Política de Privacidade e Proteção de Dados Pessoais

OBJECTO
 
A RNA Seguros sempre se pautou pela total transparência e pelo total respeito pela privacidade, confidencialidade e proteção dos dados pessoais que trata no âmbito da sua atividade, pelo que vem agora reforçar a sua posição quanto a esta matéria.
 
A fim de dar cumprimento ao actual quadro normativo aplicável, nomeadamente, ao regime jurídico que resulta da aplicação do Regulamento Geral sobre a Proteção de Dados, a RNA Seguros desenvolveu e implementou um Sistema de Proteção de Dados Pessoais, com vista a garantir a conformidade normativa e a permitir demonstrar e evidenciar, dentro do princípio da auto-responsabilização, essa conformidade.
 
Com o presente documento, pretende a RNA Seguros proceder à definição, descrição e divulgação da utilização que faz dos dados pessoais sobre os quais realiza operações de tratamento, nomeadamente, no que concerne à categoria dos dados, de que forma e por que motivo são utilizados, a quem podem ser transferidos, e que medidas adotamos com vista a proteger a integridade, disponibilidade e confidencialidade dos mesmos.
 
Através da utilização de qualquer das nossas plataformas ou preencher qualquer dos nossos formulários, deverá ler e aceitar as presentes condições.
 
A RNA Seguros poderá, sempre que entenda ser necessário, rever e, eventualmente, atualizar a Política de Privacidade e Proteção de Dados Pessoais, sendo certo que em caso de atualização, será publicada no website a versão mais atual.
 
DEFINIÇÕES RELEVANTES
 
«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador. São considerados identificadores pessoais, por exemplo, um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
 
«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
 
«Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
 
«Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;
 
«Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;
 
«Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;
 
«Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;
 
«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;
 
«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
 
«Dados genéticos», os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;
 
«Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;
 
«Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;
 
 
ENTIDADE RESPONSÁVEL PELO TRATAMENTO DE DADOS
 
A entidade responsável pelo tratamento de dados é:
 
RNA Seguros de Assistência S.A., pessoa coletiva com o NIF 513 259 120, com sede na Alameda Fernão Lopes, 16, Piso 6, Miraflores
1495-190 Algés
, com o contato: comercial@rna.com.pt
 
 
CATEGORIAS DOS DADOS PESSOAIS
 
Na prossecução do exercício da sua atividade, a RNA Seguros procede a operações de tratamento de dados pessoais que são necessários para a disponibilização dos seus produtos e prestação dos seus serviços, designadamente, no momento em que subscreve um seguro, quando faz utilização das nossas plataformas, quando nos envia documentação necessária à resolução de um sinistro, ou quando nos contacta.
 
As categorias de dados que a RNA Seguros trata, nos termos acima referidos, poderão ser as seguintes:
Nome;
Morada;
Data de Nascimento;
Relação com o segurado, tomador ou beneficiário das garantias;
NIF;
Contato móvel;
Endereço eletrónico;
Apólice;
Matrícula;
Dados relativos à saúde, como sejam: condições médicas atuais, exames auxiliares de diagnóstico, relatórios médicos, relatórios de internamento, notas de alta, boletins de incapacidade, informação sobre condições clínicas anteriores, história clínica, informações sobre medicação habitual, informação sobre hábitos relevantes;
Dados bancários;
Habilitações académicas;
Dados biométricos;
Imagens em circuito de videovigilância;
Informação sobre o uso das nossas plataformas- nomeadamente: informação sobre visitas às nossas plataformas, informação recolhida por meio de cookies e outras tecnologias der rastreamento (como o endereço de IP ou o domínio), versão do navegador, dados de loalização, web logs.
Relativamente àqueles dados que possam integrar o conceito de categorias especiais de dados, a RNA Seguros apenas procederá a operações de tratamento mediante o consentimento expresso do titular, prestado por escrito ou por ato inequívoco positivo, salvo nos casos em que esteja em causa o cumprimento de uma obrigação legal, a proteção dos interesses vitais do titular ou um interesse público relevante.
 
PRINCÍPIOS JURÍDICOS
 
Todas as operações de tratamento de dados cumprem com os princípios jurídicos fundamentais no âmbito da proteção de dados e privacidade, designadamente:
 
Princípio da licitude:
Os dados pessoais serão tratados caso se verifique uma das seguintes condições de licitude: o titular dos dados tenha dado o seu consentimento, o mesmo seja necessário para a execução de um contrato, o cumprimento de uma obrigação legal, ou o prosseguimento de um interesse vital para o seu titular.
 
Princípio da Transparência:
As circunstâncias que presidem ao tratamento de dados pessoais são informadas aos respetivos titulares de forma clara e formuladas numa linguagem simples.
 
Princípio da Finalidade:
Os dados pessoais são tratados apenas para a/s finalidade/s a que se destina.
 
Princípio da Proporcionalidade: 
A RNA Seguros apenas tratará dos dados pessoais que sejam adequados, pertinentes e limitados ao necessário para os efeitos a que se destina o respetivo tratamento.
 
Princípio da Integridade e da Confidencialidade
Os dados pessoais serão tratados de forma a que se garanta a devida segurança e confidencialidade, pelo que serão devidamente protegidos contra o acesso e utilização por pessoas não autorizadas.
 
A RNA Seguros está disponível para demonstrar a sua responsabilidade perante o titular dos dados ou qualquer outra entidade terceira que tenha um interesse legítimo nesta matéria.
 
 
FINALIDADES DO TRATAMENTO e FUNDAMENTOS DE LICITUDE
 
Os dados pessoais tratados pela RNA Seguros visam prosseguir as finalidades que abaixo se descrevem e têm como fundamento de licitude aquele que se indica para cada uma das finalidades indicadas.
 
Finalidade Fundamentos de Licitude Prazo de conservação
Gestão do contrato, incluíndo diligências pré-contratuais  Diligências Pré-Contratuais e Execução de um Contrato, Consentimento do titular, Cumprimento de Obrigação Jurídica Prazo legal de prescrição
Gestão de Sinistros  Execução Contratual, Proteção de Interesses Vitais, Interesse Público Relevante, Consentimento do Titular, Cumprimento de Obrigação Jurídica Prazo legal de prescrição
Marketing Consentimento do Titular Até revogação do consentimento
Gestão de recursos humanos, incluindo recrutamento, processamento de remunerações, formação profissional, gestão de sanções disciplinares, medicina no trabalho; conrolo de horário e assiduidade; controlo de comunicações electrónicas, acessos à internet e chamadas telefónicas, gravação de voz. Diligências Pré-Contratuais e Execução de um Contrato,  Cumprimento de Obrigação Jurídica Prazo legal de prescrição
Cumprimento de Obrigações Legais , comunicação a autoridades, entidades de supervisão, regulamentares, Tribunais Cumprimento de Obrigação Jurídica, Interesses Legítimos, incluíndo prevenção e combate à fraude e exercício de direito de defesa em processo judicial Prazo legal de prescrição ou prazo aplicável a cada obrigação
 
 
 
DESTINATÁRIOS
 
No âmbito da sua atividade, a RNA Seguros pode transmitir os dados pessoais relativamente aos quais realiza operações de tratamento, nomeadamente às entidades que se seguem:
 
entidades prestadoras de várias tipologias;
parceiros de negócio;
 
autoridades de supervisão, regulação, judiciárias ou judiciais, nomeadamente, ASF, ATA, ACT, AdC, Tribunais, órgãos policiais;
organizações sectoriais, nomeadamente, APS.
 
A RNA Seguros garante que todos os seus fornecedores se encontram vinculados contratualmente a garantir as medidas técnicas e organizativas adequadas à segurança e confidencialidade dos dados que lhe sejam transmitidos pela RNA Seguros.
 
 
TRANSFERÊNCIAS INTERNACIONAIS
 
Os dados recolhidos e/ou tratados pela RNA Seguros  poderão, no âmbito da prossecução da sua atividade, ser transmitidos a Subcontratantes que não sejam Estado-membro da União Europeia.
 
Nessa circunstância, a RNA Seguros procura garantir contratualmente que todos os Subcontratantes internacionais adotam as medidas técnicas e organizativas adequadas à segurança e confidencialidade dos dados que lhe sejam transmitidos pela RNA Seguros, que sejam conformes ao disposto na Legislação relativa a Proteção de Dados.
 
 
DIREITOS DOS TITULARES DOS DADOS PESSOAIS
 
Os titulares dos dados pessoais podem exercer, em qualquer momento, os seus direitos de: 
acesso - o titular tem o direito de obter do Responsável do Tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, em caso afirmativo, de aceder aos seus dados e às informações relativas ao respetivo tratamento;
retificação - o titular tem o direito de obter, sem demora injustificada, do Responsável do Tratamento, a retificação dos dados pessoais inexatos que lhe digam respeito;
apagamento - o titular tem o direito de obter do Responsável do Tratamento o apagamento dos seus dados pessoais, salvo que existam interesses da parte do mesmo que justifiquem que o exercício deste direito não possa ser aplicável;
limitação - o titular tem o direito de obter do Responsável do Tratamento a limitação do tratamento, nas condições aplicáveis; 
portabilidade - o titular tem o direito de receber do Responsável do Tratamento os dados pessoais que lhe digam respeito em formato estruturado, e, inclusivamente, a pedir-lhe a transmissão dos mesmos directamente para outro responsável pelo tratamento, sempre que tal seja tecnicamente possível;
oposição - o titular tem o direito de se opor, a qualquer momento, e em determinadas condições, ao tratamento dos seus dados pessoais.
decisões automatizadas - o titular tem o direito a não ficar sujeito a decisões tomadas exclusivamente com base em tratamento automatizado, incluindo definição de perfis (Profiling), salvo em determinadas condições e com determninados fundamentos.
 
 
ENCARREGADO DE PROTEÇÃO DE DADOS
 
A RNA Seguros designou um Encarregado da Proteção de Dados com vista a dar resposta às manifestações do exercício dos direitos dos titulares.
Assim, cada pedido deve ser feito através de envio de mensagem de correio eletrónico, para o endereço abaixo indicado, descrevendo o assunto do pedido e indicando um endereço de correio eletrónico, um endereço de contacto telefónico ou um endereço de correspondência:
 
encarregado.protecao.dados@rnaseguros.com
 
O Encarregado da Proteção de Dados tem como função:
 
Informar, formar, sensibilizar e consciencializar de toda a estrutura no que concerne aos princípios inerentes do tratamento de dados pessoais e às obrigações que decorrem do quadro normativo aplicável, que inclui o RGPD e todas as disposições sobre a matéria da União ou dos Estados-membros;
Controlar a conformidade relativamente ao referido quadro normativo;
Prestar aconselhamento no que respeita à Avaliação de Impacto sobre a Proteção de Dados;
Cooperar com as autoridades de controlo;
Elabora os procedimentos e políticas com vista à operacionalização de todas as medidas necessárias ao correto cumprimento do quadro normativo aplicável;
 
A RNA Seguros garante que o EPD foi nomeado com base nas suas qualidades profissionais, em particular o seu conhecimento no domínio do Direito e relativamente às práticas em sede de Proteção de Dados e que exerce as suas funções com total independência e isenção.
Garante ainda que ao EPD são dados os recursos necessários para desenvolver as suas funções de forma adequada.
 
O EPD conta ainda com o apoio e auxílio dos outros departamentos que podem contribuir para assegurar o cumprimento do quadro normativo aplicável, nomeadamente:
 
Departamento de Sistemas e IT, Responsável pela Segurança da Informação- no que respeita às avaliações de risco, à monitorização contínua das medidas atinentes à Segurança da Informação, à comunicação de incidentes que possam configurar violação de dados pessoais, à execução das medidas técnicas e organizativas que permitam o cumprimento e conformidade com o RGPD, à execução das medidas necessárias ao cumprimento da manifestação de exercício dos direitos dos titulares;
Departamentos envolvidos na Implementação de Projetos, nomeadamente, Comercial, Marketing, Organização, Redes e Qualidade, no que respeita à avaliação do impato da entrada de cada negócio no que concerne às garantias dos titulares, disseminação de informação pelos parceiros de negócio, cumprimento do procedimento de contratação regulada, informação ao EPD de operações de tratamento que tenham origem em novos negócios.
 
 
DIREITO A APRESENTAR RECLAMAÇÃO JUNTO DE AUTORIDADE DE CONTROLO
 
Os titulares dos dados têm o direito de apresentar reclamação sobre o tratamento dos seus dados pessoais para a autoridade de controlo.
 
PRAZO DE CONSERVAÇÃO
 
Os dados pessoais serão objeto de conservação durante o período legalmente exigível, e nos termos da tabela acima.
 
 
MEDIDAS DE SEGURANÇA
 
Quer a RNA Seguros quer as entidades suas subcontratadas estão comprometidas relativamente à proteção dos seus dados, pelo que adotam diversas medidas de segurança de forma a proteger os dados pessoais contra a difusão, perda, uso indevido, alteração, tratamento ou acesso não autorizado, bem como contra qualquer outra forma de tratamento ilícito. 
 
COMUNICAÇÃO DE INCIDENTES
 
A RNA Seguros tem implementado um sistema de gestão de incidentes no âmbito da proteção de dados, privacidade e segurança da informação.