, o respeito do princípio da minimização dos dados.

Assim que os seus Dados já não sejam necessários, as empresas do Grupo CESPU procederão à eliminação dos mesmos de forma segura.

Partilha de Dados Pessoais

As empresas do Grupo CESPU poderão partilhar os Dados Pessoais com:

⋅ Subcontratados

Quando o tratamento de dados for efetuado por subcontratado ou terceiro a quem sejam transmitidos dados, a CESPU verifica se este apresenta garantias suficientes de execução de medidas técnicas e organizativas adequadas, de modo a que o tratamento satisfaça os requisitos da legislação em vigor e assegure a defesa dos direitos do titular dos dados.

O tratamento nestes termos é regulado por contrato ou outro ato normativo, que vincula o subcontratado ou o terceiro às diretrizes estabelecidas pela CESPU, enquanto entidade responsável pelo tratamento dos dados, e define o objeto e a duração desse tratamento, a natureza e finalidade do mesmo, o tipo de dados pessoais e as categorias dos titulares dos dados e as obrigações e direitos do responsável pelo tratamento.

O contrato estipula, designadamente, que o subcontratado ou terceiro:

a) Apenas trata os dados pessoais transmitidos mediante instruções documentadas da CESPU, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União ou do Estado-Membro a que está sujeito, informando nesse caso o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público; b) Assegura que as pessoas autorizadas a tratar os dados pessoais assumem um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;

c) Adota as medidas de segurança mais adequadas. d) Apaga ou devolve à CESPU todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo do direito da União ou dos Estados-Membros; e) Disponibiliza à CESPU todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo responsável pelo tratamento ou por outro auditor por este mandatado;

f) O subcontratado não poderá contratar outro subcontratado sem autorização da CESPU, devendo remeter-se o pedido ao responsável pelo tratamento de dados.

⋅ Outros
As empresas do Grupo CESPU poderão partilhar os Dados Pessoais com terceiros conforme indicado abaixo:
a) Internamente, entre empresas do Grupo que cumprirão as regras de proteção de dados aplicáveis;
b) A pedido escrito do Titular dos Dados com outras entidades;
c) Paracumprimentodeobrigaçõeslegaise/oucontratuais.

Fluxos Internacionais de Dados Pessoais

As empresas do Grupo CESPU, no âmbito de atividades e finalidades previstas neste regulamento, podem transferir Dados Pessoais para fora da União Europeia. A CESPU verifica previamente que o país ou o território para os quais transfere os dados garantem um nível adequado de proteção de dados ou foram alvo de uma decisão de adequação por parte da União Europeia. Sendo o caso, a CESPU cumprirá rigorosamente as disposições legais aplicáveis.

Contudo, as empresas apenas transferem Dados Pessoais para fora da União Europeia:

⋅ A pedido e com o Consentimento do Titular dos Dados;
⋅ Mediante a existência de protocolos ou cláusulas contratuais que garantam da parte

entidade recetora dos Dados Pessoais os o compromisso com o presente documento e com

o Regulamento Geral de Proteção de Dados;
⋅ Caso haja um suporte/requisito legal que exija essa transferência.

Direitos do Titular dos Dados

Direito de retificação

O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.

Direito ao apagamento dos dados

Vulgarmente conhecido por “Direito ao Esquecimento”, o titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, caso se verifique um dos motivos previstos no Regulamento Geral de Proteção de Dados.

Direito à limitação do tratamento

O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, caso se verifique um dos motivos previstos no Regulamento Geral de Proteção de Dados.

Direito de portabilidade dos dados

O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir, caso se verifique um dos motivos previstos no Regulamento Geral de Proteção de Dados.

Direito de oposição

O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais.

Direito de acesso

O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais

Confidencialidade dos Dados Pessoais

O Grupo CESPU entende que os Dados Pessoais fornecidos às empresas do grupo podem ser confidenciais. Não vende, aluga, distribui ou comercializa de outra forma os Dados Pessoais a terceiros, exceto nos casos referidos no n.o8 da Política de Proteção de Dados do Grupo CESPU.

Cookies

As empresas do Grupo CESPU recorrem a cookies para recolha de informação acerca da utilização do website.

Medidas de Segurança

As empresas do Grupo CESPU tratam os Dados Pessoais para as finalidades anteriormente identificadas recorrendo a medidas organizativas e técnicas de forma a garantir a segurança e integridade dos mesmos protegendo-os contra a destruição, a perda, a alteração, a difusão, o acesso não-autorizado ou qualquer outra forma de tratamento acidental ou ilícito, nos termos da legislação atualmente em vigor em matéria de proteção de dados