Política de Privacidade e Proteção de Dados
Objecto
A Portinsurance Care sempre se pautou pela total transparência e pelo total respeito pela privacidade, confidencialidade e proteção dos dados pessoais que trata no âmbito da sua atividade, pelo que vem agora reforçar a sua posição quanto a esta matéria.
A fim de dar cumprimento ao actual quadro normativo aplicável, nomeadamente, ao regime jurídico que resulta da aplicação do Regulamento Geral sobre a Proteção de Dados, a Portinsurance Care desenvolveu e implementou um Sistema de Proteção de Dados Pessoais, com vista a garantir a conformidade normativa e a permitir demonstrar e evidenciar, dentro do princípio da auto-responsabilização, essa conformidade.
Com o presente documento, pretende a Portinsurance Care proceder à definição, descrição e divulgação da utilização que faz dos dados pessoais sobre os quais realiza operações de tratamento, nomeadamente, no que concerne à categoria dos dados, de que forma e por que motivo são utilizados, a quem podem ser transferidos, e que medidas adotamos com vista a proteger a integridade, disponibilidade e confidencialidade dos mesmos.
Através da utilização de qualquer das nosas plataformas ou preencher qualquer dos nossos formulários, deverá ler e aceitar as presentes condições.
A Portinsurance Care poderá, sempre que entenda ser necessário, rever e, eventualmente, atualizar a Política de Privacidade e Proteção de Dados Pessoais, sendo certo que em caso de atualização, será publicada no website a versão mais atual.
Definições Relevantes
«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador. São considerados identificadores pessoais, por exemplo, um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade fisica, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
«Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
«Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os crtérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado- Membro;
«Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;
«Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;
«Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;
«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;
«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
«Dados genéticos», os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;
«Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características fisicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;
«Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;
Entidade Responsável Pelo Tratamento de Dados/Subcontratante
A Portinsurance Care atua como Entidade Responsável nos casos em que determine as finalidades e os meios de tratamento, designadamente, no que respeita à gestão das suas plataformas, formulários e aplicações, bem como no que respeita à relação com os seus colaboradores.
Portinsurance Care — Consultoria em Saúde Lda, pessoa coletiva com o NIF 513 242 970, com sede na Praça Marquês de Marialva, nº44, 3060-133 Cantanhede, com o contato: geral@portinsurancecare.pt
A RNA enquanto Subcontratante
No que respeita à prestação de serviços de assistência a pessoas no âmbito dos Planos de Saúde, e outros serviços no âmbito do seu objeto, a Portinsurance Care atua sempre na qualidade de Subcontratante de outra Entidade Cliente, sendo esta última quem determina as finalidades e meios de tratamento, nos termos do RGPD.
Nestes casos, deverá ser consultada a Política de Privacidade da respetiva Entidade Responsável pelo Tratamento.
Categorias dos Dados Pessoais
Na prossecução do exercício da sua atividade, a Portinsurance Care procede a operações de tratamento de dados pessoais que são necessários para a disponibilização dos seus produtos e prestação dos seus serviços, designadamente, no momento em que subscreve um Plano de Saúde, quando faz utilização das nossas plataformas, quando nos envia documentação necessária à aquisição do Plano de Saúde, ou quando nos contacta.
As categorias de dados que a Portinsurance Care trata, nos termos acima referidos, poderão ser as seguintes:
• Nome;
• Morada;
• Data de Nascimento;
• Relação com o segurado, tomador ou beneficiário das garantias;
• Contato móvel;
• Endereço eletrónico;
• Dados bancários;
• Informação sobre o uso das nossas plataformas - nomeadamente: informação sobre
visitas às nossas plataformas, informação recolhida por meio de cookies e outras
tecnologias der rastreamento (como o endereço de IP ou o domínio), versão do
navegador, dados de loalização, web logs.
Relativamente àqueles dados que possam integrar o conceito de categorias especiais de dados, a Portinsurance Care apenas procederá a operações de tratamento mediante o consentimento expresso do titular, prestado por escrito ou por ato inequívoco positivo, salvo nos casos em que esteja em causa o cumprimento de uma obrigação legal, a proteção dos interesses vitais do titular ou um interesse público relevante.
Princípios Jurídicos
Todas as operações de tratamento de dados cumprem com os princípios jurídicos fundamentais no âmbito da proteção de dados e privacidade, designadamente:
Princípio da Licitude:
Os dados pessoais serão tratados caso se verifique uma das seguintes condições de
licitude: o titular dos dados tenha dado o seu consentimento, o mesmo seja necessário
para a execução de um contrato, o cumprimento de uma obrigação legal, ou o
prosseguimento de um interesse vital para o seu titular.
Princípio da Transparência:
As circunstâncias que presidem ao tratamento de dados pessoais são informadas aos
respetivos titulares de forma clara e formuladas numa linguagem simples.
Princípio da Finalidade:
Os dados pessoais são tratados apenas para a/s finalidade/s a que se destina.
Princípio da Proporcionalidade:
A Portinsurance Care apenas tratará dos dados pessoais que sejam adequados,
pertinentes e limitados ao necessário para os efeitos a que se destina o respetivo
tratamento.
Princípio da Integridade e da Confidencialidade:
Os dados pessoais serão tratados de forma a que se garanta a devida segurança e
confidencialidade, pelo que serão devidamente protegidos contra o acesso e
utilização por pessoas não autorizadas.
A Portinsurance Care está disponível para demonstrar a sua responsabilidade perante o titular dos dados ou qualquer outra entidade terceira que tenha um interesse legítimo nesta matéria.
Finalidades do Tratamento e Fundamentos de Licitude
Os dados pessoais tratados pela Portinsurance Care visam prosseguir as finalidades que abaixo se descrevem e têm como fundamento de licitude aquele que se indica para cada uma das finalidades indicadas. Nos casos em que a Portinsurance Care atua como Subcontratante, as finalidades são as que a Entidade Responsável pelo Tratamento determine.
| Finalidade | Fundamentos de Licitude | Prazo de Conservação |
|---|---|---|
| Gestão do contrato, incluindo diligências pré-contratuais | Diligências Pré-Contratuais e Execução de um Contrato, Consentimento do titular, Cumprimento de Obrigação Jurídica | Prazo legal de prescrição |
| Marketing | Consentimento do Titular | Até revogação do consentimento |
| Cumprimento de Obrigações Legais, comunicação a autoridades, entidades de supervisão, regulamentares, Tribunais | Cumprimento de Obrigação Jurídica, Interesses Legítimos, incluindo prevenção e combate à fraude e exercício de direito de defesa em processo judicial | Prazo legal de prescrição ou prazo aplicável a cada obrigação |
Destinatários
No âmbito da sua atividade, a Portinsurance Care pode transmitir os dados pessoais relativamente aos quais realiza operações de tratamento, nomeadamente às entidades que se seguem:
• entidades prestadoras de várias tipologias;
• parceiros de negócio;
A Portinsurance Care garante que todos os seus fornecedores se encontram vinculados contratualmente a garantir as medidas técnicas e organizativas adequadas à segurança e confidencialidade dos dados que lhe sejam transmitidos pela Portinsurance Care.
Direitos dos Titulares dos Dados Pessoais
Os titulares dos dados pessoais podem exercer, em qualquer momento, os seus direitos de:
• acesso - o titular tem o direito de obter do Responsável do Tratamento a confirmação
de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e,
em caso afirmativo, de aceder aos seus dados e às informações relativas ao respetivo
tratamento;
• retificação - o titular tem o direito de obter, sem demora injustificada, do Responsável
do Tratamento, a retificação dos dados pessoais inexatos que lhe digam respeito;
• apagamento - o titular tem o direito de obter do Responsável do Tratamento o
apagamento dos seus dados pessoais, salvo que existam interesses da parte do mesmo
que justifiquem que o exercício deste direito não possa ser aplicável;
• limitação - o titular tem o direito de obter do Responsável do Tratamento a limitação
do tratamento, nas condições aplicáveis;
• portabilidade - o titular tem o direito de receber do Responsável do Tratamento os
dados pessoais que lhe digam respeito em formato estruturado, e, inclusivamente, a
pedir-lhe a transmissão dos mesmos directamente para outro responsável pelo
tratamento, sempre que tal seja tecnicamente possível;
• oposição - o titular tem o direito de se opor, a qualquer momento, e em determinadas
condições, ao tratamento dos seus dados pessoais.
• decisões automatizadas - o titular tem o direito a não ficar sujeito a decisões tomadas
exclusivamente com base em tratamento automatizado, incluindo definição de perfis
(Profiling), salvo em determinadas condições e com determinados fundamentos.
Encarregado de Proteção de Dados
A Portinsurance Care designou um Encarregado da Proteção de Dados com vista a
dar resposta às manifestações do exercício dos direitos dos titulares.
Assim, cada pedido deve ser feito através de envio de mensagem de correio eletrónico,
para o endereço abaixo indicado, descrevendo o assunto do pedido e indicando um
endereço de correio eletrónico, um endereço de contacto telefónico ou um endereço
de correspondência:
encarregado.protecao.dados@portinsurancecare.pt
O Encarregado da Proteção de Dados tem como função:
• Informar, formar, sensibilizar e consciencializar de toda a estrutura no que concerne
aos princípios inerentes do tratamento de dados pessoais e às obrigações que
decorrem do quadro normativo aplicável, que inclui o RGPD e todas as disposições
sobre a matéria da União ou dos Estados-membros;
• Controlar a conformidade relativamente ao referido quadro normativo;
• Prestar aconselhamento no que respeita à Avaliação de Impacto sobre a Proteção de Dados;
• Cooperar com as autoridadesde controlo;
• Elabora os procedimentos e políticas com vista à operacionalização de todas as
medidas necessárias ao correto cumprimento do quadro normativo aplicável;
A Portinsurance Care garante que o EPD foi nomeado com base nas suas qualidades
profissionais, em particular o seu conhecimento no domínio do Direito e relativamente
às práticas em sede de Proteção de Dados e que exerce as suas funções com total
independência e isenção.
Garante ainda que ao EPD são dados os recursos necessários para desenvolver as suas
funções de forma adequada.
O EPD conta ainda com o apoio e auxílio dos outros departamentos que podem contribuir para assegurar o cumprimento do quadro normativo aplicável, nomeadamente:
• Departamento de Sistemas e IT, Responsável pela Segurança da Informação - no que
respeita às avaliações de risco, à monitorização contínua das medidas atinentes à
Segurança da Informação, à comunicação de incidentes que possam configurar
violação de dados pessoais, à execução das medidas técnicas e organizativas que
permitam o cumprimento e conformidade com o RGPD, à execução das medidas
necessárias ao cumprimento da manifestação de exercício dos direitos dos titulares;
• Departamentos envolvidos na Implementação de Projetos, nomeadamente,
Comercial, Marketing, Organização, Redes e Qualidade, no que respeita à avaliação
do impacto da entrada de cada negócio no que concerne às garantias dos titulares,
disseminação de informação pelos parceiros de negócio, cumprimento do
procedimento de contratação regulada, informação ao EPD de operações de
tratamento que tenham origem em novos negócios.
Direito a Apresentar Reclamação Junto de Autoridade de Controlo
Os titulares dos dados têm o direito de apresentar reclamação sobre o tratamento dos seus dados pessoais para a autoridade de controlo.
Prazo de Conservação
Os dados pessoais serão objeto de conservação durante o período legalmente exigível, e nos termos da tabela acima.
Medidas de Segurança
Quer a Portinsurance Care, quer as entidades suas subcontratadas estão comprometidas relativamente à proteção dos seus dados, pelo que adotam diversas medidas de segurança de forma a proteger os dados pessoais contra a difusão, perda, uso indevido, alteração, tratamento ou acesso não autorizado, bem como contra qualquer outra forma de tratamento ilícito.
Comunicação de Incidentes
A Portinsurance Care tem implementado um sistema de gestão de incidentes no âmbito da proteção de dados, privacidade e segurança da informação.