Skip to Content
Go back
BAS-IP / MEMORANDO SOBRE A CONFORMIDADE NO TRATAMENTO DE DADOS PESSOAIS

Estamos empenhados em adotar práticas de proteção de dados sólidas e inovadoras, para que cada cliente possa confiar que os seus dados pessoais são tratados de forma segura e protegida.

A BAS-IP DISTRIBUTION LTD (Empresa ou BAS-IP) preparou este memorando para os nossos clientes relativamente à nossa conformidade com a legislação aplicável em matéria de proteção de dados, incluindo o Regulamento Geral sobre a Proteção de Dados do Reino Unido (UK GDPR) e o Regulamento Geral sobre a Proteção de Dados da UE (RGPD). Abaixo, iremos familiarizá-lo com as nossas atividades relativas ao cumprimento dos requisitos de proteção de dados pessoais.

DEFINIÇÕES

  • “UK GDPR” (Regulamento Geral sobre a Proteção de Dados do Reino Unido) significa o Regulamento Geral sobre a Proteção de Dados do Reino Unido, conforme incorporado na legislação do Reino Unido ao abrigo do Data Protection Act 2018 (Lei de Proteção de Dados de 2018), juntamente com outras leis aplicáveis do Reino Unido sobre proteção de dados e privacidade.
  • “RGPD” (GDPR) significa o Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679) e qualquer legislação relacionada de proteção de dados e privacidade aplicável na União Europeia e no Espaço Económico Europeu.
  • Dados pessoais (Personal data) significam qualquer informação relativa a uma pessoa singular identificada ou identificável.
  • Titular dos dados (Data subject) significa uma pessoa singular identificável, que pode ser identificada, direta ou indiretamente.
  • Responsável pelo tratamento (Controller) significa a pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que, isoladamente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais.
  • Subcontratante (Processor) significa uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trata dados pessoais em nome do responsável pelo tratamento.
  • Subsubcontratante (Subprocessor) significa uma pessoa singular ou coletiva, contratada por um subcontratante, que realiza o tratamento de dados pessoais em nome do responsável pelo tratamento.
  • Tratamento (Processing) significa qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

SOBRE A BAS-IP

A BAS-IP desenvolve e fabrica intercomunicadores IP, sistemas de controlo de acessos e sistemas de comunicação, sendo um ator líder neste campo. Poderá encontrar mais informações sobre as nossas atividades no site: https://bas-ip.com/.

No decurso das suas atividades, a Empresa pode recolher, aceder ou, de outra forma, tratar dados pessoais relativos a várias categorias de titulares de dados: clientes e utilizadores, colaboradores, contratantes e outros titulares de dados. Durante tal tratamento, a Empresa está empenhada em tomar todas as medidas necessárias e seguir as políticas, procedimentos e outra documentação relevantes sobre proteção de dados pessoais para tratar dados pessoais em conformidade com a lei aplicável e as melhores práticas.

Funções durante o tratamento de dados pessoais

A BAS-IP pode ter várias funções ao abrigo do UK GDPR e do RGPD:

  • Como responsável pelo tratamento, a Empresa determina as finalidades e os meios de tratamento dos dados pessoais enquanto, por exemplo, comunica com clientes e visitantes do website, realiza atividades de marketing que envolvem o tratamento de dados pessoais, etc.
  • Como subcontratante, a Empresa pode tratar dados pessoais seguindo as instruções do nosso cliente, atuando como responsável pelo tratamento ou em nome do respetivo responsável pelo tratamento.
  • Ao tratar dados pessoais como subcontratante, podemos envolver terceiros prestadores de serviços que atuarão como subsubcontratantes.
Ao tratar dados pessoais no âmbito da prestação de serviços aos seus clientes, a Empresa atua como subcontratante e cumpre os requisitos aplicáveis do UK GDPR e do RGPD, bem como as obrigações contratuais relevantes entre a Empresa e o cliente.

BAS-IP E PROTEÇÃO DE DADOS

A BAS-IP está empenhada em cumprir os mais elevados padrões de proteção de dados e a legislação aplicável sobre proteção de dados pessoais.

Todas as atividades que envolvem o tratamento de dados pessoais são conduzidas em conformidade com a documentação interna relativa à regulamentação do tratamento de dados pessoais.

A Empresa aplica as seguintes medidas de proteção de dados pessoais:

Revisão regular da documentação de proteção de dados pessoais e realização das alterações necessárias na nossa documentação e atividades

A revisão e atualização regular da documentação interna de proteção de dados pessoais é uma parte integrante da estratégia da Empresa para garantir a conformidade com os requisitos do UK GDPR, do RGPD e de outros atos regulamentares no domínio da proteção de dados pessoais.

A documentação interna relevante e as políticas e procedimentos adotados, nomeadamente no que diz respeito a pedidos dos titulares dos dados, notificação de violações de dados pessoais, avaliações de conformidade de terceiros envolvidos no tratamento de dados pessoais, etc., são periodicamente atualizados ou alterados conforme necessário, em particular em caso de alterações na legislação ou introdução de novas atividades de tratamento de dados pessoais.

Além disso, as atividades de tratamento de dados pessoais são registadas, o que inclui a manutenção de registos das atividades de tratamento de dados pessoais (RoPA), e, se necessário, é realizada uma avaliação de impacto sobre a proteção de dados (DPIA) e uma avaliação de interesse legítimo (LIA).

Assim, ao manter a sua documentação de proteção de dados pessoais atualizada, a Empresa garante um elevado nível de proteção de dados pessoais e a conformidade contínua com a legislação.

Conformidade com os requisitos para a proteção dos direitos dos titulares dos dados

A Política de Privacidade da Empresa, que está publicamente disponível no seu website, fornece aos clientes e outros titulares de dados informações sobre as finalidades para as quais os dados pessoais podem ser tratados, como e que dados pessoais específicos podem ser tratados, bem como informações sobre os seus direitos ao abrigo das leis aplicáveis de proteção de dados pessoais, incluindo como exercer esses direitos.

Além disso, a Empresa adotou um Procedimento de Pedidos e Reclamações, que contém o procedimento para responder aos pedidos dos titulares dos dados e os seus direitos de acordo com o UK GDPR e o RGPD.

A Empresa está empenhada em fornecer todo o apoio necessário ao cliente no contexto da resposta a pedidos de titulares de dados cujos dados são tratados pela Empresa como subcontratante, de acordo com as disposições do UK GDPR, do RGPD e as obrigações contratuais entre a Empresa e o cliente.

Conformidade com os melhores padrões e práticas de segurança técnica e organizacional

A Empresa implementou medidas técnicas e organizacionais para garantir a segurança dos dados pessoais. A documentação interna da Empresa define claramente as medidas técnicas e organizacionais utilizadas no tratamento de dados pessoais:

  • desenvolveu e adotou documentação que rege a segurança da informação, e também monitoriza continuamente os eventos de segurança da informação e garante uma resposta atempada a incidentes;
  • implementou salvaguardas para restringir o acesso a dados pessoais, como o controlo de acesso a dados pessoais, em particular através do uso de contas personalizadas, o controlo dos requisitos de comprimento e complexidade das palavras-passe de contas, e a proteção do acesso à rede para reduzir o risco de ataques de rede; a verificação da conformidade dos centros de dados físicos onde os dados são armazenados com os requisitos de segurança; autenticação multifator e autenticação do utilizador durante a autorização, bem como a configuração e aplicação de permissões de acesso a dados, a revisão regular dos direitos de acesso existentes, etc.;
  • utiliza tecnologias de encriptação ao armazenar e tratar dados pessoais usando tecnologias de cloud e estabelece requisitos para o uso de apenas protocolos criptográficos, algoritmos, cipher suites, chaves de encriptação e abordagens de gestão de chaves atualizados e robustos;
  • revê regularmente as cópias de segurança dos dados pessoais para determinar se o seu armazenamento cumpre os requisitos operacionais e as obrigações legais;
  • toma outras medidas de segurança organizacional, incluindo a implementação de uma política de separação de funções e responsabilidades, a atualização regular de políticas e procedimentos relevantes, a monitorização do desempenho de deveres e a demonstração de vontade de cooperar com as autoridades governamentais relevantes. As medidas de segurança do pessoal implementadas pela Empresa incluem verificações de antecedentes dos colaboradores em alguns casos, o aumento da consciencialização dos colaboradores sobre questões de segurança da informação e a monitorização dessa consciencialização, bem como a realização de programas de formação e desenvolvimento profissional;
  • monitoriza continuamente as alterações na legislação e implementa melhores práticas no domínio da proteção de dados pessoais em conformidade com os padrões de cibersegurança, diretrizes, recomendações das autoridades de controlo da proteção de dados pessoais e do Information Commissioner’s Office (ICO).

A Empresa cumpre todas as políticas e procedimentos para garantir a segurança da proteção de dados pessoais, verifica regularmente a sua relevância e garante uma revisão atempada.

Verificação regular de terceiros

Todos os terceiros envolvidos no tratamento de dados pessoais são verificados através de um procedimento interno regulamentado para avaliar a conformidade de terceiros. Em particular, tais verificações avaliam a disponibilidade de documentação relevante relativa ao tratamento de dados pessoais, bem como a disponibilidade e eficácia das medidas de segurança técnica e organizacional implementadas para proteger os dados pessoais contra acesso não autorizado, perda ou violações de integridade.

Transferências seguras de dados pessoais

Ao prestar serviços, a Empresa pode transferir dados pessoais para fora do Reino Unido, por exemplo, para os Estados Unidos e Ucrânia.

Para garantir a segurança e a conformidade com os requisitos legais para a transferência de dados pessoais, é realizada uma avaliação prévia. Além disso, a monitorização interna é realizada regularmente para garantir a conformidade dos requisitos e práticas legais dos Estados Unidos, Ucrânia e, se necessário, outros países para os quais os dados pessoais são transferidos, com os padrões e práticas de proteção de dados pessoais do Reino Unido e da UE. Além disso, as medidas de segurança tomadas pelos importadores de dados são minuciosamente verificadas, em particular através da assinatura da documentação relevante que rege a proteção de dados pessoais.

Quando a Empresa transfere dados pessoais sujeitos ao UK GDPR e/ou ao RGPD, celebra um Acordo de Tratamento de Dados (DPA) com os seus contratantes. Tais acordos incorporam os mecanismos de transferência apropriados, incluindo as Cláusulas Contratuais-Tipo da UE (SCCs) juntamente com o Aditamento do Reino Unido (UK Addendum), ou o Acordo Internacional de Transferência de Dados (IDTA).

Formação regular

A Empresa organiza regularmente formação para os seus colaboradores e contratantes sobre o cumprimento dos requisitos do UK GDPR e do RGPD, bem como sobre a proteção de dados pessoais. Os tópicos abordados na formação incluem, entre outros, os requisitos gerais do UK GDPR, do RGPD e de outras leis aplicáveis de proteção de dados pessoais, as funções no tratamento, os princípios do tratamento de dados pessoais, os fundamentos para o tratamento, a garantia dos direitos dos titulares dos dados e as questões de proteção de dados pessoais.

Além disso, a Empresa também adotou a documentação necessária e implementou medidas apropriadas para garantir a formação e a consciencialização dos colaboradores no domínio da proteção de dados.

OS NOSSOS CONTACTOS

Se tiver mais alguma questão sobre a proteção de dados pessoais na BAS-IP, contacte-nos por e-mail: [email protected].

Atenciosamente,

BAS-IP DISTRIBUTION LTD