Definições

As seguintes definições dos termos utilizados neste documento são extraídas do art. 4.º do Regulamento Geral sobre a Proteção de Dados (RGPD) e da legislação italiana sobre a matéria (Decreto Legislativo n.º 196 de 30 de junho de 2003):
Dados pessoais: informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
Categorias especiais de dados pessoais: merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais. Estas categorias de dados incluem dados pessoais que revelam a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
Responsável pelo tratamento: a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.
Subcontratante: uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
Tratamento: uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
Anonimização: o tratamento irreversível de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável. A pseudonimização, por outro lado, reduz mas não elimina completamente a possibilidade de associar os dados pessoais ao titular dos dados. Uma vez que os dados pseudonimizados continuam a ser dados pessoais, o tratamento destes dados deve ser feito em conformidade com os princípios para o tratamento de dados pessoais.
Tratamento transfronteiriço: o tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um Estado-Membro de um responsável pelo tratamento ou um subcontratante na União, caso o responsável pelo tratamento ou o subcontratante esteja estabelecido em mais do que um Estado-Membro; ou o tratamento de dados pessoais que ocorre no contexto das atividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante, mas que afeta substancialmente, ou é suscetível de afetar substancialmente, titulares de dados em mais do que um Estado-Membro.
Autoridade de controlo: uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 51.º do RGPD da UE;
Autoridade de controlo principal: autoridade de controlo responsável em última instância pela gestão do tratamento transfronteiriço, por exemplo, quando um titulares dos dados apresenta uma queixa relativamente ao tratamento dos seus dados pessoais. A autoridade de controlo principal é também responsável pela receção de relatórios de violações de dados e atividades de tratamento de risco, e tem plena autoridade no que diz respeito às suas funções para assegurar a conformidade com o RGPD da UE;
Cada “autoridade de controlo local” mantém em qualquer caso jurisdição no seu território e monitoriza o tratamento de quaisquer dados locais que afetem os titulares dos dados ou que seja efetuado por um responsável pelo tratamento ou por um subcontratante dentro ou fora da União Europeia, se o seu tratamento envolver titulares dos dados residentes no seu próprio território. Os seus deveres e poderes incluem a realização de investigações e a aplicação de medidas e sanções administrativas, a sensibilização do público para os riscos, regras, segurança e direitos relacionados com o tratamento de dados pessoais, bem como o acesso a quaisquer instalações do responsável pelo tratamento ou do subcontratante, incluindo quaisquer ferramentas ou meios de tratamento.
“Estabelecimento principal de um responsável pelo tratamento”, com estabelecimentos em mais do que um Estado-Membro, é o local onde se encontra a sua administração central na União, salvo se as decisões sobre as finalidades e os meios de tratamento dos dados pessoais forem tomadas noutro estabelecimento do responsável pelo tratamento na União. Nesse caso, esse outro estabelecimento deverá ser considerado o estabelecimento principal;
“Estabelecimento principal de um subcontratante” com estabelecimentos em mais de um Estado-Membro, é o local onde se encontra a sua administração central na União ou, se o subcontratante não tiver administração central na União, o estabelecimento do subcontratante na União onde as principais atividades de tratamento no contexto das atividades de um estabelecimento do subcontratante são executadas na medida em que o subcontratante esteja sujeito a obrigações específicas ao abrigo do presente regulamento;
“Grupo empresarial”: um grupo composto pela empresa que exerce o controlo e pelas empresas controladas.

1. Objetivo do grupo

Em conformidade com os princípios fundamentais e códigos de conduta estabelecidos nos seus regulamentos internos, e as políticas e práticas em vigor (conforme alterados, implementados e complementados ao longo dos anos, em especial desde que os atuais acionistas do Grupo assumiram o controlo), o Grupo Fedrigoni pretende manter o seu compromisso de preservação dos princípios de proteção, confidencialidade e defesa da individualidade e dignidade humanas em relação ao tratamento e proteção de dados pessoais. Para tal, o Grupo Fedrigoni compromete-se especificamente a continuar a:
– proteger e salvaguardar os dados pessoais de cada indivíduo;
– assegurar a confidencialidade na vida pessoal e privada de cada indivíduo;
– respeitar as liberdades fundamentais garantidas pela Constituição;
– respeitar a identidade, personalidade e dignidade de cada ser humano;
– proteger a confidencialidade das informações relativas a empregados, clientes, fornecedores, todos os terceiros que operam como indivíduos e todos aqueles que estão envolvidos nas relações com empresas individuais do Grupo.

 

2. Compromisso do grupo

O Grupo Fedrigoni compromete-se, em plena conformidade com os regulamentos apropriados, a melhorar continuamente a proteção dos dados pessoais através de:
a) maior sensibilização dos empregados, fornecedores, clientes e todas as partes interessadas para com os compromissos assumidos em relação à proteção de dados pessoais e à segurança da informação;
b) identificação dos representantes com os requisitos, competências e poderes necessários para assegurar o funcionamento correto do sistema de tratamento de dados;
c) adoção de um sistema de documentação integrado e gerido de forma orgânica (procedimentos uniformes e padronizados, instruções de funcionamento e modelos em toda a organização);
d) caso ocorra tratamento de dados pessoais, plena integração da definição, integração, ajuste e revisão dos processos da empresa, de acordo com os princípios legislativos que regulam esse tratamento;
e) definição de um modelo organizacional de privacidade que proporcione uma proteção eficaz e preventiva no tratamento de dados pessoais relacionados com os vários processos da empresa.
f) adoção das melhores técnicas disponíveis, tendo em conta a sua sustentabilidade económica, para minimizar os danos em caso de contratempos ou eventos negativos no tratamento de dados pessoais, incluindo a adoção de métodos adequados de reparação em caso de danos e/ou perdas acidentais;
g) promover o diálogo e o debate, com base na transparência mútua, com todas as partes interessadas, tais como clientes e colaboradores externos, tendo em conta os seus pedidos e expectativas em relação ao tratamento de dados pessoais, de acordo com os meios de participação e comunicação adotados pelo Grupo.

3. Política de Privacidade

As empresas do Grupo Fedrigoni comprometem-se a proteger os dados pessoais tratados por qualquer motivo, adotando ações que estejam em conformidade com os princípios gerais abaixo ilustrados, os Regulamentos sobre a Utilização de Sistemas Informáticos e de Internet no Trabalho e qualquer outra política ou regulamento interno que regule direta ou indiretamente questões relacionadas com a proteção de dados pessoais.

3.1 Princípios e políticas de tratamento
O Grupo Fedrigoni compromete-se a tratar os dados de acordo com os princípios apropriados e em total conformidade com a legislação em vigor.
Os dados serão sempre tratados de acordo com os seguintes princípios:

1. os dados são recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades;

Ref.: princípio de limitação das finalidades

2. os dados são recolhidos e tratados em conformidade com medidas adequadas de segurança e prevenção estabelecidas com base numa avaliação de risco e implementadas antes do início do tratamento, tomando todas as medidas necessárias para assegurar que os dados sejam protegidos por medidas organizativas e técnicas que garantam a sua confidencialidade e integridade;

Ref.: princípio da segurança

3. os dados são objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados, fornecendo-lhe informações adequadas sobre a forma como os dados serão utilizados e obtendo o seu consentimento para um tratamento não necessário ou para o tratamento de determinados tipos de dados, por exemplo, dados que possam revelar o seu estado de saúde, a sua origem racial, as suas convicções religiosas, etc.

Rif.: princípios de licitude, lealdade e transparência

4. assegurar que os métodos utilizados para o tratamento dos dados sejam pertinentes e limitados ao necessário para os efeitos para os quais são tratados;

Ref.: princípio da minimização dos dados, relevância, proporcionalidade e privacidade por defeito

5. se necessário, tomar todas as medidas razoáveis para assegurar que os dados inexatos em relação às finalidades para as quais foram tratados sejam prontamente apagados ou retificados;

Ref.: princípios de precisão, necessidade, não-excessividade e essencialidade

6. conservar os dados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados. Os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos;

Ref.: princípio da limitação da conservação e direito a ser esquecido

7. tratar os dados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas;

Ref.: princípios de integridade e confidencialidade

8. assegurar que os titulares dos dados tenham a oportunidade de solicitar todos os dados por si fornecidos;

Ref. princípio da portabilidade dos dados

9. assegurar que cada nova forma de tratamento de dados seja concebida de forma a garantir a segurança necessária com base nos riscos a que está exposta antes de ser implementada. Por conseguinte, os sistemas informáticos devem também ser concebidos de acordo com este princípio;

Ref.: princípio da privacidade desde a conceção

10. assegurar que, após o tratamento, os dados deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

Ref. pseudonimização

11. gerir o tratamento de dados de forma a que qualquer violação da segurança que provoque a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais, independentemente do motivo, seja notificada às autoridades competentes e, em casos graves, ao titular dos dados, dentro dos prazos estabelecidos por lei.

Ref.: princípio da violação de dados pessoais

3.2 Recolha e tratamento das informações
Todas as empresas do Grupo adotam medidas e precauções para verificar que as informações que contêm dados pessoais sejam pertinentes, exatas, completas e atuais, conforme necessário para as finalidades para as quais serão utilizadas. Os dados pessoais são tratados em conformidade com o princípio da minimização de dados, tal como exigido pelo art. 5.º, par. 1, alínea c), do Regulamento e da legislação italiana sobre a matéria (Decreto Legislativo n.º 196 de 30 de junho de 2003), que estabelece que a recolha e subsequente tratamento de dados pessoais devem ser feitos de forma a reduzir ao mínimo a utilização de dados pessoais que possam identificar o titular dos dados.

No caso de certas operações de tratamento, ou processos ou fases de um processo, não exigirem uma visualização clara dos dados pessoais e de identificação dos titulares dos dados, estas devem ser realizadas utilizando dados que tenham sido tornados anónimos ou, pelo menos, codificados.

Para melhor compreender o espírito do RGPD nesta perspetiva, devemos considerar o princípio fundamental do Regulamento e da legislação italiana sobre a matéria (Decreto Legislativo n.º 196 de 30 de junho de 2003), ou seja, o princípio da responsabilidade: todas as empresas do Grupo que são obrigadas a adotar e cumprir as regras e os princípios do RGPD devem, em primeiro lugar, ser plenamente informadas em relação ao contexto em que operam, ao equipamento a que têm acesso e ao conteúdo das suas atividades. Só ao realizar esta investigação interna para conhecer a sua estrutura é que é possível apreciar realmente o estatuto de “privacidade” da empresa.
Em termos práticos, para assegurar o cumprimento do princípio de responsabilidade, as empresas do Grupo devem sempre poder justificar as decisões que tomam com base no Regulamento, particularmente tendo em vista as inspeções.

3.3 Integridade dos dados
De acordo com o art. 5.º do Regulamento Europeu e com base na legislação italiana sobre a matéria (Decreto Legislativo n.º 196 de 30 de junho de 2003), o Grupo Fedrigoni realiza o tratamento dos dados pessoais em conformidade com os seguintes critérios gerais:
• as operações de tratamento devem ser realizadas de forma lícita, transparente e correta;
• os dados tratados devem ser recolhidos e registados para finalidades determinadas, explícitas e legítimas, não podendo ser utilizados de uma forma incompatível com essas finalidades;
• os dados tratados devem ser exatos e, se necessário, mantidos atualizados;
• os dados tratados devem ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados;
• os dados tratados devem ser conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados;
• os dados devem ser tratados de uma forma que garanta a sua segurança, incluindo a proteção contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas para os proteger do tratamento não autorizado ou ilícito («integridade e confidencialidade»).

3.4 Escolha e consentimento
As empresas do grupo comprometem-se a cumprir a obrigação de obter o consentimento conforme estabelecido no art. 6.º e no art. 7.º do Regulamento e na legislação italiana sobre a matéria (Decreto Legislativo n.º 196 de 30 de junho de 2003). O Grupo garante que o consentimento será fornecido de forma válida, assegurando que:
• seja dada informação correta e completa sobre privacidade antes do consentimento;
• o consentimento é dado de livre vontade e de forma inequívoca;
• o consentimento se refere apenas a uma operação de tratamento específica;

• o consentimento é documentado por escrito também relativamente ao tipo de dados recolhidos (por exemplo, utilização de dados sensíveis).
De acordo com o art. 6.º, par. 1, alínea b) – f) do Regulamento e da legislação italiana sobre a matéria (Decreto Legislativo n.º 196 de 30 de junho de 2003), não é necessário o consentimento quando:
• o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
• o tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
• o tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular.

3.5 Informações sobre privacidade
O Grupo Fedrigoni trabalha para assegurar que todas as operações de tratamento se realizem de acordo com o art. 13.º e o art. 14.º do Regulamento (Informações) e com a legislação italiana sobre a matéria (Decreto Legislativo n.º 196 de 30 de junho de 2003). Os titulares dos dados devem receber sempre informações adequadas quando os seus dados são recolhidos; quando tal não for possível porque os dados pessoais são recolhidos de terceiros, o titular dos dados deve receber informações assim que possível, ou em qualquer caso no prazo de um mês após a recolha dos dados ou no momento do primeiro contacto com o titular dos dados.
O conteúdo das informações a facultar é indicado no art. 13.º, par. 1, e art. 14.º, par. 1, do Regulamento e legislação italiana sobre a matéria (Decreto Legislativo n.º 196 de 30 de junho de 2003), conforme indicado abaixo, e deve ser facultado de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples.

O Grupo inclui o seguinte nas informações que faculta aos titulares dos dados:
• a identidade e os contactos do responsável pelo tratamento e, se for caso disso, do seu representante;
• os contactos do encarregado da proteção de dados, se for caso disso;
• as finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;
• uma descrição dos interesses legítimos do responsável pelo tratamento ou de um terceiro, caso o tratamento tenha essa base jurídica;
• os destinatários ou categorias de destinatários dos dados pessoais, se os houver;
• se for caso disso, o facto de o responsável pelo tratamento tencionar transferir dados pessoais para um país terceiro ou uma organização internacional, e as garantias de proteção de dados associadas a essa transferência;
• o prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;
• os meios de que dispõem para exercer os seus direitos, tal como previsto pelo RGPD;
• o direito de apresentar reclamação a uma autoridade de controlo;
• se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados;
• a existência de decisões automatizadas, incluindo a definição de perfis, e informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.

O Grupo não permite o consentimento tácito ou presumido.

3.6 Acesso aos dados pessoais e outros direitos do titular dos dados
O Grupo Fedrigoni garante a cada titular cujos dados pessoais são tratados o livre exercício dos direitos previstos nos artigos 15.º-22.º do Regulamento e na legislação italiana sobre a matéria (Decreto Legislativo n.º 196 de 30 de junho de 2003).

Mais especificamente, o titular dos dados tem o direito a:
• obter a confirmação de que os dados pessoais que lhe dizem respeito estão ou não a ser tratados e, se for o caso, aceder aos mesmos;
• opor-se a uma operação específica de tratamento de dados pessoais por razões legítimas, que possam fazer cessar definitivamente o tratamento;
• retirar o seu consentimento a qualquer momento, o que não compromete a licitude do tratamento efetuado com base no consentimento previamente dado;
• obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito e a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional;
• solicitar que os seus dados sejam tratados unicamente para fins de conservação, excluindo qualquer outra operação de tratamento;
• obter o apagamento dos seus dados pessoais, sempre que existam motivos adequados.

3.7 Transferências de dados pessoais
Todas as empresas do Grupo comprometem-se a adoptar as medidas necessárias para assegurar que as transferências de dados pessoais se realizem em conformidade com as leis aplicáveis, mesmo que esta operação seja realizada por terceiros que atuem na qualidade de subcontratantes. De acordo com o princípio da livre circulação de dados pessoais, o Regulamento regula a transferência de dados entre os Estados-Membros da União Europeia e o Espaço Económico Europeu (Noruega, Islândia, Lichtenstein).

No caso das transferências de dados para países que não pertençam à UE/EEE, deve-se verificar uma ou mais das seguintes condições:
• o sistema jurídico do país de destino ou de trânsito dos dados assegura um nível de proteção das pessoas considerado “adequado” pela Comissão Europeia
• foram adotados instrumentos contratuais que oferecem garantias adequadas (cláusulas contratuais-tipo, regras societárias vinculativas, etc.);
• o titular dos dados deve ter explicitamente dado o seu consentimento à transferência prevista (por escrito para dados específicos), após ter sido informado dos possíveis riscos de tais transferências para si próprio devido à falta de uma decisão de adequação e das garantias adequadas;
• a transferência é necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;
• a transferência é necessária para a celebração ou execução de um contrato, celebrado no interesse do titular dos dados, entre o responsável pelo seu tratamento e outra pessoa singular ou coletiva;
• a transferência é necessária por importantes razões de interesse público;
• a transferência é necessária à declaração, ao exercício ou à defesa de um direito num processo judicial;
• a transferência é necessária para proteger interesses vitais do titular dos dados ou de outras pessoas, se esse titular estiver física ou legalmente incapaz de dar o seu consentimento.

 

4. Coimas

O incumprimento das disposições do Regulamento e da legislação italiana sobre a matéria (Decreto Legislativo n.º 196 de 30 de junho de 2003) leva à aplicação de coimas até 20.000 euros para o responsável pelo tratamento.
O art. 83.º do RGPD prevê dois tipos de coimas para todas as violações ao Regulamento – violações menos graves e violações mais graves.
Por exemplo, de acordo com o art. 83.º, alínea a), par. 4, o incumprimento das obrigações por parte de um responsável pelo tratamento ou um subcontratante implica coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2% do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.
A alínea b), par. 5 do art. 83.º do RGPD define que uma violação dos direitos dos titulares dos dados nos termos dos artigos 15.º a 22.º é considerada uma violação mais grave, sujeita a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

 

5. Supervisão e Auditorias

 

Com esta política de privacidade, o Grupo Fedrigoni compromete-se a supervisionar o cumprimento da própria política e dos documentos associados da empresa, também no que respeita à aplicação de medidas técnicas para assegurar um nível adequado de tratamento; as disposições contidas nesta política devem ser respeitadas por todos os destinatários. Esta política é distribuída o mais amplamente possível através da publicação em quadros de avisos reservados ao pessoal; é também fornecida uma cópia aos novos funcionários e colaboradores. Qualquer alteração e/ou adição à política deve ser aprovada pelo Responsável de Conformidade do Grupo, que coordena as atividades para assegurar o cumprimento das regras, colabora com o Conselho de Administração e informa prontamente os serviços da empresa relativamente a quaisquer alterações.