DECLARAÇÃO COMPLETA CONFORME OS ART. 12, 13 E, SE NECESSÁRIO, 14 DO RGPD – REGULAMENTO (UE) 2016/679 SOBRE A PROTEÇÃO DE PESSOAS FÍSICAS, EM RELAÇÃO AO TRATAMENTO DE DADOS PESSOAIS (DORAVANTE RGPD)
O titular do tratamento apresenta, a seguir, a declaração, conforme os art. 12, 13 e, se necessário, 14 do RGPD relativo ao tratamento dos dados pessoais fornecidos pelo Cliente/parte interessada ao preencher e assinar o Contrato para adquirir os produtos/serviços vendidos pelo titular do tratamento, ao carregar espontaneamente neste site dados pessoais (nomeadamente ao preencher formulários) ou, simplesmente, ao navegar no site.
1. Titular do tratamento e dados de contacto
O titular do tratamento é B.S. IMPIANTI S.R.L., com sede em Cassana (Ferrara), Via Cesare Diana 7, Número IVA 01083450385, tel. +39 0532/732542, e-mail info@bsimpiantigroup.it, web www.bsimpiantigroup.it (doravante o Site).
2. Princípios aplicados ao tratamento
Conforme prescrito pelo RGPD, o titular do tratamento empenha-se constantemente para que os dados pessoais sejam:
- tratados de forma lícita, correta e transparente;
- recolhidos para finalidades determinadas, explícitas e legítimas e, sucessivamente, tratados de modo que não seja incompatível com tais finalidades;
- adequados, pertinentes e limitados ao que necessário em relação às finalidades para as quais são tratados;
- exatos e, se necessário, atualizados;
- conservados por um período de tempo não superior ao cumprimento das finalidades para as quais são tratados;
- tratados, adotando medidas técnicas e organizativas adequadas, de modo a garantir a sua segurança;
- tratados, segundo consenso, por decisão livremente tomada pelo Cliente/parte interessada, baseada em pedido apresentado de modo claramente distinto do restante, de forma compreensível e facilmente acessível, utilizando uma linguagem simples e clara.
O titular do tratamento adota medidas técnicas e organizativas adequadas para garantir a proteção dos dados pessoais desde o projeto e para garantir que sejam tratados, segundo una configuração predefinida, apenas os dados necessários para cada finalidade específica de tratamento.
O titular do tratamento recolhe e leva atentamente em consideração indicações, observações e opiniões do Cliente/parte interessada transmitidos aos endereços indicados acima para implementar um sistema de gestão de privacidade dinâmico, que garanta uma proteção efetiva das pessoas em relação ao tratamento dos seus dados.
Esta declaração pode ser modificada, de acordo com a evolução da normativa de referência e das medidas técnicas e organizativas adotadas pelo titular do tratamento; pedimos, portanto, que o Cliente/parte interessada visite periodicamente esta secção do Site para conhecer as atualizações e o texto em vigor da declaração.
3. Modalidades do tratamento dos dados pessoais
O tratamento dos dados pessoais é feito manualmente e com instrumentos eletrónicos, com lógicas estritamente relacionadas às finalidades indicadas a seguir e, em todo caso, de modo a garantir a segurança e a confidencialidade destes dados.
4. Finalidades do tratamento dos dados pessoais
(4a) Finalidades para as quais o tratamento dos dados é necessário
Os dados pessoais fornecidos pelo Cliente/parte interessada são principalmente tratados para a execução do Contrato e a gestão do crédito e, de maneira geral, da relação derivada do próprio Contrato.
O fornecimento dos dados no momento do Contrato ou, a seguir, durante a relação contratual, para as finalidades de tratamento indicadas, é obrigatório; portanto, o fornecimento negado, parcial ou inexato destes dados torna impossível estabelecer e/ou executar o Contrato e, para o Cliente/parte interessada, desfrutar dos produtos/serviços oferecidos pelo titular do tratamento, potencialmente expondo o Cliente/parte interessada à responsabilidade pela não execução do Contrato.
Os dados pessoais fornecidos pelo Cliente/parte interessada também podem ser tratados se necessário para cumprir uma obrigação legal à qual está sujeito o titular do tratamento, para salvaguardar os interesses vitais do Cliente/parte interessada ou de outra pessoa física, para executar uma tarefa de interesse público ou relacionada ao exercício de poderes públicos atribuídos ao titular do tratamento, para a prossecução do interesse legítimo do titular do tratamento ou de terceiros, desde que não prevaleçam os interesses ou os direitos e as liberdades fundamentais do Cliente/parte interessada; também nestes casos, fornecimento dos dados é obrigatório e, portanto, a comunicação negada, parcial ou inexata dos dados pode expor o Cliente/parte interessada às responsabilidades e sanções previstas pela legislação.
(4b) Ulteriores finalidades do tratamento após autorização específica e expressa do Cliente/parte interessada
Além das finalidades de tratamento acima, os dados pessoais fornecidos/adquiridos também podem ser tratados, após autorização do Cliente/parte interessada, que deve ser expressa selecionando a caixa <<Autorizar>> no Contrato ou no Site (ou utilizando outras aplicações sociais ou da internet do titular do tratamento), para a realização de pesquisas de mercado e para enviar comunicações comerciais e promocionais, mediante telefone (também usando o número de telemóvel fornecido) e sistemas de contacto automatizados (e-mail, sms, mms, fax, etc.), sobre produtos/serviços do titular do tratamento ou de empresas do Grupo ao qual possa pertencer o titular do tratamento.
A autorização para as finalidades de tratamento descritas no ponto (4b) é facultativa; portanto, se negada, os dados serão tratados apenas para as finalidades indicadas no ponto anterior (4a), exceto para o que especificado em relação aos interesses legítimos do titular do tratamento ou de terceiros.
5. Categorias de dados pessoais tratados
O titular do tratamento trata principalmente dados de identificação/contacto (nome, apelido, endereço, tipo e número de documentos de identificação, números de telefone, endereços de e-mail, documentos fiscais e de faturação e eventuais outros dados) e, se forem previstas transações comerciais, dados financeiros (de natureza bancária, especialmente de identificação de contas correntes, números de cartões de crédito e eventuais outros dados relacionados a estas transações comerciais).
O tratamento que o titular do tratamento realiza, tanto para a execução do Contrato quanto após expressa autorização do Cliente/parte interessada, não se refere, geralmente, a categorias especiais de dados pessoais, conhecidos como dados sensíveis (que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas, estado de saúde, orientação sexual, etc.), assim como dados genéticos e biométricos ou os chamados dados judiciários (relacionados a condenações penais e delitos).
Porém, não se pode excluir que o titular do tratamento, para executar as obrigações relacionadas ao Contrato, deva conservar e/ou precise tratar dados sensíveis, genéticos e biométricos ou judiciários do Cliente/parte interessada ou de terceiros possuídos pelo Cliente/parte interessada como titular do tratamento; neste caso, o tratamento realizado pelo titular do tratamento é feito segundo as condições e os limites relacionados à nomeação do próprio titular do tratamento como responsável pelo tratamento feito pelo Cliente/parte interessada.
O titular do tratamento trata, como titular do tratamento do Site e, potencialmente, como responsável pelo tratamento encarregado (nos termos indicados acima) pelo Cliente/parte interessada, os chamados dados de navegação. Os sistemas informáticos e os softwares dedicados ao funcionamento dos sites adquirem, no curso de seu normal exercício, alguns dados pessoais cuja transmissão é implícita no uso dos protocolos de comunicação de Internet. São informações que não são recolhidas para que sejam associadas a sujeitos identificados, mas que, por sua natureza, podem permitir identificar a parte interessada. Fazem parte desta categoria de informação os dados de geolocalização, endereços IP, tipo de navegador, sistema operativo, nome de domínio e endereços de sites a partir dos quais foi feito o acesso ou a saída, informações sobre as páginas visitadas pelo utilizador no site, hora de acesso, permanência em cada página, análise de percurso interno e outros parâmetros relacionados ao sistema operativo e ao ambiente informático do utilizador. São, portanto, informação que, por sua natureza, permitem, através de elaborações e associações com dados de terceiros, identificar os utilizadores.
Além disso, o Site pode usar cookies, quer de sessão (que não são memorizados no computador do utilizador e desaparecem ao fechar o navegador) quer persistentes, para a transmissão de informações de caráter pessoal ou de sistemas para a identificação das pessoas interessadas.
6. Fonte dos dados pessoais
Os dados pessoais do Cliente/parte interessada que o titular do tratamento trata são recolhidos diretamente pelo próprio titular do tratamento no momento da e durante a sua navegação no Site (ou utilizando outras aplicações sociais ou da lnternet do titular do tratamento) ou, mediante os próprios canais comerciais, durante ou após a assinatura do Contrato, durante a sua execução ou mediante fontes públicas.
Como indicado acima, o titular do tratamento, como responsável pelo tratamento encarregado, para executar as obrigações previstas pelo Contrato, pode conservar e/ou tratar dados, especialmente de navegação, potencialmente sensíveis, genéticos e biométricos ou judiciários de terceiros possuídos pelo Cliente/parte interessada enquanto titular do tratamento, adquiridos, prévia autorização destes terceiros, no momento da e durante a navegação destes terceiros no Site (ou utilizando outras aplicações sociais ou da Internet relacionadas ao titular do tratamento).
7. Interesses legítimos
Os interesses legítimos do titular do tratamento ou de terceiros podem constituir uma válida base jurídica do tratamento, desde que não prevaleçam os interesses ou direitos e as liberdades fundamentais da parte interessada. Em geral, estes interesses legítimos podem existir quando há uma relação pertinente e apropriada entre o titular do tratamento e a parte interessada, por exemplo quando a parte interessada é um cliente do titular. Constitui, especialmente, legítimo interesse do titular do tratamento tratar dados pessoais do Cliente/parte interessada: para prevenir fraudes, para finalidades de marketing direto, para assegurar a livre circulação destes dados dentro do Grupo empresarial ao qual possa pertencer o titular do tratamento, relacionados ao tráfico, a fim de garantir a segurança das redes e da informação, ou seja, a capacidade de uma rede ou de um sistema de resistir a eventuais imprevistos ou atos ilícitos que possam comprometer a disponibilidade, autenticidade, integridade e confidencialidade dos dados.
8. Circulação dos dados pessoais
(8a) Comunicação dos dados pessoais – categorias de destinatários
Além dos funcionários e colaboradores, a título diverso, do titular do tratamento (que são autorizados pelo titular do tratamento ao tratamento segundo instruções operativas adequadas por escrito que garantam a confidencialidade e segurança dos dados), algumas operações de tratamento também podem ser realizadas por terceiros, encarregados pelo titular do tratamento para que executem determinadas atividades, ou partes destas atividades, em função das finalidades descritas no ponto (4a), para a execução das obrigações contratuais e legais, entre as quais devem ser mencionadas, a título de exemplo inevitavelmente não exaustivo: parceiros comerciais e/ou técnicos; sociedades prestadoras de serviços bancários e financeiros; sociedades que executam serviços de arquivamento de documentos; sociedades de recuperação de créditos; sociedades de revisão de contas e certificação dos balanços; sociedades de rating; sujeitos que executam, a favor do titular do tratamento, atividades de assistência e consultoria profissional; sociedades que efetuam atividades de atendimento ao cliente; sociedades de factoring, de securitização de créditos ou, por outra razão, cessionárias dos créditos; sociedades do Grupo ao qual o titular do tratamento possa pertencer; sujeitos que fornecem informações comerciais; sociedades de serviços informáticos. Os sujeitos que pertencem às categorias indicadas acima tratam os dados pessoais enquanto autónomos titulares do tratamento, ou seja, enquanto responsáveis pelo tratamento em relação a operações de tratamento específicas previstas entre as prestações contratuais que tais sujeitos executam a favor/no interesse do titular do tratamento; aos responsáveis do tratamento, o titular do tratamento fornece instruções operativas adequadas por escrito, principalmente em relação à adoção das medidas mínimas de segurança, para poder garantir a confidencialidade e segurança dos dados.
Algumas operações de tratamento podem ser realizadas por terceiros, encarregados pelo titular do tratamento para que executem determinadas atividades, ou partes destas atividades, em função das finalidades descritas no ponto (4b), entre as quais devem ser mencionadas, a título de exemplo inevitavelmente não exaustivo: parceiros comerciais e/ou técnicos; sociedades institucionalmente prestadoras de serviços de marketing; agências de publicidade; sujeitos que efetuam atividades de assistência e consultoria para concursos e operações a prémio. Os sujeitos que pertencem às categorias indicadas acima tratam os dados pessoais enquanto autónomos titulares do tratamento, ou seja, enquanto responsáveis pelo tratamento em relação a operações de tratamento específicas previstas entre as prestações contratuais que tais sujeitos executam a favor/no interesse do titular do tratamento; aos responsáveis do tratamento, o titular do tratamento fornece instruções operativas adequadas por escrito, principalmente em relação à adoção das medidas mínimas de segurança, para poder garantir a confidencialidade e segurança dos dados.
A lista, sujeita a atualização periódica, dos responsáveis pelo tratamento encarregados pelo próprio titular do tratamento, está disponível, prévio pedido por escrito que deve ser enviado à sede do titular do tratamento.
Os dados pessoais também podem ser comunicados, se exigido, às autoridades competentes para o cumprimento de obrigações decorrentes de normas legais.
(8b) Transferência dos dados pessoais para países terceiros
Os dados pessoais do Cliente/parte interessada também podem ser transferidos ao estrangeiro, para países da União Europeia ou países fora da União Europeia e, neste último caso, segundo uma decisão de adequação, no quadro e com as garantias adequadas previstas pelo RGPD (portanto, nomeadamente, em caso de cláusulas contratuais de proteção dos dados aprovadas pela Comissão Europeia), ou, fora das hipóteses acima mencionadas, conforme uma ou mais das derrogações previstas pelo RGPD (nomeadamente, após autorização explícita do Cliente/parte interessada, para a execução do Contrato concluído pelo Cliente/parte interessada ou para a execução de um contrato estabelecido entre o titular do tratamento e uma outra pessoa física ou jurídica a favor do Cliente/parte interessada, nomeadamente para a execução de atividades solicitadas pelo próprio titular do tratamento para a execução do Contrato concluído com o Cliente/parte interessada). Em caso de transferência de dados para países fora da União Europeia, é permitido ao Cliente/parte interessada, prévio pedido por escrito que deve ser enviado à sede do titular do tratamento, conhecer as garantias adequadas, assim como as derrogações que tornam legítimo o tratamento no estrangeiro. Em caso de transferência de dados para países fora da União Europeia, entende-se que os pedidos relacionados aos dados, inclusive para o exercício dos direitos reconhecidos pelo RGPD ao Cliente/parte interessada, poderão sempre ser feitos diretamente ao titular do tratamento.
9. Critérios para determinar o período de conservação dos dados pessoais
Para as finalidades descritas no ponto (4a) anterior, o período de conservação dos dados pessoais fornecidos pelo Cliente/parte interessada e, portanto, o seu potencial tratamento, coincide com o período de prescrição dos direitos/deveres (legais, fiscais, etc.) que derivam do Contrato: tendencialmente 10 anos, portanto, exceto em caso de eventos que interrompam a prescrição e que possam prolongar este período.
Para as finalidades descritas no ponto (4b) anterior, o período de conservação dos dados fornecidos pelo Cliente/parte interessada e o seu potencial tratamento termina com a revogação da autorização previamente fornecida pelo próprio Cliente/parte interessada ou, se não realizada, um ano após a cessação de qualquer relação entre o titular do tratamento e o Cliente/parte interessada.
10. Direitos do Cliente/parte interessada
O titular do tratamento reconhece – e facilita o exercício por parte do Cliente/parte interessada de – todos os direitos previstos pelo
RGPD, nomeadamente o direito de solicitar o acesso aos próprios dados pessoais e receber cópia (art. 15 RGPD), de retificação (art. 16 RGPD) de cancelamento destes dados (art. 17 RGPD), de limitação do respetivo tratamento (art. 18 RGPD), de transferência dos dados (art. 20 RGPD, quando cumpridos os pressupostos) e de opor-se ao tratamento que lhe diz respeito (art. 21 e 22 RGPD, para os casos mencionados acima e, nomeadamente, para o tratamento para finalidades de marketing ou realizadas através de um processo de decisão automatizado, inclusa a criação de perfis, que possa ter efeitos jurídicos que lhe digam respeito, quando cumpridos os pressupostos).
Se o tratamento baseia-se em uma autorização, o titular do tratamento reconhece, ainda, ao Cliente/parte interessada, o direito de revogar esta autorização a qualquer momento, sem prejudicar a licitude do tratamento baseada na autorização fornecida antes da revogação. Para isso, o Cliente/parte interessada pode cancelar a inscrição a qualquer momento através do Site (ou outras aplicações sociais ou da lnternet do titular do tratamento), utilizando o link específico presente na parte inferior de qualquer comunicação comercial recebida ou entrando em contacto com o titular do tratamento nos endereços indicados acima.
O titular do tratamento informa, ainda, ao Cliente/parte interessada que tem o direito de efetuar uma reclamação à Autoridade de Proteção dos Dados Pessoais, a autoridade de controlo que opera em Itália, e o direito de efetuar uma ação judicial contra uma decisão desta Autoridade assim como contra o próprio titular do tratamento e/ou responsável pelo tratamento.
11. Segurança dos sistemas e dos dados pessoais
Levando em conta o estado da arte e os custos de implementação, assim como a natureza, o objeto, o contexto e as finalidades do tratamento, e também o risco, em termos de probabilidade e gravidade, para os direitos e as liberdades das pessoas físicas, o titular do tratamento adota medidas técnicas e organizativas consideradas apropriadas para garantir um nível de segurança adequado ao risco, nomeadamente assegurando, de modo permanente, a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento (inclusive através da criptografia dos dados pessoais, quando necessário) e a capacidade de restabelecer prontamente a disponibilidade dos dados em caso de acidente físico ou técnico, adotando, ainda, procedimentos internos finalizados a testar, verificar e avaliar regularmente a eficácia das medidas técnicas e organizativas empregadas.
Ao avaliar o nível de segurança adequado, são levados em conta os riscos relacionados ao tratamento que derivam, nomeadamente, da destruição, perda, modificação, difusão não autorizada ou acesso, acidental ou ilegal, aos dados pessoais transmitidos, conservados ou tratados.
O titular do tratamento opera para garantir que qualquer pessoa que atue sob sua autoridade e tenha acesso a dados pessoais não trate estes dados se não tenha recibo instruções em matéria do próprio titular do tratamento.
Dito isso, o Cliente/parte interessada reconhece e aceita que nenhum sistema de segurança garante, em termos de segurança, a proteção absoluta; portanto, o titular do tratamento não se responsabiliza por ações de terceiros que, abusivamente, apesar das medidas adequadas tomadas, possa aceder aos sistemas sem as devidas autorizações.
12. Processos de decisão automatizados, inclusa a criação de perfis
O titular do tratamento pode realizar tratamentos automatizados, inclusa a criação de perfis, em relação às finalidades descritas no ponto (4b) anterior, para otimizar a navegabilidade do Site (ou a usabilidade de outras aplicações sociais ou da Internet do titular do tratamento) e para melhorar a experiência de compra, salvo o que especificado em relação aos direitos de oposição e revogação da autorização por parte do Cliente/parte interessada.
Criação de perfis significa qualquer forma de tratamento automatizado de dados pessoais com a função de avaliar determinados aspetos relativos a uma pessoa física, nomeadamente para analisar ou prever aspetos relacionados, por exemplo, às preferências pessoais, os interesses ou a localização desta pessoa e também para criar perfis, ou seja, grupos homogéneos de sujeitos em termos de características, interesses ou comportamentos.
O titular do tratamento não efetua nenhum tratamento automatizado que possa ter efeitos jurídicos para o Cliente/parte interessada ou que possam ter um efeito significativo, de forma análoga, para a sua persona, salvo quando necessário para a conclusão ou execução do Contrato, quando autorizado pela legislação ou quando baseado em uma autorização explícita do Cliente/parte interessada e, em todo caso, reconhecendo-lhe sempre o direito de obter a intervenção humana, exprimir a sua opinião e contestar a decisão.