A Gestão do Fundo de Garantia Automóvel é assegurada pela Autoridade de Supervisão de Seguros e Fundos de Pensões, nos termos da lei.

Migalhas de pão

Política de Privacidade

Política de Privacidade

1.    Enquadramento

A Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) é, nos termos do artigo 1.º dos seus Estatutos, aprovados pelo Decreto-Lei n.º 1/2015, de 06 de janeiro, “(…) uma pessoa coletiva de direito público, com natureza de entidade administrativa independente, dotada de autonomia administrativa, financeira e de gestão de património próprio”. A ASF é a entidade responsável pela regulação e supervisão da atividade seguradora, resseguradora, da mediação de seguros e dos fundos de pensões.

A Política de Privacidade visa dar cumprimento, para além de outras normas aplicáveis, ao previsto no Regulamento Geral sobre a Proteção de Dados (RGPD) – Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril, bem como à Lei n.º 58/2019 de 8 agosto que assegura, na ordem jurídica portuguesa, a execução do RGPD.

A ASF, enquanto pessoa coletiva de direito público, dá cumprimento ao previsto no RGPD, incluindo o respeito pelos princípios de tratamento de dados pessoais e demais normas ou orientações relativas à proteção e liberdade dos indivíduos, com o objetivo de assegurar a confidencialidade, integridade, disponibilidade, segurança e exatidão dos dados pessoais tratados. 

A proteção de dados pessoais e da privacidade dos titulares é um compromisso da ASF para com todos aqueles com quem se relaciona.

2.    Objeto

Através da Política de Privacidade, a ASF faculta os detalhes das atividades de tratamento de dados pessoais (conceitos, fundamentos de licitude, categorias de dados, destinatários, subcontratantes, transferências internacionais, entre outros) e os processos realizados no âmbito das suas atribuições [1], o que inclui:

i. A supervisão da atividade seguradora, resseguradora, de mediação de seguros e de fundos pensões, atividades conexas e complementares; 
ii. A participação no sistema de supervisão macroprudencial para prevenção e mitigação dos riscos sistémicos suscetíveis de afetar a estabilidade financeira, designadamente no âmbito do Conselho Nacional de Supervisores Financeiros (CNSF);
iii. O apoio técnico e consulta à Assembleia da República e ao Governo;
iv. A participação no Sistema Europeu de Supervisão Financeira (SESF), integrando, designadamente, o Comité Europeu do Risco Sistémico (ESRB) e a Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (EIOPA);
v. A cooperação ou associação com outras entidades de direito público ou privado, nomeadamente com autoridades de supervisão congéneres, a nível da União Europeia ou internacional;
vi. A cooperação ou associação com outras entidades reguladoras nacionais, autoridades nacionais de supervisão do setor financeiro, nomeadamente o Banco de Portugal e a Comissão do Mercado de Valores Mobiliários (CMVM);
vii. A participação no sistema de supervisão de auditoria;
viii. A promoção do desenvolvimento de conhecimentos técnicos e a respetiva difusão, reforço da literacia financeira no setor supervisionado; 
ix. A gestão dos fundos que lhe são confiados por lei; 
x. A supervisão e regulação da atividade das associações mutualistas, respetivas federações, uniões e confederações nos termos definidos em lei especial; 
 
A Política de Privacidade procura manifestar o compromisso da ASF com as normas relativas à privacidade e à proteção de dados pessoais, sendo aplicável a todas as atividades que prossegue, pelas unidades orgânicas ou estruturas que a integram, incluindo as necessárias à gestão do Fundo de Garantia Automóvel e do Fundo de Acidentes de Trabalho. 

No que respeita aos sítios da ASF na Internet, a sua utilização ou navegação não promove a recolha ativa de dados pessoais, sem prejuízo das atividades de tratamento inerentes aos serviços prestados, às funcionalidades necessárias ou aos pedidos apresentados através daqueles sítios.

[1] Nos termos do artigo 7.º dos Estatutos da ASF.
 

3.    Conceitos essenciais

Na leitura desta Política de Privacidade devem considerar-se alguns conceitos essenciais em matéria de proteção de dados, como por exemplo:
Qualquer informação relativa a uma pessoa singular identificada ou identificável. A pessoa singular é identificável sempre que for possível determinar uma pessoa singular, direta ou indiretamente, em especial por referência a um identificador (como o nome, número de identificação, dados de localização ou identificadores por via eletrónica) ou a um ou mais elementos específicos da sua identidade física, fisiológica, genética, mental, económica, cultural ou social – artigo 4.º, alínea 1) do RGPD.
Os dados pessoais podem ser agrupados consoante certa finalidade a que se destinam ou grupo a que pertençam (como por exemplo, informação identificativa, informação de saúde, informação financeira, entre outras).
Uma operação ou conjunto de operações efetuadas sobre dados pessoais, por meios automatizados ou não automatizados (como são exemplos a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou a alteração, a recuperação, a consulta, a utilização, a divulgação, a difusão, a comparação e a interconexão, a limitação, o apagamento ou a destruição) – artigo 4.º, 2) do RGPD.
É a pessoa singular cujos dados pessoais estão sujeitos a um tratamento.
É a pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, de forma individual ou conjunta com outra destas entidades, determina as finalidades e os meios de tratamento de dados pessoais – artigo 4.º, alínea 7) do RGPD.
Uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento – artigo 4.º, alínea 8) do RGPD. 

4.    Responsável pelo tratamento e Encarregado de Proteção de Dados

A ASF, enquanto pessoa coletiva de direito público com o n.º 501328599, com sede Avenida da República, n.º 76, 1600-205 Lisboa, com o telefone (+ 351 21 790 31 00) e correio eletrónico asf@asf.com.pt, atua, no âmbito do exercício das suas atribuições e na prossecução da missão, como responsável pelo tratamento de dados pessoais.

Uma das obrigações do responsável pelo tratamento é, nos termos da alínea a) do n.º 1 do artigo 37.º do RGPD, a designação de um encarregado de proteção de dados (EPD). Entre as funções desempenhadas pelo EPD na ASF encontramos, nos termos do artigo 39.º do RGPD, pelo menos as seguintes: 

  • Informar e aconselhar o responsável pelo tratamento (ou subcontratante ou trabalhadores que tratem dados pessoais) sobre as suas obrigações no que respeita ao tratamento de dados pessoais, nos termos do RGPD e demais legislação aplicável;
  • Controlar a conformidade das atividades de tratamento de dados em relação ao RGPD, à demais legislação relevante em matéria de proteção de dados e às políticas do responsável pelo tratamento;
  • Promover ações de formação ou sensibilização internas; 
  • Esclarecer questões e emitir parecer no que respeita à avaliação de impacto sobre a proteção de dados, assim como controlar a sua realização; 
  • Participar as situações relativas a violações de dados e incidentes de segurança;
  • Zelar pelo cumprimento dos direitos dos titulares dos dados;
  • Cooperar com a Comissão Nacional de Proteção de Dados (CNPD) e ser ponto de contacto com esta no que toca a questões relacionadas com o tratamento

O EPD da ASF pode ser contactado através da morada postal e telefone da ASF, bem como pelo endereço de correio eletrónico: epd@asf.com.pt.

5.    Finalidades de tratamento

Os dados pessoais são tratados na ASF para exercício das atribuições elencadas no ponto 2 supra, sem prejuízo de atividades conexas ou complementares [2], conforme o detalhe oferecido aos titulares em cada tratamento de dados pessoais, tendo como finalidade a prossecução das competências legalmente previstas [3]: 

i. Atividade de supervisão;  
ii. Atividade regulatória;
iii. Procedimentos sancionatórios; 
iv. Relacionamento institucional;
v. Apoio a tomadores de seguros, segurados, subscritores, participantes, beneficiários e lesados;
vi. Desenvolvimento de conhecimentos técnicos e sua difusão, reforço da literacia financeira e divulgação de informação pública;
vii. Gestão do Fundo de Garantia Automóvel e do Fundo de Acidentes de Trabalho; 
viii. Orientação e gestão da ASF;
ix. Gestão financeira e patrimonial da ASF.


[2] Como a gestão de fornecedores ou prestadores de serviços, os recursos humanos, as tecnologias e sistemas de informação, a organização interna, o arquivo ou a proteção de pessoas e bens;

[3] Cf. artigo 16.º dos Estatutos da ASF.

6.    Fundamentos de licitude para o tratamento de dados pessoais 

A ASF procede ao tratamento de dados pessoais sempre que tal for necessário para o exercício da sua missão e prossecução das atribuições estatutariamente previstas, com respeito pelos fundamentos de licitude previstos no artigo 6.º do RGPD:
Fundamento de licitude
Exemplos
Consentimento do titular
Bolsa de recrutamento, envio de newsletter ASF, utilização dos sítios da ASF na Internet
Execução de contrato em que é parte (obrigação contratual)
Processos de recrutamento, procedimentos de contratação pública, fornecimento de bens ou serviços, utilizador da biblioteca da ASF
Cumprimento de obrigação legal 
Processos de indemnização, gestão de recursos humanos, processos judiciais, processos de contraordenação, apoio ao consumidor, avaliação de cursos de mediação, resposta a exercício de direitos dos titulares dos dados, tratamento de denúncias
Exercício de funções de interesse público ou exercício de autoridade pública
Supervisão off-site, supervisão on-site, processos de autorização e registo, monotorização de publicidade, projetos legislativos e regulamentares, relatórios de regulação e relatórios de supervisão, planos de atividades e orçamentos, plano estratégico, consultas públicas, formação e seminários

7.    Categorias de dados pessoais

A ASF, na prossecução da sua missão e das atribuições acima descritas, desenvolve as suas atividades de tratamento com recurso a diversas categorias de dados pessoais.

Apresentamos, a título exemplificativo, algumas das categorias de dados pessoais tratados pela ASF:
Categorias de dados
Exemplos
Dados de identificação
Nome, idade, data de nascimento, género, estado civil, fotografia
Dados de contacto
Morada, contacto telefónico, endereço de correio eletrónico, redes sociais
Identificadores oficiais
Cartão de cidadão, carta de condução, Número de utente no SNS, número de identificação da Segurança Social
Dados financeiros ou patrimoniais
Apólice, contas bancárias, NIB/IBAN, tipo de contrato e/ou produto, saldos financeiros, ativos e/ou património
Dados de sinistro
Descrição do sinistro e danos, dados de veículo(s) e interveniente(s)
Dados sociais/profissionais
Profissão, cargo, habilitações, entidade empregadora, infrações e cargos públicos exercidos
Dados de trabalhadores
Número de trabalhador, remuneração, avaliação, tipo de vínculo
Dados sancionatórios
Informação sobre idoneidade, contraordenações, medidas de segurança, sanções acessórias
Dados de categoria especial
Dados relativos à saúde, filiação sindical

8.    Recolha de dados pessoais

Para o cumprimento de finalidades determinadas, explícitas e legítimas da ASF, os dados pessoais podem ser recolhidos de duas formas:

  • Contacto direto com o titular;
  • Contacto indireto (por intervenção de subcontratante, entidades supervisionadas, outras autoridades de supervisão ou regulação, outras entidades públicas ou privadas, consulta a registos públicos ou bases de dados).

De todo o modo, a ASF assegura que os dados recolhidos e o acesso aos mesmos são limitados ao absolutamente necessário para o cumprimento das finalidades definidas.

9.    Prazo de conservação dos dados pessoais

A ASF conserva os dados pessoais durante o período estritamente necessário para a prossecução das finalidades para as quais foram recolhidos e de acordo com o respetivo fundamento.

Não subsistindo outros prazos, incluindo os legalmente fixados ou juridicamente relevantes que justifiquem a conservação dos dados pessoais, estes serão destruídos ou anonimizados quando deixarem de servir as finalidades para as quais foram recolhidos. 

A ASF poderá, ainda, manter a informação recolhida para fins de arquivo público, investigação científica ou histórica ou para fins estatísticos, cumprindo os requisitos de segurança técnica ou organizativa previstos no RGPD, onde se inclui, entre outros, a pseudonimização ou anonimização.

10.    Categorias de titulares dos dados

No âmbito das suas funções, a ASF pode tratar dados pessoais de diversos titulares de dados, tais como:
Categorias de titulares dos dados
Trabalhadores
Formadores
Infratores
Familiares dos trabalhadores
Formandos
Beneficiários
Estagiários
Tomadores de seguros
Participantes
Candidatos
Segurados
Interlocutores
Membros dos órgãos da ASF
Testemunhas
Mandatários
Membros de júris e outros convidados
Supervisionados
Magistrados e Oficiais de Justiça
Subcontratantes
Reclamantes
Operadores económicos
Beneficiários

11.    Informações aos titulares dos dados

Em concretização do princípio da transparência e para cumprimento dos deveres de informação, sem prejuízo da informação que consta desta Política de Privacidade, a ASF presta aos titulares dos dados, sempre que aplicável, os detalhes relativos à atividade de tratamento no momento da recolha dos dados pessoais ou, se se tratar de uma recolha indireta, em momento posterior, tal como decorre, respetivamente, dos artigos 13.º e 14.º do RGPD.

12.    Princípios a observar no tratamento de dados pessoais

A ASF garante o cumprimento dos princípios elencados no artigo 5.º do RGPD em relação ao tratamento de dados pessoais.
Este princípio exige que o titular dos dados seja informado de forma completa, percetível e atempada sobre os detalhes do tratamento dos seus dados, tal como prescrito no RGPD. 
As atividades de tratamento de dados pessoais da ASF encontram fundamento de licitude no quadro do RGPD e sempre no âmbito das atribuições previstas nos seus Estatutos.
Este princípio impõe que os dados pessoais sejam recolhidos e tratados para finalidades determinadas, legítimas e específicas, previamente comunicadas ao titular dos dados. Assim, a ASF procura esclarecer quais a finalidades do tratamento que irá realizar, não tratando os dados pessoais dos titulares para finalidades diversas e incompatíveis com aquela que presidiu à recolha.
Este princípio garante que, tendo sempre por base as finalidades definidas para o tratamento, o conjunto de dados pessoais tratados deve ser o adequado e essencial para que a atividade de tratamento se concretize. Logo, a ASF recolhe apenas os dados absolutamente necessários e evita, sensibilizando o titular se necessário, receber quaisquer outros. No entanto, se o fizer, a ASF deve salvaguardar a possibilidade de eliminar os dados que não se mostrem necessários.
Este princípio visa assegurar que os dados utilizados nas atividades de tratamento são exatos e atuais, sendo que o titular deve zelar pela exatidão e atualização dos seus dados pessoais. Para tal, além dos procedimentos implementados pela ASF para garantir o cumprimento deste princípio, sempre que o titular atestar que os seus dados estão desatualizados ou inexatos deve comunicá-lo à ASF.
Este princípio garante que os dados pessoais recolhidos são conservados somente durante o período estritamente necessário para o seu tratamento (período de retenção). Por isso, a ASF procura determinar, para cada atividade de tratamento, o período durante o qual os dados serão armazenados ou cumpre o prazo legalmente previsto de conservação. Volvido o prazo, os dados devem ser apagados ou anonimizados, não se conseguindo relacionar os dados com o seu titular. Fica salvaguardada a hipótese de os dados permanecerem conservados pela ASF para fins de interesse público, de investigação científica ou histórica ou para fins estatísticos, aplicadas as devidas medidas técnicas que garantam confidencialidade e integridade. 
Este princípio confere uma proteção acrescida ao titular dos dados, impondo-se ao responsável pelo tratamento a obrigação de garantir a disponibilidade, integridade e confidencialidade dos dados de forma permanente. A ASF adota, para tal, medidas técnicas e organizativas de segurança adequadas ao risco e que permitem a proteção dos dados pessoais do titular, ao nível da sua perda, destruição ou dano acidental.
Este princípio determina que o responsável pelo tratamento deve atuar no estrito cumprimento dos princípios acima mencionados, com uma verificação contínua e ativa das medidas de conformidade e a capacidade de demonstrar a qualquer momento, incluindo aos tribunais e autoridades de controlo, o cumprimento dos mesmos. A ASF, enquanto responsável pelo tratamento ou subcontratante, assume o seu compromisso com as obrigações decorrentes do regime da proteção de dados pessoais dos titulares, ainda que recorra a subcontratantes.

13.    Direitos do titular dos dados

O RGPD elenca, nos artigos 15.º e seguintes, os vários direitos dos titulares dos dados e a ASF, na qualidade de responsável pelo tratamento, assegura o seu cumprimento. 

Os pedidos para exercício dos direitos podem ser apresentados junto da ASF através dos canais publicitados no seu sítio na Internet, sendo que, mediante a adoção de normas internas , a ASF estatui os procedimentos adequados para avaliar e processar os mesmos.  

Ao titular dos dados são garantidos os seguintes direitos:
O titular dos dados tem direito a obter da ASF a confirmação de que os seus dados são (ou não) objeto de tratamento, bem como a ter acesso aos mesmos, a mantê-los atualizados e a obter cópia dos mesmos. Tem, também, direito a obter informações acerca do tratamento dos seus dados no que diz respeito:
  • Às finalidades do tratamento;
  • Às categorias dos dados pessoais em questão;
  • Aos destinatários ou categorias de destinatários dos dados;
  • Às transferências de dados para países fora da União Europeia;
  • Ao prazo previsto de conservação dos seus dados.
O titular dos dados pode, sempre que os seus dados estejam inexatos, exigir à ASF a retificação dos mesmos. Pode, igualmente, exigir que dados pessoais incompletos sejam completados, facultando toda a informação necessária para que sejam atualizados. 
O direito de retificação tem, pois, uma dimensão colaborativa, já que o titular dos dados colabora com a ASF para que os dados que esta detém sejam os mais exatos, completos e atualizados possível. 
O direito ao apagamento ou direito a ser esquecido determina que o titular dos dados pode exigir, sem prejuízo das situações em que o direito não pode ser invocado, o apagamento dos seus dados pessoais quando se aplique um dos seguintes motivos:
  • Os dados pessoais já não são necessários para a finalidade que motivou a sua recolha ou tratamento subsequente;
  • O titular retirou o seu consentimento para o tratamento dos seus dados e não existe outro fundamento jurídico para que este se mantenha;
  • O titular dos dados exerceu o seu direito de oposição ao tratamento e não há qualquer interesse legítimo da ASF que justifique o tratamento;
  • Os dados são tratados ilicitamente;
  • Os dados pessoais têm de ser eliminados para que se cumpra uma obrigação jurídica a que a ASF está obrigada.
O titular dos dados pode exigir à ASF a limitação do tratamento se:
  • Contestar a exatidão dos dados (neste caso, o tratamento é interrompido até que a ASF verifique a exatidão dos dados);
  • O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados e, em contrapartida, solicitar a limitação da sua utilização;
  • A ASF já não necessitar dos dados para fins de tratamento, mas o titular solicitar a sua manutenção para outros fins (nomeadamente, efeitos de declaração, exercício ou defesa de um direito num processo judicial);
  • O titular se tiver oposto ao tratamento até que seja verificado que os motivos legítimos do responsável prevalecem sobre os do titular dos dados. 
O titular dos dados tem direito a receber os seus dados pessoais fornecidos à ASF num formato estruturado, de uso corrente e de leitura automática. O titular pode também transmitir esses dados a outro responsável pelo tratamento, sem que a ASF o possa impedir, nas circunstâncias previstas nas alíneas a) e b) do n.º 1 do artigo 20.º do RGPD. O direito à portabilidade pode ser exercido concomitante ou posteriormente ao direito ao apagamento, exceto quando o tratamento seja necessário para o exercício de funções de interesse público ou ao exercício da autoridade pública, como resulta do n.º 3 do artigo 20.º do RGPD.
O titular dos dados pode opor-se ao tratamento lícito dos seus dados pessoais mediante a verificação cumulativa dos seguintes elementos:
  • Os motivos relacionados com a sua situação particular o justifiquem;
  • O tratamento se fundamente nas alíneas e) ou f) do n.º 1 ou no n.º 4 do artigo 6.º do RGPD
No exercício do direito de oposição, o titular dos dados tem de demonstrar, clara e precisamente, que, perante a sua situação concreta e durante a atividade, não há justificação para a realização do tratamento dos seus dados pessoais.
O titular dos dados tem o direito a não ser sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado (incluindo definição de perfis), que produza efeitos na esfera jurídica ou que o afete de forma significativa. 
Em caso de violação das regras aplicáveis em relação à proteção de dados pessoais, o titular dos dados pode apresentar reclamação na autoridade de controlo (CNPD), através dos contactos disponibilizados por esta entidade para o efeito (https://www.cnpd.pt).

14.    Destinatários dos dados pessoais

A ASF pode, no exercício das suas funções de interesse público, sempre que tal seja requerido pelo titular, quando exigido por lei, contrato ou ordem judicial, ter de divulgar dados pessoais para pessoas singulares ou coletivas, autoridades ou outros organismos nacionais e/ou internacionais:  
A ASF pode, ao abrigo do princípio da cooperação, no cumprimento de obrigações legais ou no âmbito das funções de interesse público, transmitir dados pessoais para outras entidades públicas, como os tribunais, Ministério Público, Banco de Portugal ou a Comissão do Mercado de Valores Mobiliários, entre outras.

Por outro lado, no âmbito da execução ou preparação dos contratos, a ASF pode ter de transferir dados para os fornecedores/prestadores de serviços que atuam sob a sua orientação e controlo, garantindo o cumprimento das medidas técnicas e organizativas adequadas.
Além da transmissão referida na alínea anterior, igualmente no cumprimento de obrigações legais e na prossecução das funções de interesse público, a ASF pode ter de transferir dados pessoais recolhidos no âmbito da sua atividade, para entidades europeias, como a Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (EIOPA) ou o Comité Europeu do Risco Sistémico (ESRB) bem como para autoridades ou entidades de outros países membros do Espaço Económico Europeu (EEE).
Pode também ser necessário, no cumprimento de uma obrigação contratual ou jurídica prevista no direito da União ou de um Estado-Membro, no âmbito das suas funções de interesse público ou no exercício da autoridade pública, proceder à transferência de dados pessoais para países terceiros e respetivas autoridades, bem como para organizações internacionais.

Nestes casos, a ASF garante que os dados pessoais apenas são transferidos para países ou organizações que cumpram as condições previstas dos artigos 44.º e seguintes do RGPD, designadamente: 

i)  Se a Comissão Europeia considerar que o país terceiro ou a organização internacional garante um nível de proteção adequado para os direitos dos titulares dos dados; ou 

ii) Se os países terceiros ou organizações internacionais apresentarem garantias adequadas nos termos previstos no RGPD, podendo a ASF celebrar protolocos que visam assegurar um adequado nível de proteção dos titulares dos dados, quanto à confidencialidade, integridade e disponibilidade da informação, bem como da garantia de direitos oponíveis e medidas jurídicas corretivas eficazes, sendo uma informação que a ASF comunicará aos titulares ou disponibilizará através do seu sítio na Internet.

A ASF garante também que são tomadas as devidas diligências no sentido de assegurar que os dados pessoais transmitidos se destinam exclusivamente às finalidades para que foram recolhidos e que os direitos dos titulares dos dados são respeitados.

15.    Subcontratação

É lícito à ASF recorrer a outras entidades (subcontratantes) que, no âmbito do serviço prestado ou bem fornecido, procedem ao tratamento dos dados pessoais. As entidades subcontratadas devem apresentar à ASF as garantias suficientes de execução das medidas técnicas e organizativas que protejam os dados pessoais e garantam a defesa dos direitos dos titulares dos dados.

Sempre que necessário, as relações entre a ASF e os subcontratantes são formalizadas contratualmente, com definição do objeto, natureza, finalidade e duração das atividades de tratamento de dados, como dita o n.º 3 do artigo 28.º do RGPD. 

Na transmissão dos dados pessoais para o subcontratante, a ASF assegura o cumprimento dos princípios e direitos do titular previstos no RGPD e aplica as medidas técnicas e organizativas adequadas ao risco.

16.    Medidas de segurança no tratamento de dados pessoais

Para além de a ASF assegurar o cumprimento dos princípios relativos ao tratamento de dados pessoais previstos pelo RGPD, também se compromete a adotar as medidas técnicas e organizativas de segurança que, a cada momento, melhor garantam a proteção dos dados pessoais dos titulares.

Assim, a ASF adotará as medidas técnicas e organizativas adequadas à atividade de tratamento, com respeito pelas orientações ou legislação aplicável à segurança da informação e dos dados, nomeadamente: 

  • Garantir que os sistemas operativos de servidores e terminais se encontram atualizados, bem como todas as aplicações;
  • Utilizar controlos de acessos lógicos e de gestão de palavras-passe;
  • Utilizar controlos de segurança de rede e tecnologias de proteção contra ameaças;
  • Recorrer a controlos de acessos físicos e vigilância nas instalações;
  • Realizar ações de formação e sensibilização dos trabalhadores.

Além das mencionadas, a ASF poderá adotar outras medidas de segurança que considere adequadas à proteção dos dados pessoais dos titulares. 

17.    Incidentes de segurança

Caso se verifique um incidente de segurança no qual possa ocorrer uma violação de dados pessoais suscetível de causar um risco para os direitos e liberdades do titular, a ASF comunica-o à CNPD, no cumprimento dos prazos legalmente previstos.

A comunicação sobre a violação de dados pessoais ao titular dos dados visado deverá ocorrer se, tal como decorre do RGPD, estiver em causa uma situação de risco elevado para o titular. 
Nesse caso a ASF descreve de forma clara e simples a natureza da violação dos dados pessoais e menciona as informações legalmente previstas. 

Qualquer violação de dados pessoais, cujo tratamento esteja a cargo da ASF, pode ser reportada ao EPD através dos contactos indicados nesta Política de Privacidade. 

18.    Revisão e atualização da Política de privacidade

A ASF reserva-se ao direito de rever e atualizar a Política de Privacidade periodicamente e sempre que considerar necessário para a manutenção da conformidade regulatória e de acordo com as melhores práticas relativas à proteção de dados pessoais.

Outubro de 2024