I.Enquadramento geral

No desenvolvimento da sua actividade, o Grupo VASP – Distribuição de Publicações, S.A. bem como as sociedades com a mesma em relação de domínio, adiante todas designada por Grupo VASP, necessita de proceder ao tratamento de Dados Pessoais de vários titulares de dados, nomeadamente de colaboradores, clientes, fornecedores ou prestadores de serviços, intervenientes em procedimentos de contratação pública, bem como de utilizadores dos websites do Grupo VASP e de sociedades pela mesma participadas, entre outros.

Os Dados Pessoais recolhidos pelo Grupo VASP serão tratados de acordo com as normas regulamentares e legais em vigor.

A presente Política descreve um conjunto de orientações, regras e princípios que deverão ser observados pelo Grupo VASP para assegurar a proteção dos direitos dos titulares dos dados.

O Grupo VASP obriga-se ao cumprimento da sua Política de Proteção de Dados Pessoais e de Privacidade, em conformidade com as obrigações do Regulamento 2016/679/UE, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, adiante designado como Regulamento Geral de Proteção de Dados ou RGPD.

Neste sentido, o Grupo VASP procura garantir que os seus procedimentos internos estão em conformidade com as obrigações legais do RGPD e que os dados pessoais dos seus colaboradores, clientes, fornecedores ou prestadores de serviços e de quaisquer outros titulares de dados cujos Dados Pessoais o Grupo VASP trate no exercício da sua atividade, sejam tratados de acordo com as normas regulamentares e legais em vigor e conservados em segurança.

A presente Política aplica-se a todos os colaboradores do Grupo VASP, independentemente da natureza do respetivo vínculo. Neste sentido, quer os trabalhadores do Grupo VASP, quer outros prestadores de serviços, independentemente da natureza do vínculo, mas que sejam envolvidos em operações de Tratamento de Dados Pessoais pelas quais o Grupo VASP seja responsável, ficam vinculados ao cumprimento das regras e procedimentos aqui previstos, os quais lhes são comunicados.

II.Política de Privacidade - Aplicação

A presente Política aplica-se às operações de Tratamento de Dados Pessoais realizadas pelas empresas do Grupo VASP e pelas quais esta seja responsável, enquanto Responsável pelo Tratamento e/ou Entidade Subcontratante.

As regras e procedimentos referidos nesta Política podem ser objeto de concretização noutras políticas, processos ou normativos internos.

A presente Política é definida e aprovada pelo Conselho de Administração do Grupo VASP.

Sempre que necessário, o Grupo VASP procederá à alteração da presente Política, nomeadamente tendo em atenção a alterações legislativas ou regulamentares ou às

melhores práticas aplicáveis neste âmbito que o Grupo VASP deva observar. Quaisquer alterações serão aprovadas pelo Conselho de Administração do Grupo VASP.

III.Quem realiza operações de tratamento sobre os seus dados

No curso de suas atividades diárias, o Grupo VASP pode obter, tratar e armazenar Dados Pessoais.

De acordo com a legislação europeia e portuguesa em matéria de proteção de Dados Pessoais, os mesmos devem ser obtidos e tratados de forma justa, lícita e transparente.

O GRUPO VASP está empenhado em garantir que a sua equipa tem conhecimento adequado da legislação e das práticas de protecção de Dados Pessoais, a fim de poder antecipar e identificar quaisquer questões que possam surgir. Nessas circunstâncias, a equipa deve assegurar que o Responsável pelo Tratamento é informado, garantindo que as acções correctivas apropriadas são tomadas, de forma garantir os direitos, liberdades e garantias dos titulares dos dados.

O GRUPO VASP pode partilhar Dados Pessoais com Subcontratantes, desde que necessários para a normal prestação dos seus serviços, de acordo com as disposições legais e contratuais em vigor.

O acesso dos Subcontratantes aos Dados Pessoais no âmbito de operações nas quais o Grupo VASP é Responsável pelo Tratamento é regulado pelo contrato celebrado com os seus Subcontratantes.

Neste sentido, o Grupo VASP assegura contratualmente e verifica regularmente que os Subcontratantes são entidades fiáveis e oferecem as garantias de protecção adequadas, designadamente não lhes sendo transmitidos dados para além dos necessários à prestação do serviço contratado.

Igualmente no âmbito de operações nas quais o Grupo VASP é Responsável pelo Tratamento, o Grupo VASP pode ainda partilhar Dados Pessoais com outros Responsáveis pelo Tratamento, de forma a realizar as operações de tratamento necessárias para a prestação dos serviços contratados e nos termos das disposições legais em vigor. No âmbito da referida responsabilidade conjunta, o acordo em vigor entre as partes identifica de modo transparente, designadamente, as respectivas finalidades e responsabilidades no cumprimento da legislação de protecção de dados em vigor, garantindo e salvaguardando os direitos e liberdades dos titulares dos dados através do estabelecimento de canais de comunicação atinentes à resposta aos pedidos dos referidos titulares.

Independentemente da relação existente entre os Destinatários de Dados Pessoais, o Grupo VASP define, através de contrato formal e escrito, a delimitação das obrigações em matéria de Dados Pessoais, a finalidade específica ou os propósitos pelos quais estão envolvidos e a garantia de que os mesmos procedem às operações de Tratamento dos Dados Pessoais em conformidade com o disposto na legislação portuguesa e europeia de Protecção de Dados Pessoais.


IV. Com quem o Grupo VASP pode partilhar os dados:

•Prestadores de serviços de suporte informático, técnico e operacional;

•Clientes e/ou Fornecedores;

•Entidades que com o Grupo VASP se encontrem em relação de coligação societária, de participações recíprocas, de domínio ou de grupo;

•Órgãos Judiciais, órgãos de Polícia, Autoridades Administrativas, designadamente entidades públicas nacionais ou internacionais com função de supervisão e regulação.

V.O que o Grupo VASP faz com os dados

Na sua actividade, o Grupo VASP trata os dados pessoais de diversas categorias de titulares de dados.

Enquanto Responsável pelo Tratamento, o Grupo VASP garante que todos os Dados Pessoais:

•São obtidos para fins específicos, lícitos e claramente definidos - o titular dos dados tem o direito de questionar o (s) objectivo (s) para o (s) qual (quais) o Grupo VASP mantém os seus dados, e o Grupo VASP deverá, salvo as excepções previstas no RGPD, informar de forma clara quais os propósitos ou as finalidades do tratamento;

•São compatíveis com os propósitos para os quais foram obtidos;

•São conservados com medidas de segurança apropriadas, implementadas ou a implementar, para os proteger contra o acesso não autorizado, ou alteração, destruição ou divulgação;

•São mantidos de forma precisa, completa e actualizada, quando necessário;

•Não são recolhidos se forem excessivos;

•São mantidos apenas pelo tempo necessário.

Nestes termos os dados recolhidos serão tratados de acordo com as seguintes finalidades:

a) Dados de Clientes

O Grupo VASP realiza operações de tratamento relativamente aos Dados Pessoais dos seus Clientes para garantir o cumprimento de contratos acordados com os titulares dos dados ou com os Responsáveis pelo Tratamento Conjunto (relativamente aos dados e titulares de dados por estes recolhidos, como contrapartes, trabalhadores e outros). Os dados pessoais ora identificados e sujeitos a operações de Tratamento, encontram-se ao abrigo de uma situação de necessidade para a execução de um contrato ou para diligências pré-contratuais, ou para o cumprimento de obrigações jurídicas, sem prejuízo da eventual aplicação de outras situações legalmente previstas.

Os dados de Categoria Especial relativos a Clientes ou obtidos através de Clientes serão sujeitos a operações de tratamento, na medida em que sejam necessários à declaração, ao exercício ou à defesa de um direito num processo judicial, ou se o tratamento for

necessário por motivos de interesse público importante, designadamente em sede de prevenção de branqueamento de capitais e de financiamento do terrorismo, sem prejuízo da eventual aplicação de outras situações legalmente previstas.

O tratamento de Dados Pessoais de Clientes ou obtidos através de Clientes, relacionados com condenações penais e infracções ou com medidas de segurança conexas serão sempre objecto de garantias adequadas a salvaguardar os direitos e liberdades dos titulares dos dados, sendo as operações relevantes neste âmbito limitadas ao estrito cumprimento das obrigações jurídicas aplicáveis.

b) Dados de colaboradores e de candidatos a um posto de trabalho

No desenvolvimento da sua atividade, o Grupo VASP, tendo em vista as finalidades abaixo indicadas, trata dados pessoais de colaboradores ou candidatos em processos de recrutamento, como por exemplo, e sem limitar, nome, naturalidade, data de nascimento, morada, número de identificação fiscal, dados de pagamento, endereço de correio electrónico, contacto telefónico, entre outros.

A utilização dos dados facultados por estes titulares é feita sempre no contexto do vínculo contratual e para execução do contrato, salvo consentimento do titular relativamente a finalidades explícitas ou em casos em que haja lugar à aplicação de outro fundamento previsto em norma legal ou regulamentar.

Nalguns casos, por obrigação legal, o Grupo VASP deverá reter os dados destes titulares após o termo do vínculo contratual, caso em que o titular será, aquando da recolha, informado quanto aos períodos de conservação aplicáveis ou aos critérios segundo os quais os mesmos poderão ser identificados.

Na assinatura do contrato, os colaboradores deverão assinar um acordo de confidencialidade, comprometendo-se a não divulgar qualquer informação a que tenham acesso durante o vínculo contratual com as empresas do Grupo VASP, em especial Dados Pessoais de outros titulares, e a obedecer à presente Política, de acordo com os termos aplicáveis em cada momento em resultado de qualquer alteração que seja efetuada à mesma.

c) Dados de prestadores de serviços e outros titulares

Também no desenvolvimento da sua atividade, o Grupo VASP, tendo em vista as finalidades abaixo indicadas, trata dados pessoais de prestadores de serviços e de outros titulares, incluindo subcontratados e outros Fornecedores, como, por exemplo, e sem limitar: nome, morada, número de identificação fiscal, dados de pagamento, endereço de correio electrónico, contacto telefónico, entre outros.

Os colaboradores do Grupo VASP ou Subcontratados que, independentemente do vínculo contratual, lhe prestem serviços que impactem com Dados Pessoais dos demais titulares de dados estão também abrangidos pela presente Política.

A utilização dos dados facultados por estes titulares é feita sempre no contexto do vínculo contratual e para execução de um contrato, salvo consentimento do titular relativamente a

finalidades explícitas ou em casos em que haja lugar à aplicação de outro fundamento previsto em norma legal ou regulamentar.

Na assinatura do contrato, os prestadores de serviços deverão assinar um acordo de confidencialidade, comprometendo-se a não divulgar qualquer informação a que tenham acesso durante o vínculo contratual com qualquer empresa do Grupo VASP, em especial Dados Pessoais de outros titulares, e a obedecer à presente Política, de acordo com os termos aplicáveis em cada momento em resultado de qualquer alteração que seja efetuada à mesma.

Os restantes titulares de dados, nas relações que estabeleçam com o Grupo VASP, e na medida em que tais relações tenham impacto com Dados Pessoais de outros titulares estão igualmente abrangidos pela presente Política, de acordo com os termos aplicáveis em cada momento em resultado de qualquer alteração que seja efetuada à mesma, podendo ainda vir a outorgar os instrumentos jurídicos que sejam considerados adequados para a concretização da mesma.

VI. Direitos dos titulares dos dados

De acordo com os requisitos legais e regulamentares em matéria de proteção de dados pessoais, o Grupo VASP garante que os titulares dos dados podem exercer os direitos que legalmente lhes assistem e que a seguir se enumeram:

a)Direito de acesso e informação: o direito a obter informação sobre se os dados pessoais são tratados pelo Grupo VASP, bem como a aceder a tais dados e a de obter informação sobre a finalidade do seu tratamento, os destinatários ou categorias de destinatários dos dados e os respetivos prazos de conservação.;

b)Direito de retificação: o direito de requerer a retificação dos dados pessoais que não sejam exatos ou completos;

c)Direito de retirar o consentimento: o direito de retirar o consentimento que tenha sido prestado para o tratamento dos dados a qualquer momento, o que implica que os dados deixarão de ser tratados, a não ser que exista outro fundamento jurídico que legitime tal tratamento.

d)Direito de solicitar a limitação do tratamento dos dados: o direito, em determinados casos, de requerer que o tratamento dos dados seja limitado. A limitação do tratamento poderá resultar na suspensão total do tratamento ou a limitação do tratamento a certas categorias de dados ou finalidades de tratamento;

e)Direito à portabilidade dos dados: nos casos em que (i) o tratamento tenha por base o consentimento ou a execução de um contrato que tenha celebrado com o Grupo VASP e (ii) o tratamento seja realizado por meios automatizados, consiste no direito de receber os dados pessoais que lhe digam respeito e que tenham sido facultados à VASP, num formato estruturado, de uso corrente e de leitura automática, bem como o direito de os transmitir a outro responsável pelo tratamento, desde que tal seja tecnicamente possível.

f)Direito de oposição ao tratamento dos dados: em determinadas situações, como, por exemplo, quando o tratamento dos dados se legitime nos interesses

legítimos do Grupo VASP, consiste no direito de oposição a esse tratamento, por motivos relacionados com a situação específica do titular. Em caso de oposição, o tratamento cessará, a não ser que se verifiquem razões imperiosas e legítimas que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou que os dados sejam necessários para efeitos de declaração, exercício ou defesa de um direito num processo judicial. Quando os dados pessoais forem tratados para efeitos de marketing directo, o que inclui a definição de perfis para efeitos de publicidade e comercialização, também poderá ser deduzida oposição a esse tratamento;

g)Direito de solicitar o apagamento dos dados (“direito a ser esquecido”): em determinadas situações, o direito de solicitar a eliminação dos dados pessoais. Este direito pode ser limitado de acordo com o previsto no RGPD, nomeadamente, e sem limitar, nos casos em que o tratamento seja necessário para efeitos de declaração, exercício ou defesa de um direito num processo judicial;

h)Direito a não ser sujeito a nenhuma decisão tomada exclusivamente com base em tratamento automatizado: o direito de não ser sujeito a nenhuma decisão individual automatizada, isto é, tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produzam efeitos na esfera jurídica do titular dos dados ou que o afetem significativamente de forma similar, salvo se tais decisões (i) forem necessárias para a celebração ou a execução de um contrato entre o titular dos dados e o Grupo VASP, (ii) forem autorizadas pela legislação aplicável ou (iii) forem baseadas no consentimento do titular dos dados.

i)Direito de reclamação: direito de apresentar uma reclamação junto do Grupo VASP ou da Comissão Nacional de Proteção de Dados.

Para exercer os seus direitos em matéria de proteção de Dados Pessoais, os titulares de dados devem contactar o Grupo VASP através dos contactos indicados na presente Política.

O GRUPO VASP poderá, sempre que considere adequado, proceder à prévia verificação da identidade do requerente.

Os pedidos de exercício de direitos serão respondidos sem demora injustificada, no prazo máximo de um mês a contar da data de receção do pedido.

Perante uma elevada complexidade do pedido ou número de pedidos realizados, o período de resposta poderá ser prorrogado até dois meses.

Caso o período de resposta seja prorrogado, o Grupo VASP informará o titular dos dados, num prazo máximo de um mês após a data de receção do pedido, dos motivos do atraso na resposta ao pedido.

O GRUPO VASP procura responder a todos os pedidos, sendo os mesmos alvo de análise de forma a verificar se a sua satisfação se encontra em conformidade com os requisitos legais e regulamentares aplicáveis.

O titular dos dados poderá invocar o seu direito por um dos canais apresentados nos

contactos abaixo elencados.


VII. Recolha de informação por via de Cookies

O Grupo VASP recolhe automaticamente informações do computador de quem visita os seus Websites por via da utilização de Cookies.

Um cookie é um pequeno ficheiro de dados que é armazenado no disco rígido do computador. Os cookies são utilizados por quase todos os sites e não prejudicam o sistema do utilizador.

O Grupo VASP utiliza “cookies” para rastrear a actividade dos utilizadores dos seus sites a fim de poder assegurar que os mesmos obtêm uma experiência com o número mais reduzido possível de problemas quando visitam os referidos sites.

O Grupo VASP pode usar as informações dos cookies para assegurar que apresenta aos visitantes dos sites as opções adaptadas às suas preferências na visita seguinte. O Grupo VASP pode também usar cookies para analisar o tráfego e para fins publicitários.

Se o utilizador pretender verificar ou alterar o tipo de cookies que aceita, pode fazê-lo nas definições do seu web browser.

Caso o utilizador não pretenda receber cookies que não sejam estritamente necessários para executar funcionalidades básicas dos sites, pode optar pela auto-exclusão, alterando as definições do seu web browser.

Contudo, recusar todos os cookies significa que o utilizador poderá não ser capaz de usufruir plenamente de todas as funcionalidades dos sites do Grupo VASP. Cada web browser é diferente e, portanto, deve ser verificado no menu adequado de cada um deles o modo de o utilizador alterar as suas preferências de cookies.

VIII. Confidencialidade, conservação e medidas de segurança

Os dados pessoais são conservados pelo Grupo VASP no estrito cumprimento das normas regulamentares e legais aplicáveis, ou pelo período indispensável para a satisfação das finalidades que motivaram o seu tratamento.

O Grupo VASP procura cumprir com todas as obrigações legais, também no que diz respeito à conservação e atualização dos dados pessoais. O armazenamento e destruição dos Dados Pessoais são levados a cabo de maneira segura. Os Dados Pessoais recolhidos são os estritamente necessários e protegidos de perda, má utilização, acesso não autorizado ou exposição.

O Grupo VASP garante também a segurança dos Dados Pessoais e o cumprimento de todas as obrigações legais em caso de quebra de segurança. Para garantir a segurança dos Dados Pessoais, o Grupo VASP tem implementado um conjunto de medidas e procedimentos técnicos e tecnológicos adequados a tal propósito.

O Grupo VASP utilizará uma gama de controlos de segurança de dados, definida de acordo com as necessidades inerentes à sua atividade e com as políticas de segurança, e monitorizará ativamente esses controlos para detetar falhas ou violações, incluindo a revisão das autorizações de acesso a Dados Pessoais, próprios ou de terceiros, por parte dos titulares dos dados e dos colaboradores do Grupo VASP.


IX. Contactos

Contactos para invocação dos direitos dos titulares

Os pedidos de invocação de direitos poderão ser submetidos através de qualquer um dos seguintes meios de comunicação:

•E-mail: dpo@vasp.pt

•Morada: Distribuidora de Publicações, S.A., Media Logistics Park, Quinta do Grajal, Venda Seca, 2739-511 Agualva Cacém

O GRUPO VASP irá nomear um Encarregado de Protecção de Dados, de acordo com as melhores práticas na área, que poderá ser contactado através do e-mail: dpo@vasp.pt.