1. Informação geral

Normalmente, os dados pessoais que recolhemos são obtidos diretamente junto do utilizador.

No entanto, também poderá ser necessário tratar dados pessoais que obtemos de outras empresas, autoridades ou terceiros, como agências de crédito, repartições de finanças e similares. Isto pode incluir dados pessoais que obtemos através dos nossos canais de denúncia de potenciais violações de conformidade ou no contexto de investigações de conformidade.

Os dados pessoais relevantes podem incluir: dados pessoais (por exemplo, nome próprio, apelido, morada e outros dados de contacto, data e local de nascimento e nacionalidade), dados de identificação e autenticação (por exemplo, excertos do registo comercial, dados de identificação, assinatura), dados no âmbito da nossa relação comercial (por exemplo, dados de pagamento, dados sobre encomendas), dados de solvabilidade, dados sobre a estrutura empresarial e de propriedade, fotografias e vídeos (por exemplo, com entregas de mercadorias) e outros dados comparáveis às categorias acima mencionadas.

O utilizador pode optar por comunicar connosco por correio eletrónico ou por correio postal. Por razões técnicas, as comunicações por correio eletrónico podem não ser encriptadas.

2. "Responsável pelo tratamento" na aceção do artigo 4.º, n.º7, do RGPD

O responsável pelo tratamento de dados na aceção do artigo 4.º, n.º 7, do RGPD é a empresa indicada na assinatura da mensagem de correio eletrónico ou a empresa com a qual está a iniciar ou a manter uma relação comercial.

A PreZero Portugal S. A. é responsável pelo tratamento dos relatórios recebidos através dos nossos canais de comunicação relativos a potenciais violações em matéria de conformidade.

3. Finalidades e bases jurídicas do tratamento

a. Para o cumprimento de obrigações contratuais (artigo 6.º, n.º1, alínea b) do RGPD

Os objetivos do tratamento decorrem da necessidade de adotar medidas antes da celebração de um contrato, antes de uma relação comercial contratual e para cumprir as obrigações decorrentes de um contrato existente.

b. Para cumprimento de uma obrigação legal (artigo 6.º, n.º1, alínea c) do RGPD

As finalidades do tratamento decorrem de obrigações legais no caso concreto. Essas obrigações legais incluem, por exemplo, o cumprimento de obrigações de retenção e identificação, por exemplo, no contexto de requisitos de combate ao branqueamento de capitais, de controlo fiscal e de comunicação de informações, bem como o tratamento de dados no contexto de pedidos das autoridades.

c. Para efeitos de interesses legítimos (artigo 6.º, n.º1, alínea f) do RGPD

Poderá ser necessário tratar os dados pessoais facultados pelo utilizador para fins que ultrapassem a execução efetiva do contrato. Os interesses legítimos neste caso incluem, em particular, a seleção de parceiros comerciais adequados, a investigação sobre potenciais parceiros comerciais, por exemplo, para garantir o cumprimento de requisitos, etc., incluindo uma comparação única com as listas de sanções da UE (ver, entre outros, os Regulamentos CE n.º 2580/2001 e n.º 881/2002) e a Lei n.º 83/2017, de 18 de Agosto, antes de estabelecer a relação comercial, o tratamento de dados, para além dos já indicados, relativos por exemplo ao beneficiário efetivo da transação, profissão, identidade dos titulares de participações no capital e nos direitos de voto e, em caso de suspeita, de outros tipos de dados, entre outros exigibilidade da realização do primeiro pagamento relativo a uma dada operação através de meio rastreável com origem em conta de pagamento aberta pelo cliente junto de entidade financeira ou outra legalmente habilitada, intervenção de níveis hierárquicos mais elevados para autorização do estabelecimento de relações de negócio, bem como, se necessário, a comparação relacionada com eventos com listas de sanções de outros países, fazer valer reivindicações legais, defender-se de reivindicações de responsabilidade, proteger a nossa infraestrutura de IT, gerir autorizações de acesso ao sistema, controlos de acesso físico e de dados, outros fins administrativos internos (como a otimização de processos e fluxos de trabalho), se estiver previamente disposto a participar, o envio do e-mail de convite para dar feedback ao seu contacto no Grupo Schwarz, facilitar a comunicação e o contacto através do nosso diretório de utilizadores em todo o Grupo, esclarecer potenciais violações de conformidade, prevenir crimes e resolver reclamações decorrentes da relação comercial.

Se nos contactar com informações sobre possíveis violações do cumprimento, também tratamos estas informações com base no Art. 6 (1) f RGPD. O interesse legítimo reside no esclarecimento de possíveis violações de conformidade.

No momento da contratação, obtemos ocasionalmente dados sobre o seu historial de crédito junto de agências de crédito para atender aos interesses legítimos acima mencionados. Utilizamos as informações sobre o historial de crédito das agências de crédito para avaliar a sua capacidade de crédito. As agências de crédito armazenam dados que recebem de bancos ou empresas, por exemplo. Estes dados incluem, nomeadamente, o apelido, o nome próprio, a data de nascimento, a morada e informações sobre o historial de pagamentos. As informações sobre os dados armazenados sobre si podem ser obtidas diretamente junto das agências de crédito.

Se aceitar a nossa proposta de contrato através de uma assinatura digital (por exemplo, Adobe Sign), tratamos os seus dados, nomeadamente o endereço de correio eletrónico, o endereço IP, bem como a hora e a data de quaisquer alterações que tenha feito ao respetivo documento contratual, por exemplo, quando o aprovou, exibiu ou assinou digitalmente. Temos um interesse legítimo em garantir que o processo de assinatura digital de contratos é rápido e eficiente e que o processo de assinatura pode ser registado para efeitos de verificação. Alguns contratos podem também ser assinados através de uma assinatura eletrónica qualificada. Neste caso, para além dos dados acima referidos, também tratamos os dados do certificado associados à sua assinatura. Temos um interesse legítimo em poder verificar se é capaz de fornecer uma assinatura eletrónica qualificada válida que substitua qualquer forma escrita prescrita por lei. Para utilizar uma assinatura eletrónica qualificada, tem de se registar de forma independente junto de um prestador de serviços de confiança (por exemplo, DigitalSign - Certificadora Digital; MULTICERT - Serviços de Certificação Electrónica S.A. ou Agência para a Modernização Administrativa, I.P. (AMA)). No entanto, ao registar-se, o respetivo prestador tratará os seus dados sob a sua própria responsabilidade e não em nosso nome.

4. Quem recebe os dados pessoais que nos fornece?

Na nossa empresa, o acesso aos dados fornecidos pelo utilizador será concedido aos serviços que necessitem desses dados para efeitos de cumprimento de obrigações contratuais, cumprimento de obrigações legais ou para servir interesses legítimos. No âmbito das relações contratuais, também contratamos subcontratantes ou prestadores de serviços que podem ter acesso aos seus dados pessoais. A sua conformidade com os requisitos de proteção de dados é assegurada por acordo contratual.

Adicionalmente, os dados podem ser transferidos para empresas do Grupo Schwarz, incluindo a PreZero, OutNature, PreTurn e GreenCycle, para efeitos de cumprimento de obrigações contratuais.

Para cumprir obrigações legais e proteger interesses legítimos no contexto do tratamento de denúncias sobre possíveis violações de conformidade, os responsáveis pelo tratamento, as autoridades, as empresas do Grupo Schwarz ou os prestadores de serviços também podem ter acesso aos seus dados pessoais relevantes neste contexto. Geralmente, somos obrigados por lei a informar as pessoas implicadas de que recebemos uma denúncia sobre elas, assim que essa informação não comprometa o seguimento da denúncia. A sua identidade enquanto denunciante será protegida de acordo com os requisitos legais.

No caso de contratos executados por assinatura digital, os seus dados também estão acessíveis a todas as pessoas envolvidas na aprovação e assinatura do contrato, uma vez que recebem um registo após a assinatura do contrato indicando todas as etapas do tratamento, incluindo o endereço de correio eletrónico, o endereço IP, a data e a hora. Os seus dados também podem estar acessíveis aos respetivos prestadores de serviços que utilizamos para o procedimento de assinatura digital em causa. No caso do Adobe Sign, trata-se da Adobe Systems Software Ireland Limited, 4-6 Riverwalk, City West, Business Campus, Saggart D24, Dublin, Irlanda. Se for utilizada uma assinatura eletrónica qualificada para executar contratos digitais, os seus dados estarão também acessíveis à Agência para a Modernização Administrativa, I.P. (AMA), que é o fornecedor responsável pela verificação da validade da assinatura.

5. Durante quanto tempo serão armazenados os dados?

Os dados pessoais serão armazenados durante o tempo necessário para o cumprimento das finalidades acima mencionadas. Neste contexto, destacam-se as obrigações legais de conservação ao abrigo do artigo 40º do Código Comercial, do Código de IRC e IVA, que definem, períodos de conservação até 10 anos, a contar do final do respetivo ano fiscal, nos termos do art.º 52 do CIVA e art.º 19 do DL n.º 28/2019, de 15 de Fevereiro.

O período máximo de conservação dos dados relacionados com a comunicação de possíveis violações de conformidade é de 3 anos após a conclusão do tratamento da denúncia/caso. No caso de investigações judiciais ou oficiais, coimas ou processos penais, os dados podem ser conservados até ao termo dessas investigações ou processos, acrescidos de eventuais períodos de recurso.

6. É obrigado a disponibilizar os dados?

No âmbito da nossa relação comercial, o utilizador deve fornecer-nos os dados pessoais necessários para iniciar, executar e terminar uma relação comercial e para cumprir as obrigações a ela associadas, uma vez que somos legalmente obrigados a recolher ou que temos o direito de recolher com base em interesses legítimos. Sem esses dados, geralmente não poderíamos estabelecer uma relação comercial com o utilizador.

No que diz respeito à comunicação de possíveis violações de conformidade, o utilizador não tem qualquer obrigação legal ou contratual de nos fornecer dados pessoais. Os seus dados pessoais não serão objeto de decisões automatizadas.

7. Os dados são transferidos para países terceiros?

Se transferirmos dados pessoais para destinatários fora do Espaço Económico Europeu (EEE), a transferência só terá lugar se a Comissão Europeia tiver confirmado um nível adequado de proteção de dados para esse país terceiro, se tiver sido acordado um nível adequado de proteção de dados com o destinatário dos dados (por exemplo, através de cláusulas contratuais-tipo da UE) ou se tivermos recebido o seu consentimento.

8. Os seus direitos enquanto titular dos dados

Nos termos do artigo 15.º, n.º 1, do RGPD, o utilizador tem o direito de obter informações gratuitas sobre os dados pessoais armazenados a seu respeito.

Se os requisitos legais forem cumpridos, tem também o direito à retificação (artigo 16.º do RGPD), à eliminação (artigo 17.º do RGPD) e à limitação do tratamento (artigo 18.º do RGPD) dos seus dados pessoais.

Se a base do tratamento for o artigo 6.º, n.º 1, alíneas e) ou f) do RGPD, o utilizador tem o direito de se opor nos termos do artigo 21. Se se opuser ao tratamento, os seus dados deixarão de ser tratados posteriormente, a menos que o responsável pelo tratamento demonstre motivos legítimos imperiosos para o tratamento que se sobreponham aos interesses do titular dos dados na objeção.

Se foi o próprio utilizador que disponibilizou os dados tratados, tem direito à portabilidade dos dados nos termos do artigo 20º do RGPD.

Se o tratamento de dados for efetuado com base no consentimento dado ao abrigo da alínea a) do n.º 1 do artigo 6.º ou da alínea a) do n.º 2 do artigo 9.º do RGPD, o utilizador pode revogar esse consentimento em qualquer altura, com efeitos para o futuro, sem que isso afete a licitude do tratamento anterior.

Nos casos acima referidos, ou se tiver dúvidas ou reclamações, escreva ou envie um e-mail ao responsável pela proteção de dados (ver n.º 9).

Tem também o direito de apresentar uma queixa junto de uma autoridade de controlo da proteção de dados. A autoridade supervisora de proteção de dados localizada no estado em que vive ou onde o controlador está domiciliado tem jurisdição.

9. Responsável/coordenador de proteção de dados

Para mais informações sobre o tratamento dos seus dados ou o exercício dos seus direitos, contacte o responsável pela proteção de dados/coordenador do respetivo responsável pelo tratamento. Para as seguintes empresas, contactar o contacto central:

PreZero Portugal, S.A.
A/C - Departamento de Recursos Humanos
Rua da Lionesa, 446 Edifício G39
4465-671 Leça do Balio
Contacto: 229 398 300
E-mail: infopd.pt@prezero.com