DATA PROTECTION NOTICE
Aviso de proteção de dados – Sistema de Report de Denúncias de Compliance
1. Informações gerais
a) Introdução
O presente Aviso de Proteção de Dados destina-se a informá-lo sobre o tratamento dos seus dados pessoais no âmbito da utilização do nosso Sistema de Report de Denúncias de Compliance, assim como dos seus direitos, em conformidade com o Regulamento Geral sobre a Proteção de Dados (“RGPD”) e demais legislação aplicável em matéria de proteção de dados relacionada com o presente tratamento.
b) Responsável pelo Tratamento de Dados Pessoais
No que diz respeito ao tratamento de dados efetuado no nosso Sistema de Report de Denúncias de Compliance, deve ser estabelecida uma distinção em termos de responsabilidade pela proteção dos dados:
Caso se trate de um Sistema de Report de Denúncias local de uma Empresa do Grupo (por favor, verificar os detalhes de contacto infra) pelo qual um trabalhador da própria Empresa é responsável, a respetiva Empresa do Grupo é, conjuntamente, responsável na aceção do Artigo 26.º do RGPD, juntamente com a METRO AG.
Caso se trate de um Sistema de Report de Denúncias local de uma Empresa do Grupo (por favor, verificar os detalhes de contacto infra), pelo qual um trabalhador de outra Empresa é responsável ("Empresa assistente"), a respetiva Empresa do Grupo é solidariamente responsável, nos termos do Artigo 26.º do RGPD, juntamente com a METRO AG e a respetiva Empresa Assistente.
Tratando-se do Sistema de Report Central de Denúncias Online ("Sistema de Denúncias"), a Empresa do Grupo afetada, para a qual a denúncia é feita é solidariamente responsável, nos termos do Artigo 26.º do RGPD, juntamente com a METRO AG.
A METRO AG é responsável pelo funcionamento do Sistema de Report de Denúncias e pela distribuição dos reportes recebidos através deste Sistema de Report de Denúncias às respetivas Empresas do Grupo. O Departamento de Compliance do Grupo, sediado na METRO AG, é responsável pela gestão e acompanhamento de todos os reportes de denúncias dentro do Grupo. A responsabilidade da METRO AG limita-se a este aspeto no que diz respeito às comunicações recebidas através dos Sistemas de Report de Denúncias locais, a menos que a própria METRO AG seja afetada pela denúncia no âmbito da sua atividade.
A Empresa de Assistência desempenha as tarefas do Sistema de Report de Denúncias local para a Empresa do respetivo Grupo e é responsável pelo tratamento de dados efetuado neste contexto. Por norma, a Empresa Assistente é a METRO AG.
A Empresa do Grupo visada pelo respetivo reporte é a Responsável pelo Tratamento e Processamento dos referidos reportes. Esta responsabilidade compreende, em particular, as medidas destinadas a colmatar uma eventual infração e a obrigação de informar a pessoa que apresentou a denúncia.
O endereço de contacto da METRO AG é Metro-Straße 1, 40235 Düsseldorf.
Os endereços de contacto das respetivas Empresas do Grupo podem ser consultados nos Avisos de Proteção de Dados nos Websites onde é publicado o respetivo Sistema de Report de Denúncias local.
Poderá consultar todas as informações gerais sobre o tratamento conjunto entre as entidades METRO em:
https://www.metroag.de/en/data-privacy/jointcontrol
c) Encarregado de Proteção de Dados
Poderá contactar os respetivos Encarregados de Proteção de Dados a qualquer momento através dos seguintes dados de contacto:
METRO AG, Encarregado de Proteção de Dados, Metro-Straße 1, 40235 Düsseldorf, E-Mail: datenschutz@metro.de
Os detalhes de contacto dos Encarregados de Proteção de Dados das respetivas Empresas do Grupo podem ser encontrados nos Avisos de Proteção de Dados nos Websites onde o respetivo Sistema de Report de Denúncias local é publicado.
2. Informações sobre o tratamento de dados pessoais
a) Finalidade e Fundamento Jurídico
Os Sistemas de Report de Denúncias têm como objetivo receber, processar e gerir de forma segura e confidencial as denúncias referentes a violações relacionadas com as regras de Compliance do Grupo METRO Company (METRO).
Sempre que uma Empresa do Grupo seja juridicamente obrigada a manter um Sistemas de Report de Denúncias, o tratamento dos dados pessoais que se seguem à denúncia baseia-se legalmente no Artigo 6.º, parágrafo 1, alínea c) do RGPD.
No que respeita ao tratamento de categorias especiais de dados pessoais, o fundamento jurídico adicional é o Artigo 9.º, parágrafo 2, alínea g) do RGPD ou a respetiva legislação nacional aplicável a categorias especiais de dados pessoais. Caso contrário, o tratamento de dados assenta no interesse legítimo das Empresas do Grupo em detetar e prevenir condutas incorretas e assim evitar danos à METRO, aos seus trabalhadores, colaboradores e clientes. Este tratamento baseia-se legalmente no Artigo 6.º, parágrafo 1, alínea f) do RGPD.
Se o tratamento de dados tiver como fundamento o consentimento, nomeadamente quando estamos perante a transferência de informações sobre a identidade do denunciante, o fundamento jurídico é o Artigo 6.º, parágrafo 1, alínea a) do RGPD ou - tratando-se de categorias especiais de dados pessoais - o Artigo 9.º, parágrafo 2, alínea a) e alínea g) do RGPD.
Eventualmente, pode ser necessário implementar medidas de acompanhamento individuais nas Empresas do Grupo para a execução ou cessação de relações de serviço ou de trabalho que têm como fundamento jurídico o Artigo 6.º, parágrafo 1, alínea b) do RGPD, assim como nas correspondentes disposições jurídicas nacionais.
b) Tipos de dados pessoais recolhidos
A utilização dos Sistemas de Report de Denúncias tem carácter voluntário. Ao enviar um reporte através dos Sistemas de Report de Denúncias, recolheremos os seguintes dados e informações pessoais:
- o seu nome, se optar por revelar a sua identidade,
- se está empregado na METRO, e
- os nomes das pessoas e outros dados pessoais das pessoas que menciona no seu reporte.
c) Tratamento confidencial das denúncias e respetivos destinatários
As denúncias recebidas são tratadas de forma confidencial por um pequeno grupo de trabalhadores do Departamento de Compliance da METRO, expressamente autorizados e com formação específica para o efeito. Os trabalhadores do Departamento de Compliance da METRO avaliarão o assunto e efetuarão qualquer investigação adicional exigida para o caso específico. Durante o tratamento de um reporte ou a realização de uma investigação particular, pode ser necessário partilhar os reportes com outros trabalhadores da METRO ou trabalhadores de outras Empresas do Grupo, por exemplo, se os reportes se referirem a incidentes noutras Empresas do Grupo. Estas últimas podem estar sediadas em países fora da União Europeia ou do Espaço Económico Europeu com diferentes normas relacionadas com a proteção de dados pessoais. Quando partilhamos os reportes, asseguramos sempre que a legislação em matéria de proteção de dados aplicável ao caso em concreto é cumprida. Todos aqueles que têm acesso aos dados têm a obrigação de manter a sua confidencialidade.
Somos obrigados legalmente a informar as pessoas implicadas de que recebemos uma denúncia que lhes diz respeito, a menos que isso ponha em causa a continuação das investigações sobre a denúncia. Ao fazê-lo, a sua identidade como denunciante não é revelada, na medida em que tal seja legalmente possível.
Mediante o seu consentimento, as informações dos reportes serão transmitidas a entidades externas; caso contrário, só serão transmitidas - na medida do permitido por lei - às autoridades de investigação e ação penal competentes ou, neste contexto, aos tribunais e advogados sujeitos a sigilo profissional.
d) Conservação
Os dados pessoais serão conservados durante o tempo necessário para esclarecer a situação e proceder a uma avaliação do reporte ou, caso exista um interesse legítimo da Empresa, ou tal seja legalmente exigido. Por norma, os dados serão conservados até três anos após a avaliação final do processo. Se necessidades especiais o indicarem, em determinados casos, o período de conservação pode ir até sete anos.
e) Segurança dos dados no Sistemas de Report de Denúncias
As comunicações entre o seu computador e o Sistema de Denúncias ocorrem através de uma ligação encriptada (SSL). O seu endereço IP não será armazenado durante a sua utilização do Sistema de Report de Denúncias. De modo a manter a ligação entre o seu computador e o Sistema de Report de Denúncias, é guardado um cookie no seu computador que contém apenas o ID da sessão (o chamado cookie nulo). Este cookie só é válido até ao final da sua sessão e expira quando fechar o seu browser. É possível criar uma “caixa de correio” no Sistema de Report de Denúncias que é protegida por um pseudónimo/nome de utilizador e palavra-passe escolhidos pelo utilizador. Isto permite-lhe enviar reportes ao trabalhador responsável da METRO, quer pelo nome, quer de forma anónima e segura. Este Sistema de Report de Denúncias só armazena dados dentro do próprio sistema, o que o torna particularmente seguro. Este Sistema de Report de Denúncias não constitui uma forma de comunicação normal por “correio eletrónico”.
Ao apresentar uma denúncia ou um aditamento, pode enviar simultaneamente anexos para o trabalhador responsável da METRO. Se pretender apresentar uma denúncia anónima, tenha em consideração os seguintes conselhos de segurança: Os ficheiros podem conter dados pessoais ocultos que podem comprometer o seu anonimato. Remova esses dados antes de os enviar. Se não conseguir remover esses dados ou não tiver a certeza de como o fazer, copie o texto do seu anexo para o texto do seu reporte ou envie o documento impresso anonimamente para o endereço indicado no rodapé, mencionando o número de referência que recebeu no final do processo de reporte.
O Sistema de Report de Denúncias é operado por uma empresa especializada, a Business Keeper AG, Bayreuther Str. 35, 10789 Berlim, na Alemanha, em nome da METRO. Os dados pessoais e as informações introduzidas no Sistema de Report de Denúncias são armazenados numa base de dados operada pela Business Keeper AG, num data center de alta segurança. Apenas a METRO tem acesso aos dados. A Business Keeper AG e outros terceiros não têm acesso aos dados. Este facto é assegurado no processo de certificação através de medidas técnicas e organizacionais exaustivas. Todos os dados são armazenados de forma encriptada com vários níveis de proteção por palavra-passe, de modo que o acesso seja limitado a um número muito reduzido de pessoas expressamente autorizadas pela METRO.
3. Os seus direitos
Como Titular dos Dados, poderá contactar o nosso Encarregado da Proteção de Dados em qualquer altura, enviando uma comunicação informal para os contactos mencionados supra no ponto 1, alínea c), de forma a exercer os seus direitos de acordo com o RGPD. Estes direitos são os seguintes
- O direito de receber informações sobre o tratamento de dados e uma cópia dos dados tratados (Direito de acesso, Artigo 15.º do RGPD);
- O direito de exigir a retificação de dados inexatos ou o preenchimento de dados incompletos (Direito de retificação, Artigo 16.º do RGPD);
- O direito de exigir o apagamento de dados pessoais e, se os dados pessoais tiverem sido tornados públicos, a informação de outros responsáveis pelo tratamento sobre o pedido de apagamento (Direito de apagamento, Artigo 17.º do RGPD);
- O direito de exigir a limitação do tratamento dos dados (Direito à limitação do tratamento, Artigo 18.º do RGPD);
- O direito de receber os dados pessoais relativos à pessoa em causa num formato estruturado, de uso corrente e de leitura automática e de solicitar a transmissão desses dados a outro Responsável pelo Tratamento (Direito de portabilidade dos dados, Artigo 20.º do RGPD);
- O direito de se opor ao tratamento de dados para que este cesse (Direito de oposição, Artigo 21.º do RGPD);
- O direito de retirar um consentimento dado em qualquer altura a fim de interromper um tratamento de dados que se baseia no seu consentimento. O direito de retirar o consentimento não afeta a legalidade do tratamento baseado no consentimento previamente concedido (Direito de retirada, Artigo 7.º do RGPD);
- O direito de apresentar uma queixa a uma Autoridade de Controlo se considerar que o tratamento de dados constitui uma infração ao RGPD (Direito de apresentar uma queixa a uma Autoridade de Controlo, Artigo 77.º do RGPD).
Se os seus dados pessoais forem tratados com fundamento em interesses legítimos nos termos do Artigo 6.º, parágrafo 1, alínea f) do RGPD, tem o direito de se opor ao tratamento dos seus dados pessoais nos termos do Artigo 21.º do RGPD, desde que existam motivos para o fazer decorrentes da sua situação particular. Se pretender exercer o seu direito de oposição, basta enviar uma mensagem de correio eletrónico para os contactos mencionados acima no ponto 1, alínea c).