Proteção de Dados

Política de Privacidade

Cockpit

Nos últimos anos, a proteção dos dados pessoais tornou-se uma preocupação central no setor do turismo, refletindo-se igualmente na atuação da Gerência da nossa agência de viagens -UMA FAMILIA EM VIAGEM, LDA. Neste sentido, a implementação de um sistema de gestão da privacidade, assente em políticas rigorosas, na adoção de medidas de segurança adequadas e na transparência no tratamento dos dados dos nossos clientes, colaboradores e parceiros, revela-se essencial. Esta abordagem visa não apenas garantir o cumprimento das obrigações legais em matéria de proteção de dados, mas também, e sobretudo, fortalecer a relação de confiança com todos os nossos stakeholders.

1. Enquadramento

A presente Política de Proteção de Dados Pessoais ("Política") estabelece os princípios fundamentais a observar no tratamento e na proteção de dados pessoais pelos quais a nossa agência de viagens é responsável.

No exercício da sua atividade, a agência trata dados pessoais através de diversos meios técnicos e operacionais, com vista a assegurar o normal funcionamento dos seus serviços, nomeadamente na gestão de reservas, no planeamento de viagens e no apoio ao cliente. Para tal, a agência compromete-se a atuar em estrita conformidade com os princípios definidos na presente Política, com o disposto no Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados), na Lei n.º 58/2019, de 8 de agosto, bem como com toda a legislação nacional e europeia aplicável em matéria de proteção de dados.

Esta Política enquadra-se no Sistema de Gestão da Proteção de Dados Pessoais da agência, que constitui a estrutura normativa adotada para garantir a proteção dos dados pessoais, sendo complementada por um conjunto de normas e procedimentos específicos que regulam a segurança e a privacidade da informação tratada no âmbito da nossa atividade.

2. Objetivos

A Política de Proteção de Dados Pessoais define as diretrizes transversais para a adoção de práticas de segurança e salvaguarda dos dados pessoais, tendo como principais objetivos:

  • Assegurar o alinhamento da visão estratégica da agência de viagens com os regulamentos e a legislação vigente em matéria de proteção e segurança de dados pessoais;
  • Evidenciar de forma transparente as finalidades e as atividades de tratamento de dados levadas a cabo pela agência;
  • Salvaguardar os direitos dos titulares dos dados pessoais, promovendo o seu exercício efetivo;
  • Reforçar a eficácia dos mecanismos de proteção, resposta, notificação e comunicação em caso de eventuais violações de dados pessoais;
  • Fomentar a melhoria contínua dos processos relacionados com a gestão da segurança e proteção da informação;
  • Consolidar a relação de confiança e proximidade entre a agência e os seus clientes, colaboradores, parceiros e demais partes interessadas.

3. Âmbito de Aplicação

A presente Política aplica-se exclusivamente ao tratamento de dados pessoais realizado pela agência de viagens.

Embora esta Política defina as orientações gerais em matéria de proteção de dados pessoais, poderão ser adotadas políticas locais específicas para assegurar o cumprimento das exigências legais próprias de cada país ou jurisdição onde a agência desenvolva atividade. Estas políticas locais deverão, contudo, estar em consonância com os princípios estabelecidos na presente Política e, em caso algum, poderão proporcionar um nível de proteção inferior ao aqui previsto.

Para efeitos desta Política, considera-se dado pessoal qualquer informação relativa a uma pessoa singular identificada ou identificável (titular dos dados). Entende-se como identificável uma pessoa que possa ser reconhecida, direta ou indiretamente, nomeadamente através de um número de identificação ou com base em elementos específicos da sua identidade física, fisiológica, genética, mental, económica, cultural ou social.

A presente Política é de cumprimento obrigatório por todos os colaboradores e consultores da agência de viagens, cujas funções possam, direta ou indiretamente, interferir com o tratamento de dados pessoais.

Os colaboradores e os consultores devem conhecer e cumprir esta Política, bem como as demais normas, procedimentos e diretrizes que integram o Sistema de Gestão da Proteção de Dados Pessoais adotado pela agência, no qual assenta a estrutura de segurança e privacidade da informação.

4. Princípios gerais de proteção de dados pessoais

A utilização e proteção dos dados pessoais, que se encontrem sob responsabilidade da UFEV, devem seguir os seguintes princípios:

  • Tratamentos lícitos, leais e transparentes
    A UFEV, os seus colaboradores e consultores devem utilizar apenas os dados pessoais dos titulares para os quais exista uma base de licitude específica. As bases de licitude que suportam as atividades de tratamento da UFEV podem ser:
    • Consentimento do titular dos dados pessoais;
    • Execução de um contrato no qual o titular dos dados pessoais é parte;
    • Obrigação jurídica a que o responsável pelo tratamento está sujeito;
    • Defesa de interesses vitais do titular dos dados pessoais;
    • Exercício de funções de interesse público;
    • Interesses legítimos prosseguidos pela UFEV, exceto se prevalecerem os interesses ou direitos e liberdades do titular que exijam a proteção dos dados pessoais.
  • Finalidades determinadas, explícitas e legítimas
    O tratamento de dados pessoais, nomeadamente a sua recolha, deve estar limitado a finalidades de tratamento legítimas, explícitas e específicas.
    A UFEV, os seus colaboradores e consultores estão impedidos de utilizar dados pessoais para propósitos para os quais não exista uma base de licitude identificada e apropriada.
  • Tratamentos adequados, relevantes e não excessivos
    Durante as atividades de tratamento de dados pessoais, nomeadamente na sua recolha, deve ser seguido o princípio da minimização de dados. Isto significa que a UFEV deve tratar, e nomeadamente recolher, apenas os dados pessoais estritamente necessários à execução da finalidade em causa.
    O princípio da minimização também deve ser aplicado à partilha e outras atividades de tratamento de dados pessoais, nomeadamente às transferências internas ou externas, nas quais deve ser garantido o tratamento apenas dos dados pessoais estritamente necessários, sem que seja comprometido o correto desempenho da atividade.
  • Dados exatos e atualizados
    A UFEV, os seus colaboradores e consultores devem garantir que os dados pessoais que tratam são exatos e atuais. Para isso, devem ser postos em prática os processos adequados e razoáveis para garantir a exatidão, integridade, completude e adequação dos dados pessoais às finalidades, sempre que tal seja necessário.
  • Dados conservados durante o período necessário
    A UFEV deve definir o período de armazenamento dos dados pessoais estritamente necessário a cada finalidade.
  • Dados tratados de uma forma que garanta a sua segurança
    A UFEV deve desenvolver medidas de segurança adequadas, alinhadas com as melhores práticas nacionais e internacionais, de modo a proteger os dados pessoais sob a sua responsabilidade, incluindo a implementação de controlos tecnológicos, medidas administrativas, técnicas, físicas e procedimentos que garantam a proteção dos dados pessoais, impedindo a sua utilização indevida, o acesso e divulgação não autorizada, a sua perda, a sua alteração indevida ou inadvertida, ou a sua destruição não autorizada.

5. Direitos dos titulares de dados pessoais

A UFEV deverá disponibilizar aos titulares dos dados dos quais é responsável pelo tratamento os processos e ferramentas que permitam exercer, de forma atempada, os direitos que lhes são reconhecidos nos termos do Regulamento (UE) 2016/679, nomeadamente:

  • Informação ao titular de dados pessoais: A UFEV deve informar o titular dos dados pessoais sobre os dados que são recolhidos sobre si, as finalidades para as quais estes serão tratados e o respetivo fundamento jurídico, quais os prazos de conservação dos dados pessoais ou os critérios para definir tais prazos, quem é o responsável pelo tratamento, e o Encarregado de Proteção de Dados, quais as categorias de dados pessoais, quais os destinatários ou categorias de destinatários dos dados pessoais, quais os direitos dos quais goza o titular dos dados e se existem decisões automatizadas;
  • Acesso à informação: A UFEV deve disponibilizar meios adequados que permitam ao titular dos dados pessoais aceder aos dados pessoais que são mantidos sobre si, as finalidades de tratamento e categorias especiais de dados pessoais relacionados, as entidades com as quais os dados são partilhados e os períodos de retenção;
  • Retificação: A UFEV deve disponibilizar meios adequados que permitam ao titular dos dados retificar qualquer dado pessoal que esteja incorreto, bem como atualizar dados pessoais que tenham sido alterados;
  • Apagamento: A UFEV deve disponibilizar meios adequados que permitam ao titular dos dados pessoais solicitar o seu apagamento, uma vez garantida a identidade do titular dos dados, e informar o titular dos dados de que os mesmos foram apagados, salvo se exista algum requisito legal ou contratual que justifique a retenção dos dados pessoais;
  • Portabilidade: A UFEV deve disponibilizar meios adequados que permitam transmitir ao titular dos dados pessoais, os seus dados em formato estruturado, de uso corrente e de fácil leitura, desde que seja tecnicamente viável e os seus custos não sejam irrazoáveis;
  • Limitação do tratamento: A UFEV deve disponibilizar meios adequados que permitam ao titular dos dados pessoais limitar o tratamento dos seus dados na condição de se verificar a inexatidão dos mesmos ou caso o tratamento seja ilícito e o titular se opuser ao apagamento dos seus dados;
  • Oposição ao tratamento: A UFEV deve disponibilizar meios adequados que permitam ao titular dos dados pessoais opor-se ao tratamento para efeitos de comercialização direta, ao tratamento de dados pessoais para fins que não sejam aqueles para os quais foram recolhidos e aos tratamentos suportados nos interesses legítimos prosseguidos pela UFEV, a não ser que a UFEV os justifique em razões imperiosas e legítimas ou para efeitos de processo judicial;
  • Decisões individuais automatizadas: A UFEV deve disponibilizar meios adequados que permitam ao titular dos dados pessoais não ficar sujeito a decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, excetuando nos casos em que a base de licitude seja o consentimento ou a celebração ou execução de um contrato.

Os direitos acima referidos deverão serão encaminhados para o Encarregado de Proteção de Dados da UFEV, através do seguinte contacto dpo@familiaemviagem.com.

6. Orientações Gerais para o Tratamento e Proteção de Dados Pessoais

As orientações seguintes estabelecem os princípios orientadores para a operacionalização do tratamento de dados pessoais sob responsabilidade da agência de viagens, assegurando a sua proteção de forma eficaz e conforme com a legislação em vigor.

  • Registo das Atividades de Tratamento de Dados Pessoais
    A agência mantém um registo formal e atualizado de todas as atividades de tratamento de dados pessoais da sua responsabilidade. Estes registos estão documentados por escrito e poderão ser disponibilizados à autoridade de controlo competente, sempre que tal venha a ser solicitado.
  • Avaliação de Impacto sobre a Proteção de Dados
    Sempre que sejam desenvolvidos ou modificados processos de negócio ou sistemas que envolvam dados pessoais, a agência deve avaliar, consoante o risco identificado, a necessidade de realizar uma Avaliação de Impacto sobre a Proteção de Dados. Este exercício permite identificar potenciais riscos para os direitos dos titulares e definir as medidas de mitigação mais adequadas.
  • Disponibilização de Dados Pessoais a Terceiros
    A disponibilização de dados pessoais a entidades terceiras apenas ocorrerá quando existir fundamento legal ou necessidade operacional devidamente justificada, respeitando os princípios legais aplicáveis ao tratamento de dados.
  • Transferências Internacionais de Dados Pessoais
    Em caso de transferência de dados pessoais para países fora da União Europeia ou para organizações internacionais, a agência de viagens garante o cumprimento integral das disposições do Regulamento Geral sobre a Proteção de Dados. Tal inclui a verificação de decisões de adequação por parte da Comissão Europeia ou, na sua ausência, a implementação de garantias adequadas como cláusulas-tipo de proteção de dados, regras vinculativas aplicáveis às empresas, ou outros mecanismos aprovados pelas autoridades competentes.
  • Violação de Dados Pessoais
    A agência estabelecerá mecanismos eficazes de monitorização e controlo com vista à prevenção e deteção de eventuais violações de dados pessoais. Serão definidos e formalizados procedimentos de avaliação, reporte interno, decisão, resposta e comunicação de incidentes.
    Caso ocorra uma violação suscetível de representar um risco para os direitos e liberdades dos titulares dos dados, esta será comunicada à autoridade de controlo competente no prazo máximo de 72 horas após a sua deteção. Se tal comunicação não puder ser realizada dentro desse prazo, a mesma deverá ser acompanhada de uma justificação fundamentada para o atraso.

7. Medidas Técnicas, Organizativas e de Segurança Implementadas

Tendo em consideração a natureza, o âmbito, o contexto e as finalidades do tratamento de dados pessoais, bem como os riscos associados a esses tratamentos para os direitos e liberdades dos respetivos titulares, a agência de viagens compromete-se a adotar, tanto na fase de definição dos meios de tratamento como durante a sua execução, as medidas técnicas e organizativas apropriadas para assegurar a proteção dos dados pessoais e o cumprimento das obrigações legais aplicáveis.

Adicionalmente, a agência assegura que, por defeito, apenas são tratados os dados estritamente necessários para cada finalidade específica e que tais dados não são disponibilizados, sem intervenção humana, a um número indefinido de pessoas.

8. Contacto com a Autoridade de Controlo

Nos termos do Regulamento Geral sobre a Proteção de Dados (RGPD), a agência de viagens, enquanto entidade responsável pelo tratamento de dados pessoais, tem o dever de cooperar com a autoridade de controlo competente, nomeadamente com a Comissão Nacional de Proteção de Dados (CNPD), no caso das operações realizadas em Portugal.

A CNPD é a entidade responsável pela supervisão do cumprimento do RGPD, com a missão de salvaguardar os direitos e liberdades fundamentais das pessoas singulares no que respeita ao tratamento dos seus dados pessoais, bem como de garantir a livre circulação desses dados no espaço da União Europeia.

O Encarregado de Proteção de Dados (EPD) da agência é o ponto de contacto principal com a CNPD e atua como elo de ligação para quaisquer questões relacionadas com a proteção de dados.

9. Alterações à Política de Proteção de Dados Pessoais

A UFEV reserva-se ao direito de alterar a presente Política a todo o tempo.

10. Contactos

Para qualquer questão relacionada com a presente Política de Proteção de Dados Pessoais, contacte por favor o Encarregado de Proteção de Dados da UFEV através do seguinte endereço de correio eletrónico: dpo@familiaemviagem.

Ver Termos e Condições