Política de Privacidade
1. ENQUADRAMENTO
Nos dias que ocorrem, com a adesão imperiosa da Caixa Económica de Cabo Verde às TIC no âmbito do desenvolvimento das suas atividades, o tratamento de dados pessoais constitui incontornavelmente um fator critico para o sucesso dos processos de transformação e desenvolvimento da instituição. A Caixa Económica de Cabo Verde, prima na sua atuação enquanto responsável pelo tratamento de dados pessoais, pela aplicação das melhores praticas em matéria de tratamento de dados pessoais e pela salvaguarda dos direitos e das garantias fundamentais de cada uma das pessoas a quem os dados tratados pertencem.
A presente política de proteção de dados pessoais está alinhada a Lei 121/IX/2021 de 17 de março que estabelece o regime jurídico geral de proteção de dados pessoais das pessoas singulares.
A Política em análise visa, nomeadamente, reforçar a confidencialidade e reserva da vida privada dos titulares dos dados, pois os mesmos assumem uma relevância fundamental no contexto da salvaguarda dos direitos fundamentais dos cidadãos, reconhecidos pela Declaração Universal dos Direitos do Homem e pela Carta Africana dos Direitos do Homem e dos Povos.
O diploma acima referido representa um passo relevante para garantir uma adequação legal aos novos riscos relacionados com a proteção de dados pessoais, produzirá impactos significativo para a Caixa tanto a nível dos seus fornecedores como dos seus Clientes e Colaboradores, acrescendo as responsabilidades das partes envolvidas no processamento e controlo dos dados pessoais, quer sejam responsáveis pelo tratamento dos dados ou subcontratantes.
A conformidade com a Lei de proteção de dados materializa-se na oportunidade para a Caixa de proceder a um rigoroso exercício de auto- avaliação dos seus processos e procedimentos internos em matéria de tratamento dos dados de Colaboradores, Clientes e Fornecedores, prestando um serviço de qualidade aos Clientes.
2. DEFINIÇÕES
Para efeito do presente normativo, consideram-se as seguintes definições:
a) Dados Pessoais: qualquer informação, seja qual for a sua natureza ou suporte, incluindo imagem e som, relativa a uma pessoa singular identificada ou identificável (titular dos dados).
Os dados pessoais podem ainda distinguir-se entre:
a.1) identificadores - os que identificam a pessoa singular através do nome, fotografia, e-mail, número de telefone, morada, identificadores pessoais, endereço IP, identificadores dos dispositivos móveis, geo localização, identificação psicológica e genética, dados biométricos, identidade sociocultural, situação económica;
a.2) identificáveis - os que identificam a pessoa singular, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular, recolhidos pelo responsável pelo tratamento através de fichas de elementos informativos, formulários e contratos, quer nos canais presenciais e como nos não presenciais;
b) Consentimento do titular dos dados: qualquer manifestação de vontade, livre, específica e informada, nos termos da qual o titular aceita, mediante declaração ou ato positivo inequívoco, que os seus dados pessoais sejam objeto de tratamento;
c) Destinatário: a pessoa singular ou coletiva, a autoridade pública ou qualquer outro organismo a quem sejam comunicados os dados pessoais, independentemente de se tratar ou não de um terceiro com exceção das autoridades
públicas que recebem dados pessoais no âmbito de inquéritos específicos nos termos da lei, as quais não sendo destinatários, observam as regras de proteção de dados pessoais em função das finalidades do tratamento.
d) Ficheiro de dados pessoais: qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
e) Titulares dos dados: para efeito da presente norma, consideram-se titulares dos dados os colaboradores e clientes da Caixa e as outras pessoas singulares com quem a Caixa interage no âmbito da sua actividade, de que são exemplo, os clientes e os fornecedores;
f) Tratamento de dados pessoais: uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão bem como o bloqueio ou destruição bem como a realização de operações lógicas e/ou aritméticas sobre esses dados;
g) Colaboradores: todos aqueles que, a caixa prestem qualquer tipo de actividade, serviço ou trabalho, a título permanente ou ocasional, independentemente do tipo ou natureza de contrato ou do tipo e forma de vínculo, nomeadamente, os membros dos órgãos sociais, trabalhadores, estagiários e prestadores de serviços;
h) Responsável pelo tratamento: pessoa singular ou coletiva que determina as finalidades e os meios do tratamento de dados pessoais.
i) Subcontratante: pessoa singular ou coletiva que trata os dados pessoais por conta da caixa ou no contexto de prestação de serviços, formalizada através de contrato;
j) Violação de Dados Pessoais: violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
k) Autoridade de controlo: uma autoridade pública independente que, no caso de cabo verde é a comissão nacional de Proteção de Dados (CNPD), competindo-lhe fiscalizar a correta aplicação da legislação sobre proteção de dados pessoais.
l) Interconexão de dados: forma de tratamento de dados pessoais que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de outro (s) ficheiro (s), mantido (s) por outros (s) responsável (is) ou pelo mesmo responsável para outras finalidades.
m) Pseudonimização: o tratamento de dados pessoais de forma que deixem de poder ser atribuídos um titular dos dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular ou identificável.
3. OBJETO
A presente política estabelece os princípios, as regras legais e regulamentares, as normas de atuação e as boas práticas observadas pela Caixa, no tratamento de dados pessoais a que procedem no âmbito da sua atividade.
Em harmonia com o princípio da transparência, assinalam-se as finalidades do tratamento de dados pessoais, os deveres de informação a prestar aos respetivos titulares, os procedimentos relativos ao exercício dos direitos pelos titulares dos dados, as responsabilidades corporativas e organizacionais atribuídas no âmbito do tratamento de dados.
4. ÂMBITO DE APLICAÇÃO
A presente política de proteção de dados respeita a dados pessoais de pessoas singulares, tem natureza corporativa e é aplicável aos colaboradores da Caixa, seus clientes e fornecedores.
4.1 Âmbito de aplicação material
A presente Política aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.
4.2 Âmbito de aplicação territorial
A presente Política aplica-se ao tratamento de dados efetuado no contexto das atividades prosseguidas pela Caixa relativo a pessoas singulares que se encontrem no território nacional, independentemente de o tratamento ocorrer dentro ou fora do território por força do direito internacional.
Se o tratamento de dados for efetuado fora de Cabo verde, a presente Política aplica-se quando as atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a titulares de dados que se encontrem no território cabo-verdiano independentemente de estarem associados a um pagamento.
5. PRINCÍPIOS RELATIVOS AO TRATAMENTO DE DADOS PESSOAIS
5.1 O responsável pelo tratamento observa, quanto ao tratamento de dados a que procede, os seguintes princípios:
a) Licitude, lealdade e transparência: o tratamento de dados deve ser lícito, leal e transparente e respeitando o princípio da boa-fé;
b) Da finalidade determinada: o tratamento deve obedecer às finalidades determinadas, explícitas e legítimas, para as quais os dados foram recolhidos, não podendo ser tratados posteriormente de forma incompatível com elas);
c) Minimização dos dados: os dados tratados devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
d) Veracidade: os dados devem ser exatos e atualizados sempre que necessário devendo ser apagados ou retificados sem demora os dados inexatos ou incompletos tendo em conta as finalidades para que são tratados;
e) Limitação de conservação: os dados devem ser conservados apenas durante o período necessário para as finalidades para as quais são tratados.
f) Integridade e confidencialidade: os dados devem ser tratados de forma segura, garantindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas.
g) Responsabilidade: o responsável pelo tratamento de dados está obrigado a cumprir os princípios acima referidos, e tem de poder comprová-lo sempre que seja necessário perante as autoridades de controlo.
6. FUNDAMENTOS PARA O TRATAMENTO DE DADOS
Os dados pessoais são tratados para finalidades determinadas, explícitas e legítimas para as quais foram recolhidos, não podendo ser posteriormente tratados de forma incompatível com essas finalidades.
A CAIXA, enquanto responsável pelo tratamento, assegura aos titulares dos dados pessoais os respetivos deveres de informação
6.1 A CAIXA efetua o tratamento dos dados pessoais necessários para a celebração, execução e gestão de contratos, em que o titular dos dados é parte ou em diligências prévias efetuadas a pedido deste.
6.2 A Caixa efetua o tratamento de dados pessoais necessários para garantir o cumprimento das diversas obrigações legais, nacionais e internacionais a que está sujeita.
6.3 A CAIXA efetua o tratamento de dados pessoais necessários para salvaguarda dos seus interesses legítimos ou de terceiros.
6.4 A CAIXA pode efetuar outros tratamentos de dados pessoais quanto tiver obtido o consentimento prévio, inequívoca, livre, expresso e informado do titular dos dados salvo casos excecionais legalmente previstas cabendo à Caixa demostrar que o titular de os dados deu o seu consentimento para o tratamento dos dados.
6.5 O tratamento de dados pessoais de incapazes, quer em razão da idade quer em razão da anomalia psíquica, só é lícito se o consentimento for dado ou autorizado pelos respetivos representantes legais ou havendo suprimento legal do consentimento. O consentimento da criança só é validamente prestado quando tenha idade igual ou superior a dezasseis anos, sem prejuízo de disposição legal em contrário.
6.6 Caso o menor tenha idade inferior a dezasseis anos ou tratando-se de outra modalidade de incapacidade, o tratamento só é lícito se o consentimento for dado ou autorizado pelos respetivos representantes legais
7. DEVERES DE INFORMAÇÃO
7.1 Os deveres de informação sobre proteção de dados respeitam à obrigação de a Caixa ou representante prestar um conjunto de informações ao titular dos dados sobre as características do tratamento, nomeadamente:
a) Identidade e os contactos e endereço do responsável pelo tratamento ou seu representante;
b) os contactos do encarregado de proteção de dados;
C) as finalidades do tratamento a que os dados pessoais se destinam e o respetivo fundamento jurídico do tratamento;
d) as categorias de dados pessoais, de titulares de dados assim como o destinatários;
e) se são efetuadas transferências de dados para países terceiros ou organizações internacionais e, sendo caso disso, os instrumentos jurídicos ao abrigo dos quais se processam essas transferências;
f) prazo de conservação dos dados;
g) exercício de direitos dos titulares de dados.
h) o carater obrigatório ou facultativo da resposta, bem como as possíveis consequências se os dados não forem fornecidos;
i) o direito que lhe assiste de conhecer as condições de acesso, retificação, apagamento e oposição caso seja necessário;
j) a decisão de os seus dados serem utilizados por conta de terceiros, previamente e com a indicação expressa de que tem o direito de se opor a essa utilização.
7.2 Estes deveres cumprem-se através da divulgação permanente, no site da Caixa, da Política de Privacidade e de Proteção de Dados Pessoais, que tem como objetivo comunicar aos clientes de forma transparente para que finalidades determinadas, explícitas e legítimas os seus dados pessoais são recolhidos e tratados, a cada momento da relação estabelecida entre a Caixa e o titular dos dados, bem como o fundamento de licitude dos tratamentos necessários a que a Caixa procede.
7.3A Política de Cookies' e outras tecnologias de rastreio regula o tratamento de dados, incluindo dados pessoais dos utilizadores (“Utilizador” ou “Utilizadores”), recolhidos pela Caixa, no âmbito da utilização dos websites e aplicações da Caixa, através de cookies, tratando-se de política destinada também a assegurar os deveres de informação aos titulares dos dados.
7.4 Os deveres de informação aos titulares dos dados são também cumpridos através de:
a) condições gerais de abertura de conta, contratos de crédito e de prestação de serviços, em especial na cláusula que informa sobre os dados pessoais, as finalidades e fundamentos de licitude dos tratamentos de dados a que a Caixa procede no exercício da sua atividade;
b) em toda a documentação legal de suporte à atividade bancária e à prestação de serviços bancários celebrado com o titular dos dados, é igualmente cumprido o dever de informação.
7.5 Nos casos em que a Caixa recolha dados diretamente do titular, a informação é prestada em momento prévio à recolha.
7.6 Nos casos em que a Caixa recolha dados indiretamente, a informação deve ser prestada:
a) num prazo razoável após a obtenção dos dados pessoais, mas o mais tardar no prazo de um mês, tendo em conta as circunstâncias específicas em que estes forem tratados;
b) se os dados pessoais se destinarem a ser utilizados para fins de comunicação com o titular dos dados, o mais tardar no momento da primeira comunicação ao titular dos dados; ou,
c) se estiver prevista a divulgação dos dados pessoais a outro destinatário, o mais tardar aquando da primeira divulgação desses dados.
8 DIREITOS DOS TITULARES DOS DADOS
8.1 Mediante pedido escrito do titular dos dados, o responsável pelo tratamento assegura o exercício dos seguintes direitos:
a) Direito de acesso - solicitar informação se os seus dados pessoais são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos mesmos e às seguintes informações livremente, sem restrições sem custos excessivos e sem demoras:
a.1) as finalidades do tratamento dos dados;
a.2) as categorias dos dados pessoais em questão;
a.3) os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados, nomeadamente os destinatários — estabelecidos em países terceiros ou pertencentes a organizações Internacionais;
a.4) se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios usados para fixar esse prazo;
a.5) a existência do direito de solicitar a caixa a retificação, o apagamento ou a limitação do tratamento dos dados pessoais no que lhe respeita, ou do direito de se opor a esse tratamento;
a.6) o direito de apresentar reclamação á Comissão Nacional de Proteção de Dados;
a.7) se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a origem desses dados;
a.8) a existência de decisões automatizadas, incluindo a definição de perfis e informações úteis relativas à lógica subjacente bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
b) Direito de oposição - opor-se, a qualquer momento, ao tratamento dos seus dados pessoais, nomeadamente quando verifique que esse tratamento se destine a outra finalidade que não aquela para a qual os mesmos foram recolhidos e para que deu o seu consentimento;
c) Direito de retificação - obter, sem demora injustificada, a retificação ou a adição aos dados pessoais Inexatos que lhe digam respeito;
d) Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional;
e) Direito ao apagamento (direito a ser esquecido) - obter o apagamento ou a destruição dos seus dados pessoais, sem demora injustificada, desde que reúna os requisitos para o efeito, ou seja, já não tenha qualquer relação comercial com a Caixa e tenham decorridos os prazos legais de retenção da documentação a que está obrigada;
f) Direito à limitação do tratamento - obter a limitação do tratamento, se se aplicar uma das seguintes situações:
f.1) contestar a exatidão dos dados pessoais, durante um período que permita a caixa verificar a sua exatidão;
f.2) o tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização;
f.3) a Caixa já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
f.4) se se tiver oposto ao tratamento, até se verificar que os motivos legítimos do BOGA prevalecem sobre os do titular dos dados.
g) Direito à portabilidade - receber os dados pessoais que lhe digam respeito e que tenha fornecido aa Caixa, sempre que possível, num formato estruturado, de uso corrente e de leitura automática e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o possa impedir.
8.2 O responsável pelo tratamento de dados transmite e informa, de forma transparente, quais os procedimentos e meios disponíveis para o exercício dos direitos pelos titulares dos dados.
8.3 As informações solicitadas devem ser prestadas de forma concisa, transparente, inteligível e de fácil acesso, utilizando para o efeito uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças.
8.4 O responsável pelo tratamento, presta as informações, por escrito ou por outros meios, incluindo, se for caso disso, por meios eletrónicos. Se o titular dos dados o solicitar, a informação pode ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.
8.5 O pedido do titular dos dados pode ser recusado pelo responsável pelo tratamento, caso demonstre não estar em condições de identificar o titular dos dados.
8.6 O pedido do titular dos dados deve ser respondido sem demora injustificada e no prazo de um mês a contar da data de receção.
8.7 Esse prazo pode ser prorrogado até dois meses, quando for necessário, tendo em conta a complexidade do pedido e o número de pedidos, devendo o responsável pelo tratamento informar o titular dos dados os motivos da demora no prazo de um mês a contar da data de receção do pedido.
8.8 Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida por meios eletrónicos, salvo pedido em contrário do titular.
8.9 O responsável pelo tratamento, presta as informações e as medidas tomadas a título gratuito. Caso os pedidos apresentados pelo titular dos dados sejam manifestamente infundados ou excessivos, nomeadamente devido ao seu carácter repetitivo, (a comprovar pelo responsável pelo tratamento) deve-se adotar-se o seguinte procedimento:
a) Exigir o pagamento de uma taxa/comissão razoável, tendo em conta os custos administrativos do fornecimento das informações ou da comunicação ou de tomada das medidas solicitadas;
b) Recusar o pedido;
c) Havendo dúvidas razoáveis quanto à identidade do titular dos dados, o responsável pelo tratamento pode solicitar que lhe sejam fornecidas informações adicionais que permitam a sua identificação.
8.10. Quando os titulares dos dados sejam pessoas incapazes, os direitos previstos nas alíneas anteriores são exercidos por intermédio dos respetivos representantes legais. Os direitos de acesso, retificação e apagamento dos dados pessoais das pessoas falecidas podem ser exercidos por quem a pessoa falecida haja designado para o efeito ou, na sua falta, pelos respetivos herdeiros.
9 OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO DE DADOS
9.1 Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento cumpre os requisitos legais aplicáveis.
As medidas são revistas e atualizadas consoante as necessidades, incluindo a aplicação de políticas adequadas em matéria de proteção de dados.
9.2 Tanto no momento de definição dos meios de tratamento de dados como no momento do próprio tratamento, o responsável pelo tratamento adota as medidas técnicas e organizativas adequadas, como a pseudonimização destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização e a inclusão das garantias necessárias para assegurar a conformidade legal.
9.3São aplicadas medidas técnicas e organizativas com vista a assegurar que, por defeito, só sejam tratados os dados pessoais necessários para cada finalidade específica do tratamento.
9.4 A Caixa (enquanto responsável pelo tratamento) garante adequados níveis de segurança e de proteção dos dados pessoais dos titulares dos dados. Para o efeito, adota diversas medidas de segurança de carácter técnico e organizativo, de forma a proteger os dados pessoais contra a sua perda, difusão, alteração, tratamento ou acesso não autorizados, bem como contra qualquer outra forma de tratamento ilícito ou não autorizado.
9.5 O responsável pelo tratamento conserva e mantém atualizado um registo de todas as atividades de tratamento sob a sua responsabilidade, devendo constar do mesmo as seguintes informações:
a) O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;
b) As finalidades do tratamento dos dados;
c) A descrição das categorias de titulares de dados e das categorias de dados pessoais;
d) As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
e) Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais, devendo obedecer a regras específicas, só poderão ocorrer se estiverem preenchidos determinados requisitos legais;
f) Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;
g) Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como OS riscos de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:
g.1) a pseudonimização e a cifragem dos dados pessoais;
g.2) a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
g.3) a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;
g.4) um processo para testar, apreciar e avaliar regularmente a eficácia das referidas medidas, para garantir a segurança do tratamento;
g.5) ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas e à divulgação ou ao acesso não autorizado de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
10 RESPONSABILIDADES SOBRE A GESTÃO DA PROTEÇÃO DE DADOS
10.1 O Conselho de Administração como órgão de gestão de topo, é responsável pelo cumprimento da legislação relativa à proteção de dados pessoais, cabendo-lhe, fomentar uma cultura organizacional de proteção e dados na Caixa.
11 PRINCÍPIOS E REGRAS DE ATUAÇÃO NO TRATAMENTO DE DADOS A OBSERVAR PELOS COLABORADORES
11.1 Os Colaboradores, incluindo os prestadores de serviços, que procedam ao tratamento de dados pessoais devem pautar a sua atividade pelo estrito cumprimento das disposições legais e regulamentares aplicáveis, bem como de todo o normativo interno relevante em matéria de proteção de dados, destacando-se, em particular, o código de conduta e o conjunto de normativos relativos à Segurança da Informação, incluindo, entre outros, a política global de segurança da informação.
11.2 Em particular, destaca-se a obrigação de os colaboradores e prestadores de serviços reportarem internamente, logo que dela tenham conhecimento e pelos meios institucionais definidos para o efeito, qualquer situação que configure uma violação de dados pessoais.
12 SUBCONTRATANTES
12.1 Quando o responsável pelo tratamento recorrer a subcontratante(s), deve assegurar-se que estes oferecem garantias suficientes, especialmente em termos de conhecimentos especializados, fiabilidade e recursos, quanto à execução de medidas técnicas e organizativas que cumpram os requisitos legais em matéria de proteção de dados, nomeadamente no que se refere à segurança do tratamento, bem como de todos os requisitos da regulação bancária aplicável à atividade da Caixa.
12.2 O responsável pelo tratamento deve reservar-se, no contrato que formaliza a relação com o subcontratante (Acordo de Tratamento de Dados), o direito de lhe dar instruções relativas ao tratamento dos dados, bem como de realizar auditorias, incluindo por entidades terceiras, para garantir que o subcontratante cumpre pontualmente o contrato e todas as suas obrigações legais, designadamente no que respeita à conservação de registos de atividades de tratamento.
12.3 O subcontratante presta ao responsável pelo tratamento toda a colaboração necessária, nomeadamente para resposta ao exercício de direitos dos titulares de dados e nas situações de violação de dados pessoais, dentro dos prazos legais para o efeito.
13 TRANSFERÊNCIAS DE DADOS PARA PAÍSES TERCEIROS
13.1 Qualquer transferência de dados pessoais que sejam ou venham a ser objeto de tratamento, após transferência para um país terceiro, só pode ser realizada se for assegurado que não é comprometido o nível de proteção das pessoas singulares garantido pela legislação nacional.
13.2 A transferência de dados pessoais de Clientes para fora de Cabo Verde só ocorre mediante uma autorização expressa do titular dos dados, quando tal seja necessário para a execução de ordens ou pedidos transmitidos aa Caixa ou por exigência legal.
13.3 Caso recorra a prestadores de serviços financeiros de países fora de Cabo Verde a Caixa apenas recorre a entidades que cumprem as obrigações legais em matéria de proteção de dados.
14 RELACIONAMENTO COM A COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS (CNPD)
O responsável pelo tratamento deve pautar a sua relação com a CNPD, pelos princípios da cordialidade, lealdade e disponibilidade, prestando toda a colaboração que lhe seja solicitada no exercício das atribuições legalmente assinaladas, enquanto autoridade de controlo.
15 AVALIAÇÃO PERIÓDICA
A presente Política será objeto de revisão anual ou sempre que se verifiquem alterações internas e/ou externas com impactos importantes sobre a mesma.
16 CUMPRIMENTO DA POLÍTICA DE PROTEÇÃO DE DADOS
16.1 A presente política é parte integrante do sistema de normas da Caixa e o seu não cumprimento pelos colaboradores é suscetível de constituir infração disciplinar, sem prejuízo da responsabilidade civil, contraordenacional ou criminal, a que possa dar lugar.
16.2 A observância destas regras não exonera os colaboradores da Caixa do conhecimento e do cumprimento das outras normas internas e das disposições legais e regulamentares aplicáveis, bem como dos princípios éticos observados pela Instituição e ainda do disposto no código de conduta da Caixa.
Caixa Económica de Cabo Verde
Nos dias que ocorrem, com a adesão imperiosa da Caixa Económica de Cabo Verde às TIC no âmbito do desenvolvimento das suas atividades, o tratamento de dados pessoais constitui incontornavelmente um fator critico para o sucesso dos processos de transformação e desenvolvimento da instituição. A Caixa Económica de Cabo Verde, prima na sua atuação enquanto responsável pelo tratamento de dados pessoais, pela aplicação das melhores praticas em matéria de tratamento de dados pessoais e pela salvaguarda dos direitos e das garantias fundamentais de cada uma das pessoas a quem os dados tratados pertencem.
A presente política de proteção de dados pessoais está alinhada a Lei 121/IX/2021 de 17 de março que estabelece o regime jurídico geral de proteção de dados pessoais das pessoas singulares.
A Política em análise visa, nomeadamente, reforçar a confidencialidade e reserva da vida privada dos titulares dos dados, pois os mesmos assumem uma relevância fundamental no contexto da salvaguarda dos direitos fundamentais dos cidadãos, reconhecidos pela Declaração Universal dos Direitos do Homem e pela Carta Africana dos Direitos do Homem e dos Povos.
O diploma acima referido representa um passo relevante para garantir uma adequação legal aos novos riscos relacionados com a proteção de dados pessoais, produzirá impactos significativo para a Caixa tanto a nível dos seus fornecedores como dos seus Clientes e Colaboradores, acrescendo as responsabilidades das partes envolvidas no processamento e controlo dos dados pessoais, quer sejam responsáveis pelo tratamento dos dados ou subcontratantes.
A conformidade com a Lei de proteção de dados materializa-se na oportunidade para a Caixa de proceder a um rigoroso exercício de auto- avaliação dos seus processos e procedimentos internos em matéria de tratamento dos dados de Colaboradores, Clientes e Fornecedores, prestando um serviço de qualidade aos Clientes.
2. DEFINIÇÕES
Para efeito do presente normativo, consideram-se as seguintes definições:
a) Dados Pessoais: qualquer informação, seja qual for a sua natureza ou suporte, incluindo imagem e som, relativa a uma pessoa singular identificada ou identificável (titular dos dados).
Os dados pessoais podem ainda distinguir-se entre:
a.1) identificadores - os que identificam a pessoa singular através do nome, fotografia, e-mail, número de telefone, morada, identificadores pessoais, endereço IP, identificadores dos dispositivos móveis, geo localização, identificação psicológica e genética, dados biométricos, identidade sociocultural, situação económica;
a.2) identificáveis - os que identificam a pessoa singular, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular, recolhidos pelo responsável pelo tratamento através de fichas de elementos informativos, formulários e contratos, quer nos canais presenciais e como nos não presenciais;
b) Consentimento do titular dos dados: qualquer manifestação de vontade, livre, específica e informada, nos termos da qual o titular aceita, mediante declaração ou ato positivo inequívoco, que os seus dados pessoais sejam objeto de tratamento;
c) Destinatário: a pessoa singular ou coletiva, a autoridade pública ou qualquer outro organismo a quem sejam comunicados os dados pessoais, independentemente de se tratar ou não de um terceiro com exceção das autoridades
públicas que recebem dados pessoais no âmbito de inquéritos específicos nos termos da lei, as quais não sendo destinatários, observam as regras de proteção de dados pessoais em função das finalidades do tratamento.
d) Ficheiro de dados pessoais: qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
e) Titulares dos dados: para efeito da presente norma, consideram-se titulares dos dados os colaboradores e clientes da Caixa e as outras pessoas singulares com quem a Caixa interage no âmbito da sua actividade, de que são exemplo, os clientes e os fornecedores;
f) Tratamento de dados pessoais: uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão bem como o bloqueio ou destruição bem como a realização de operações lógicas e/ou aritméticas sobre esses dados;
g) Colaboradores: todos aqueles que, a caixa prestem qualquer tipo de actividade, serviço ou trabalho, a título permanente ou ocasional, independentemente do tipo ou natureza de contrato ou do tipo e forma de vínculo, nomeadamente, os membros dos órgãos sociais, trabalhadores, estagiários e prestadores de serviços;
h) Responsável pelo tratamento: pessoa singular ou coletiva que determina as finalidades e os meios do tratamento de dados pessoais.
i) Subcontratante: pessoa singular ou coletiva que trata os dados pessoais por conta da caixa ou no contexto de prestação de serviços, formalizada através de contrato;
j) Violação de Dados Pessoais: violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
k) Autoridade de controlo: uma autoridade pública independente que, no caso de cabo verde é a comissão nacional de Proteção de Dados (CNPD), competindo-lhe fiscalizar a correta aplicação da legislação sobre proteção de dados pessoais.
l) Interconexão de dados: forma de tratamento de dados pessoais que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de outro (s) ficheiro (s), mantido (s) por outros (s) responsável (is) ou pelo mesmo responsável para outras finalidades.
m) Pseudonimização: o tratamento de dados pessoais de forma que deixem de poder ser atribuídos um titular dos dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular ou identificável.
3. OBJETO
A presente política estabelece os princípios, as regras legais e regulamentares, as normas de atuação e as boas práticas observadas pela Caixa, no tratamento de dados pessoais a que procedem no âmbito da sua atividade.
Em harmonia com o princípio da transparência, assinalam-se as finalidades do tratamento de dados pessoais, os deveres de informação a prestar aos respetivos titulares, os procedimentos relativos ao exercício dos direitos pelos titulares dos dados, as responsabilidades corporativas e organizacionais atribuídas no âmbito do tratamento de dados.
4. ÂMBITO DE APLICAÇÃO
A presente política de proteção de dados respeita a dados pessoais de pessoas singulares, tem natureza corporativa e é aplicável aos colaboradores da Caixa, seus clientes e fornecedores.
4.1 Âmbito de aplicação material
A presente Política aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.
4.2 Âmbito de aplicação territorial
A presente Política aplica-se ao tratamento de dados efetuado no contexto das atividades prosseguidas pela Caixa relativo a pessoas singulares que se encontrem no território nacional, independentemente de o tratamento ocorrer dentro ou fora do território por força do direito internacional.
Se o tratamento de dados for efetuado fora de Cabo verde, a presente Política aplica-se quando as atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a titulares de dados que se encontrem no território cabo-verdiano independentemente de estarem associados a um pagamento.
5. PRINCÍPIOS RELATIVOS AO TRATAMENTO DE DADOS PESSOAIS
5.1 O responsável pelo tratamento observa, quanto ao tratamento de dados a que procede, os seguintes princípios:
a) Licitude, lealdade e transparência: o tratamento de dados deve ser lícito, leal e transparente e respeitando o princípio da boa-fé;
b) Da finalidade determinada: o tratamento deve obedecer às finalidades determinadas, explícitas e legítimas, para as quais os dados foram recolhidos, não podendo ser tratados posteriormente de forma incompatível com elas);
c) Minimização dos dados: os dados tratados devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
d) Veracidade: os dados devem ser exatos e atualizados sempre que necessário devendo ser apagados ou retificados sem demora os dados inexatos ou incompletos tendo em conta as finalidades para que são tratados;
e) Limitação de conservação: os dados devem ser conservados apenas durante o período necessário para as finalidades para as quais são tratados.
f) Integridade e confidencialidade: os dados devem ser tratados de forma segura, garantindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas.
g) Responsabilidade: o responsável pelo tratamento de dados está obrigado a cumprir os princípios acima referidos, e tem de poder comprová-lo sempre que seja necessário perante as autoridades de controlo.
6. FUNDAMENTOS PARA O TRATAMENTO DE DADOS
Os dados pessoais são tratados para finalidades determinadas, explícitas e legítimas para as quais foram recolhidos, não podendo ser posteriormente tratados de forma incompatível com essas finalidades.
A CAIXA, enquanto responsável pelo tratamento, assegura aos titulares dos dados pessoais os respetivos deveres de informação
6.1 A CAIXA efetua o tratamento dos dados pessoais necessários para a celebração, execução e gestão de contratos, em que o titular dos dados é parte ou em diligências prévias efetuadas a pedido deste.
6.2 A Caixa efetua o tratamento de dados pessoais necessários para garantir o cumprimento das diversas obrigações legais, nacionais e internacionais a que está sujeita.
6.3 A CAIXA efetua o tratamento de dados pessoais necessários para salvaguarda dos seus interesses legítimos ou de terceiros.
6.4 A CAIXA pode efetuar outros tratamentos de dados pessoais quanto tiver obtido o consentimento prévio, inequívoca, livre, expresso e informado do titular dos dados salvo casos excecionais legalmente previstas cabendo à Caixa demostrar que o titular de os dados deu o seu consentimento para o tratamento dos dados.
6.5 O tratamento de dados pessoais de incapazes, quer em razão da idade quer em razão da anomalia psíquica, só é lícito se o consentimento for dado ou autorizado pelos respetivos representantes legais ou havendo suprimento legal do consentimento. O consentimento da criança só é validamente prestado quando tenha idade igual ou superior a dezasseis anos, sem prejuízo de disposição legal em contrário.
6.6 Caso o menor tenha idade inferior a dezasseis anos ou tratando-se de outra modalidade de incapacidade, o tratamento só é lícito se o consentimento for dado ou autorizado pelos respetivos representantes legais
7. DEVERES DE INFORMAÇÃO
7.1 Os deveres de informação sobre proteção de dados respeitam à obrigação de a Caixa ou representante prestar um conjunto de informações ao titular dos dados sobre as características do tratamento, nomeadamente:
a) Identidade e os contactos e endereço do responsável pelo tratamento ou seu representante;
b) os contactos do encarregado de proteção de dados;
C) as finalidades do tratamento a que os dados pessoais se destinam e o respetivo fundamento jurídico do tratamento;
d) as categorias de dados pessoais, de titulares de dados assim como o destinatários;
e) se são efetuadas transferências de dados para países terceiros ou organizações internacionais e, sendo caso disso, os instrumentos jurídicos ao abrigo dos quais se processam essas transferências;
f) prazo de conservação dos dados;
g) exercício de direitos dos titulares de dados.
h) o carater obrigatório ou facultativo da resposta, bem como as possíveis consequências se os dados não forem fornecidos;
i) o direito que lhe assiste de conhecer as condições de acesso, retificação, apagamento e oposição caso seja necessário;
j) a decisão de os seus dados serem utilizados por conta de terceiros, previamente e com a indicação expressa de que tem o direito de se opor a essa utilização.
7.2 Estes deveres cumprem-se através da divulgação permanente, no site da Caixa, da Política de Privacidade e de Proteção de Dados Pessoais, que tem como objetivo comunicar aos clientes de forma transparente para que finalidades determinadas, explícitas e legítimas os seus dados pessoais são recolhidos e tratados, a cada momento da relação estabelecida entre a Caixa e o titular dos dados, bem como o fundamento de licitude dos tratamentos necessários a que a Caixa procede.
7.3A Política de Cookies' e outras tecnologias de rastreio regula o tratamento de dados, incluindo dados pessoais dos utilizadores (“Utilizador” ou “Utilizadores”), recolhidos pela Caixa, no âmbito da utilização dos websites e aplicações da Caixa, através de cookies, tratando-se de política destinada também a assegurar os deveres de informação aos titulares dos dados.
7.4 Os deveres de informação aos titulares dos dados são também cumpridos através de:
a) condições gerais de abertura de conta, contratos de crédito e de prestação de serviços, em especial na cláusula que informa sobre os dados pessoais, as finalidades e fundamentos de licitude dos tratamentos de dados a que a Caixa procede no exercício da sua atividade;
b) em toda a documentação legal de suporte à atividade bancária e à prestação de serviços bancários celebrado com o titular dos dados, é igualmente cumprido o dever de informação.
7.5 Nos casos em que a Caixa recolha dados diretamente do titular, a informação é prestada em momento prévio à recolha.
7.6 Nos casos em que a Caixa recolha dados indiretamente, a informação deve ser prestada:
a) num prazo razoável após a obtenção dos dados pessoais, mas o mais tardar no prazo de um mês, tendo em conta as circunstâncias específicas em que estes forem tratados;
b) se os dados pessoais se destinarem a ser utilizados para fins de comunicação com o titular dos dados, o mais tardar no momento da primeira comunicação ao titular dos dados; ou,
c) se estiver prevista a divulgação dos dados pessoais a outro destinatário, o mais tardar aquando da primeira divulgação desses dados.
8 DIREITOS DOS TITULARES DOS DADOS
8.1 Mediante pedido escrito do titular dos dados, o responsável pelo tratamento assegura o exercício dos seguintes direitos:
a) Direito de acesso - solicitar informação se os seus dados pessoais são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos mesmos e às seguintes informações livremente, sem restrições sem custos excessivos e sem demoras:
a.1) as finalidades do tratamento dos dados;
a.2) as categorias dos dados pessoais em questão;
a.3) os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados, nomeadamente os destinatários — estabelecidos em países terceiros ou pertencentes a organizações Internacionais;
a.4) se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios usados para fixar esse prazo;
a.5) a existência do direito de solicitar a caixa a retificação, o apagamento ou a limitação do tratamento dos dados pessoais no que lhe respeita, ou do direito de se opor a esse tratamento;
a.6) o direito de apresentar reclamação á Comissão Nacional de Proteção de Dados;
a.7) se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a origem desses dados;
a.8) a existência de decisões automatizadas, incluindo a definição de perfis e informações úteis relativas à lógica subjacente bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
b) Direito de oposição - opor-se, a qualquer momento, ao tratamento dos seus dados pessoais, nomeadamente quando verifique que esse tratamento se destine a outra finalidade que não aquela para a qual os mesmos foram recolhidos e para que deu o seu consentimento;
c) Direito de retificação - obter, sem demora injustificada, a retificação ou a adição aos dados pessoais Inexatos que lhe digam respeito;
d) Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional;
e) Direito ao apagamento (direito a ser esquecido) - obter o apagamento ou a destruição dos seus dados pessoais, sem demora injustificada, desde que reúna os requisitos para o efeito, ou seja, já não tenha qualquer relação comercial com a Caixa e tenham decorridos os prazos legais de retenção da documentação a que está obrigada;
f) Direito à limitação do tratamento - obter a limitação do tratamento, se se aplicar uma das seguintes situações:
f.1) contestar a exatidão dos dados pessoais, durante um período que permita a caixa verificar a sua exatidão;
f.2) o tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização;
f.3) a Caixa já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
f.4) se se tiver oposto ao tratamento, até se verificar que os motivos legítimos do BOGA prevalecem sobre os do titular dos dados.
g) Direito à portabilidade - receber os dados pessoais que lhe digam respeito e que tenha fornecido aa Caixa, sempre que possível, num formato estruturado, de uso corrente e de leitura automática e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o possa impedir.
8.2 O responsável pelo tratamento de dados transmite e informa, de forma transparente, quais os procedimentos e meios disponíveis para o exercício dos direitos pelos titulares dos dados.
8.3 As informações solicitadas devem ser prestadas de forma concisa, transparente, inteligível e de fácil acesso, utilizando para o efeito uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças.
8.4 O responsável pelo tratamento, presta as informações, por escrito ou por outros meios, incluindo, se for caso disso, por meios eletrónicos. Se o titular dos dados o solicitar, a informação pode ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.
8.5 O pedido do titular dos dados pode ser recusado pelo responsável pelo tratamento, caso demonstre não estar em condições de identificar o titular dos dados.
8.6 O pedido do titular dos dados deve ser respondido sem demora injustificada e no prazo de um mês a contar da data de receção.
8.7 Esse prazo pode ser prorrogado até dois meses, quando for necessário, tendo em conta a complexidade do pedido e o número de pedidos, devendo o responsável pelo tratamento informar o titular dos dados os motivos da demora no prazo de um mês a contar da data de receção do pedido.
8.8 Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida por meios eletrónicos, salvo pedido em contrário do titular.
8.9 O responsável pelo tratamento, presta as informações e as medidas tomadas a título gratuito. Caso os pedidos apresentados pelo titular dos dados sejam manifestamente infundados ou excessivos, nomeadamente devido ao seu carácter repetitivo, (a comprovar pelo responsável pelo tratamento) deve-se adotar-se o seguinte procedimento:
a) Exigir o pagamento de uma taxa/comissão razoável, tendo em conta os custos administrativos do fornecimento das informações ou da comunicação ou de tomada das medidas solicitadas;
b) Recusar o pedido;
c) Havendo dúvidas razoáveis quanto à identidade do titular dos dados, o responsável pelo tratamento pode solicitar que lhe sejam fornecidas informações adicionais que permitam a sua identificação.
8.10. Quando os titulares dos dados sejam pessoas incapazes, os direitos previstos nas alíneas anteriores são exercidos por intermédio dos respetivos representantes legais. Os direitos de acesso, retificação e apagamento dos dados pessoais das pessoas falecidas podem ser exercidos por quem a pessoa falecida haja designado para o efeito ou, na sua falta, pelos respetivos herdeiros.
9 OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO DE DADOS
9.1 Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento cumpre os requisitos legais aplicáveis.
As medidas são revistas e atualizadas consoante as necessidades, incluindo a aplicação de políticas adequadas em matéria de proteção de dados.
9.2 Tanto no momento de definição dos meios de tratamento de dados como no momento do próprio tratamento, o responsável pelo tratamento adota as medidas técnicas e organizativas adequadas, como a pseudonimização destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização e a inclusão das garantias necessárias para assegurar a conformidade legal.
9.3São aplicadas medidas técnicas e organizativas com vista a assegurar que, por defeito, só sejam tratados os dados pessoais necessários para cada finalidade específica do tratamento.
9.4 A Caixa (enquanto responsável pelo tratamento) garante adequados níveis de segurança e de proteção dos dados pessoais dos titulares dos dados. Para o efeito, adota diversas medidas de segurança de carácter técnico e organizativo, de forma a proteger os dados pessoais contra a sua perda, difusão, alteração, tratamento ou acesso não autorizados, bem como contra qualquer outra forma de tratamento ilícito ou não autorizado.
9.5 O responsável pelo tratamento conserva e mantém atualizado um registo de todas as atividades de tratamento sob a sua responsabilidade, devendo constar do mesmo as seguintes informações:
a) O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;
b) As finalidades do tratamento dos dados;
c) A descrição das categorias de titulares de dados e das categorias de dados pessoais;
d) As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
e) Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais, devendo obedecer a regras específicas, só poderão ocorrer se estiverem preenchidos determinados requisitos legais;
f) Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;
g) Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como OS riscos de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:
g.1) a pseudonimização e a cifragem dos dados pessoais;
g.2) a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
g.3) a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;
g.4) um processo para testar, apreciar e avaliar regularmente a eficácia das referidas medidas, para garantir a segurança do tratamento;
g.5) ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas e à divulgação ou ao acesso não autorizado de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
10 RESPONSABILIDADES SOBRE A GESTÃO DA PROTEÇÃO DE DADOS
10.1 O Conselho de Administração como órgão de gestão de topo, é responsável pelo cumprimento da legislação relativa à proteção de dados pessoais, cabendo-lhe, fomentar uma cultura organizacional de proteção e dados na Caixa.
11 PRINCÍPIOS E REGRAS DE ATUAÇÃO NO TRATAMENTO DE DADOS A OBSERVAR PELOS COLABORADORES
11.1 Os Colaboradores, incluindo os prestadores de serviços, que procedam ao tratamento de dados pessoais devem pautar a sua atividade pelo estrito cumprimento das disposições legais e regulamentares aplicáveis, bem como de todo o normativo interno relevante em matéria de proteção de dados, destacando-se, em particular, o código de conduta e o conjunto de normativos relativos à Segurança da Informação, incluindo, entre outros, a política global de segurança da informação.
11.2 Em particular, destaca-se a obrigação de os colaboradores e prestadores de serviços reportarem internamente, logo que dela tenham conhecimento e pelos meios institucionais definidos para o efeito, qualquer situação que configure uma violação de dados pessoais.
12 SUBCONTRATANTES
12.1 Quando o responsável pelo tratamento recorrer a subcontratante(s), deve assegurar-se que estes oferecem garantias suficientes, especialmente em termos de conhecimentos especializados, fiabilidade e recursos, quanto à execução de medidas técnicas e organizativas que cumpram os requisitos legais em matéria de proteção de dados, nomeadamente no que se refere à segurança do tratamento, bem como de todos os requisitos da regulação bancária aplicável à atividade da Caixa.
12.2 O responsável pelo tratamento deve reservar-se, no contrato que formaliza a relação com o subcontratante (Acordo de Tratamento de Dados), o direito de lhe dar instruções relativas ao tratamento dos dados, bem como de realizar auditorias, incluindo por entidades terceiras, para garantir que o subcontratante cumpre pontualmente o contrato e todas as suas obrigações legais, designadamente no que respeita à conservação de registos de atividades de tratamento.
12.3 O subcontratante presta ao responsável pelo tratamento toda a colaboração necessária, nomeadamente para resposta ao exercício de direitos dos titulares de dados e nas situações de violação de dados pessoais, dentro dos prazos legais para o efeito.
13 TRANSFERÊNCIAS DE DADOS PARA PAÍSES TERCEIROS
13.1 Qualquer transferência de dados pessoais que sejam ou venham a ser objeto de tratamento, após transferência para um país terceiro, só pode ser realizada se for assegurado que não é comprometido o nível de proteção das pessoas singulares garantido pela legislação nacional.
13.2 A transferência de dados pessoais de Clientes para fora de Cabo Verde só ocorre mediante uma autorização expressa do titular dos dados, quando tal seja necessário para a execução de ordens ou pedidos transmitidos aa Caixa ou por exigência legal.
13.3 Caso recorra a prestadores de serviços financeiros de países fora de Cabo Verde a Caixa apenas recorre a entidades que cumprem as obrigações legais em matéria de proteção de dados.
14 RELACIONAMENTO COM A COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS (CNPD)
O responsável pelo tratamento deve pautar a sua relação com a CNPD, pelos princípios da cordialidade, lealdade e disponibilidade, prestando toda a colaboração que lhe seja solicitada no exercício das atribuições legalmente assinaladas, enquanto autoridade de controlo.
15 AVALIAÇÃO PERIÓDICA
A presente Política será objeto de revisão anual ou sempre que se verifiquem alterações internas e/ou externas com impactos importantes sobre a mesma.
16 CUMPRIMENTO DA POLÍTICA DE PROTEÇÃO DE DADOS
16.1 A presente política é parte integrante do sistema de normas da Caixa e o seu não cumprimento pelos colaboradores é suscetível de constituir infração disciplinar, sem prejuízo da responsabilidade civil, contraordenacional ou criminal, a que possa dar lugar.
16.2 A observância destas regras não exonera os colaboradores da Caixa do conhecimento e do cumprimento das outras normas internas e das disposições legais e regulamentares aplicáveis, bem como dos princípios éticos observados pela Instituição e ainda do disposto no código de conduta da Caixa.
Caixa Económica de Cabo Verde