Bové Montero
Bové Montero Cerrar

Política de Privacidade

  1. Início
  2. Política de Privacidade

Introdução

O objetivo desta Política é estabelecer as diretrizes que todos os níveis da Empresa deverão seguir em matéria de Proteção de Dados de caráter Pessoal.

Esta Política contém uma descrição dos elementos-chave, tanto humanos quanto organizativos, tecnológicos e documentais, que a Empresa aplica para proteger os dados de caráter pessoal, evitando que ocorram violações dos direitos e liberdades dos interessados.

Em todos os níveis da Empresa será garantida a aplicação real e efetiva das diretrizes estabelecidas nesta Política em matéria de proteção de dados, de modo que este sistema de autorregulação consiga eliminar comportamentos que possam colocar em risco os dados pessoais tratados pela Empresa.

1. Âmbito de aplicação

  • Âmbito Societário. – Esta Política será aplicável à BOVÉ MONTERO Y ASOCIADOS, S.L. (doravante, “a entidade”).
  • Âmbito pessoal. – Esta Política será aplicável a todos os níveis da entidade, incluindo os órgãos de administração, os cargos diretivos, os órgãos de controle e todo o pessoal.
  • Âmbito relacional. – O âmbito de aplicação desta Política se estenderá, na medida do possível, aos fornecedores, assessores, clientes e outros terceiros da Empresa.
  • Âmbito geográfico. – Esta Política será aplicada às relações públicas e privadas que a Empresa estabelecer em qualquer âmbito geográfico.

2. Normativa aplicável

Esta Política está adaptada à seguinte normativa:

  • Regulamento Geral de Proteção de Dados da UE (RGPD)
  • Lei Orgânica 3/2018, de 5 de dezembro, de Proteção de Dados Pessoais e garantia dos direitos digitais
  • Lei 34/2002, de 11 de julho, de serviços da sociedade da informação e de comércio eletrônico
  • Lei Orgânica 1/1982, de 5 de maio, de proteção civil do direito à honra, à intimidade pessoal e familiar e à própria imagem

Serão feitas as adaptações necessárias desta Política em função das mudanças legislativas que ocorrerem, assim como dos critérios estabelecidos em:

  • Os guias, relatórios e resoluções da Agência Espanhola de Proteção de Dados
  • Os guias, relatórios e resoluções das autoridades de controle dos demais Estados-membros da União Europeia
  • O Grupo de Trabalho do Artigo 29
  • As sentenças do Tribunal de Justiça da União Europeia
  • As sentenças da Audiência Nacional, do Tribunal Supremo e do Tribunal Constitucional

3. Riscos do negócio em matéria de proteção de Dados

A Empresa desenvolve sua atividade principal como empresa que presta serviços no campo da auditoria, consultoria, assessoria contábil, jurídica, tributária e trabalhista.

A especial natureza dos dados pessoais, a complexidade da normativa aplicável e a magnitude das sanções estabelecidas nela geram riscos como acesso não autorizado, cópia não autorizada, comunicação ou cessão a terceiros, além de outras infrações previstas no RGPD e na normativa local.

Os riscos derivados do não cumprimento das obrigações legais estabelecidas em matéria de proteção de dados são os seguintes:

  • Sanções administrativas
  • Delitos contra a intimidade
  • Indenizações por danos e prejuízos
  • Danos reputacionais

A proteção dos dados pessoais é um dos valores da entidade e é um objetivo prioritário da Empresa que exige uma série de medidas jurídicas, técnicas e organizativas, que são resumidas nesta Política e detalhadas em suas normas e procedimentos próprios.

4. Objetivos da proteção de Dados

Os objetivos da Empresa em matéria de proteção de dados estão alinhados com os do negócio, dando prioridade ao cumprimento das obrigações legais aplicáveis à atividade desenvolvida.

A proteção de dados é considerada uma vantagem competitiva, pois permite diferenciar a Empresa de seus concorrentes que não respeitam a privacidade de seus clientes e colaboradores ou que tratam inadequadamente seus dados, assumindo o risco de importantes sanções econômicas com grande impacto reputacional.

Será considerado um objetivo prioritário da proteção de dados o cumprimento do Regulamento Geral de Proteção de Dados da União Europeia e da Lei Orgânica de Proteção de Dados Pessoais e garantia dos direitos digitais.

Em todos os níveis da Empresa existirá o compromisso de cumprir os objetivos fixados em matéria de proteção de dados e os princípios e obrigações estabelecidos nesta Política.

A Empresa poderá elaborar normas e procedimentos que desenvolvam, concretizem e detalhem a presente Política.

5. Princípios da Proteção de Dados

A estratégia da Empresa em matéria de proteção de dados cumprirá os princípios descritos a seguir:

  • Princípio da licitude: o tratamento de dados pessoais será lícito se baseado no consentimento do interessado ou em outra base de legitimação estabelecida na Lei.
  • Princípio da transparência: o interessado deve ser informado de todas as circunstâncias relativas ao tratamento.
  • Princípio da lealdade: os dados pessoais não poderão ser tratados em circunstâncias diferentes das informadas.
  • Princípio da limitação da finalidade: os dados pessoais serão coletados para fins determinados, explícitos e legítimos, e não serão tratados posteriormente de maneira incompatível com tais finalidades.
  • Princípio da minimização dos dados: os dados pessoais deverão ser adequados, pertinentes e limitados ao necessário em relação às finalidades para as quais são tratados. Este princípio e o anterior se desenvolvem nos princípios de necessidade e proporcionalidade que se aplicam às avaliações de impacto.
  • Princípio da exatidão: os dados pessoais deverão ser exatos e, se necessário, atualizados, adotando-se todas as medidas razoáveis para que sejam suprimidos ou retificados sem demora os dados pessoais que sejam inexatos em relação às finalidades para as quais são tratados.
  • Princípio da limitação do prazo de conservação: os dados pessoais deverão ser mantidos de forma que permita a identificação dos interessados por um período não superior ao necessário para as finalidades do tratamento dos dados pessoais.
  • Princípio da integridade e confidencialidade: os dados pessoais deverão ser tratados de maneira a garantir uma segurança adequada, incluindo a proteção contra o tratamento não autorizado ou ilícito e contra sua perda, destruição ou dano acidental, mediante a aplicação de medidas técnicas ou organizativas apropriadas. Os dados pessoais só serão acessíveis para os usuários autorizados a acessá-los e não poderão ser comunicados a terceiros sem a correspondente autorização.
  • Princípio da responsabilidade proativa: a Empresa será responsável pelo cumprimento do disposto na normativa de proteção de dados e deverá ser capaz de demonstrar tal cumprimento.
  • Proteção de dados desde a concepção e por padrão: nos novos tratamentos, projetos, serviços e produtos será feita uma avaliação prévia do seu impacto em matéria de proteção de dados.

6. Papéis e responsabilidades

Todos os papéis e responsabilidades serão diferenciados e, na medida do possível, serão atribuídos de maneira individualizada na descrição do cargo. Além dessa atribuição individualizada, todas as pessoas pertencentes à Empresa, independentemente do seu nível, estarão obrigadas a cumprir as normas, procedimentos e controles estabelecidos em matéria de segurança da informação.

A máxima responsabilidade pelo controle em matéria de proteção de dados corresponderá ao Comitê de Proteção de Dados e Segurança da Informação.

A entidade dispõe de normas e procedimentos nos quais se estabelecem as obrigações do pessoal em matéria de proteção de dados.

A Empresa adotará as medidas necessárias para que o pessoal compreenda claramente as obrigações em matéria de proteção de dados que afetam o desenvolvimento de suas funções, assim como as consequências do seu descumprimento.

7. Registro de Atividades do Tratamento

A Empresa disporá de um registro de tratamentos no qual constarão os detalhes dos tratamentos autorizados como Responsável pelo Tratamento, bem como outro registro dos tratamentos realizados como Encaminhado pelo Tratamento.

De acordo com o princípio de privacidade desde a concepção e por padrão, e dada a impossibilidade de que os órgãos de controle conheçam todas e cada uma das atividades relacionadas aos dados pessoais realizadas em cada departamento, cada novo tratamento ou qualquer tratamento que modifique os atributos e características atribuídos no registro de tratamentos deverá ser comunicado ao Responsável pela Proteção de Dados, para que este avalie e autorize caso não represente um risco para os direitos e liberdades dos interessados.

Além disso, a Empresa informará sobre o tratamento dos dados pessoais a todos os interessados por meio das cláusulas informativas e de consentimento, conforme os artigos 13 e 14 do RGPD.

8. Análise de riscos

Todos os tratamentos sujeitos a esta Política de Segurança deverão passar por uma análise de risco, avaliando as ameaças e os riscos a que estão expostos. Esta análise será repetida periodicamente.

A Empresa realizará periodicamente uma análise dos riscos e ameaças que afetam a proteção de dados.

A análise de riscos será feita por meio de um mapa de riscos inerentes, no qual serão avaliados os riscos brutos existentes antes da aplicação dos controles de prevenção, detecção e mitigação. Em seguida, será criado um mapa de riscos residuais, no qual os riscos líquidos existentes após a aplicação dos controles serão avaliados de forma automatizada.

9. Diretrizes para minimizar os riscos

Para a gestão e minimização de riscos, a entidade aplicará medidas de segurança físicas, no pessoal, administrativas e na rede, tais como:

  • Segurança de acesso lógico: a Empresa aplica medidas de segurança para a proteção dos acessos lógicos.
  • Acesso lógico das pessoas aos sistemas informáticos: A entidade aplicará um sistema de autenticação em dois fatores. Por um lado, o usuário será atribuído pelo Administrador do Sistema e será o próprio usuário quem definirá sua própria senha. Por outro lado, o usuário receberá um código para validar essa autenticação.

A senha sempre será ininteligível, inclusive para o Administrador. Em caso necessário (p. ex., se o usuário a tiver esquecido), o Administrador do Sistema poderá forçar um processo de alteração de senha por parte do Usuário sem necessidade da anterior.

  • Controle de acesso a dados e recursos:

A Empresa elaborará as normas e procedimentos que desenvolvam, concretizem e detalhem as medidas de controle indicadas nesta seção.

  • Sistemas operacionais: Todos os Sistemas Operacionais utilizados nos sistemas informáticos da Empresa requerem validação e autenticação para acesso e utilização.
  • Vírus e malware: Todos os computadores da Empresa terão instalado um software antivírus e antimalware, que será atualizado periodicamente. Também haverá firewalls para controlar o tráfego de rede e detectar intrusões não autorizadas.

Os usuários serão informados pontualmente sobre as medidas básicas a serem adotadas para prevenir a entrada de vírus e malware.

  • Gestão de usuários: Deverá ser atualizada a relação de todos os usuários da Rede que possuem acesso autorizado ao Sistema de Informação, com a delimitação de seus níveis de acesso, garantindo assim sua confidencialidade e integridade. Além disso, a Empresa realizará controles de acesso e monitoramento dos sistemas informáticos disponibilizados aos trabalhadores, a fim de proteger as informações.
  • Limitação de acesso: Para acessar os recursos informáticos, é necessário ter previamente uma conta de usuário atribuída e estar cadastrado nos servidores de domínio. A autorização de acesso estabelecerá o perfil necessário para a configuração das funcionalidades e privilégios disponíveis nos aplicativos, conforme as competências de cada usuário, adotando uma política de atribuição de privilégios mínimos necessários para a realização das funções designadas. Além disso, é utilizada a autenticação em dois fatores para o acesso aos servidores de domínio.
  • Segurança Wi-Fi e redes sem fio: A Empresa aplicará as medidas adequadas para proteger o acesso indevido à rede Wi-Fi da Entidade.
  • Servidores e suportes físicos: Todas as informações confidenciais, bem como os dados de caráter pessoal, são armazenados em servidores de fornecedores externos que oferecem um nível adequado de conformidade no que diz respeito à proteção de dados e à segurança da informação.
  • Cópias de segurança: Todas as cópias de segurança realizadas por terceiros abrangem todas as informações necessárias para recuperar o serviço em caso de corrupção ou perda da informação (dados, programas, arquivos de configuração e, inclusive, a imagem de alguns servidores). Além disso, existem protocolos relativos às cópias de segurança e recuperação de dados.

Para todos os sistemas relevantes serão definidos os padrões de segurança, que incluirão, pelo menos, as seguintes informações: periodicidade das cópias de segurança, períodos de retenção das cópias, localização dos suportes de segurança, procedimentos de recuperação da informação, procedimentos de restauração e verificação da integridade das informações armazenadas.

  • Autenticação: Os códigos de Usuários e Senhas são pessoais e intransferíveis, sendo o Usuário o único responsável pelas consequências que possam derivar do uso indevido, divulgação ou perda dos mesmos.
  • Segurança no posto de trabalho: Os trabalhadores serão informados sobre as normas estabelecidas pela Empresa que devem ser aplicadas em relação à segurança no posto de trabalho, entre as quais se destacam o bloqueio automático de dispositivos, que requer ativação por meio de senha após alguns minutos de inatividade, assim como a aplicação de uma política de papel zero nas mesas de trabalho.
  • Dispositivos móveis: A Empresa estabelecerá as medidas de segurança apropriadas para os dispositivos móveis corporativos.

Os Usuários que possuírem dispositivos móveis corporativos deverão cumprir as normas de uso específicas e aplicar as correspondentes medidas de segurança.

10. Obrigações contratuais

Além das exigências legais em matéria de proteção de dados, a Empresa estará também obrigada a cumprir os requisitos específicos de proteção de dados que lhe sejam exigidos por seus clientes e fornecedores em relação aos dados de caráter pessoal aos quais tenham acesso em virtude de suas relações contratuais com eles.

A Empresa prestará especial atenção às obrigações contratuais das quais derive o tratamento de dados pessoais.

A Empresa fará e manterá atualizado um registro no qual identificará e priorizará as obrigações relacionadas com a proteção dos dados pessoais aos quais tenha acesso ou trate.

A Empresa verificará periodicamente que as obrigações contratuais assumidas em matéria de proteção de dados sejam conhecidas em todos os níveis da Empresa.

11. Controle de Fornecedores do ponto de vista da privacidade

A Empresa elaborará um registro de todos os fornecedores que tratem dados pessoais em nome da Empresa ou que tenham acesso direto ou indireto a dados pessoais gerenciados pela Empresa.

No caso de ser necessário contratar um novo serviço que exija o tratamento de dados, a Empresa realizará uma seleção de fornecedores e um processo de avaliação levando em conta as garantias exigidas na Lei em matéria de proteção de dados.

Nesta avaliação, será dada prioridade aos fornecedores que ofereçam maiores garantias em matéria de proteção de dados.

A relação com os fornecedores que tratem ou que tenham acesso direto ou indireto a dados pessoais será sempre regulada por um contrato que incluirá uma seção específica sobre as obrigações que o fornecedor deverá cumprir. Essas obrigações incluirão, no mínimo, as estabelecidas no artigo 28 do RGPD.

12. Prazos de conservação de Dados

A Empresa conservará os dados pessoais de forma que permita a identificação dos interessados apenas durante o tempo necessário para as finalidades do tratamento desses dados. Por isso, a Empresa elaborará e manterá atualizada uma tabela na qual estabelecerá o prazo de conservação dos dados que deve ou considere conveniente conservar.

Na elaboração desta tabela, serão levados em conta os prazos de prescrição das infrações e as limitações estabelecidas pelo RGPD e pela Lei Orgânica de Proteção de Dados Pessoais e garantia dos direitos digitais. Também serão consideradas as obrigações legais, setoriais e contratuais que possam exigir prazos superiores de conservação.

A Empresa deverá considerar também os prazos indicados aos interessados no momento de informá-los sobre seus direitos.

Em relação à destruição da documentação, deverá ser realizada de forma a garantir a confidencialidade durante todo o processo.

13. Gestão das violações e incidentes de segurança

Qualquer situação que possa comprometer a confidencialidade, integridade, disponibilidade, autenticidade ou rastreabilidade das informações da Empresa será considerada uma violação de segurança.

Por isso, a Empresa deverá estabelecer as medidas adequadas em matéria de cibersegurança, que incluirão a proteção contra ameaças originadas das redes de comunicação, tais como ataques cibernéticos, ataques de negação de serviço, acessos não autorizados e sequestro de sistemas ou ransomware, entre outros.

Qualquer pessoa que tenha conhecimento ou suspeita de algum incidente que possa afetar a proteção dos dados deverá comunicá-lo imediatamente através dos canais estabelecidos para esse fim.

No caso de que a violação ou incidente de segurança possa representar um risco para os direitos e liberdades das pessoas físicas, deverá ser notificado, no máximo 72 horas após a sua constatação, à Autoridade de Controle competente, ou seja, a Agência Espanhola de Proteção de Dados.

A entidade dispõe de um protocolo no qual se define o sistema seguido pela Empresa para notificação e gestão de incidentes e vulnerabilidades de segurança, com o objetivo de garantir que os incidentes de segurança e as fraquezas associadas aos sistemas de informação sejam registradas e tratadas de forma adequada, através das ações oportunas de reparação e resolução e da restauração dos níveis normais de funcionamento dos serviços afetados. Além disso, poderão ser adotadas ações corretivas para eliminar as causas e evitar sua reincidência no futuro.

14. Formação e conscientização

Todo o pessoal da entidade tem a obrigação de conhecer e cumprir a Política de Proteção de Dados. Por isso, a Empresa promoverá uma atividade constante de formação e conscientização em todos os níveis da empresa em matéria de proteção de dados.

A formação poderá ser realizada por meio de sessões presenciais ou cursos de e-learning.

A conscientização poderá ser baseada em qualquer tipo de material ou instrumento de comunicação e formação que permita sensibilizar sobre os riscos de infração em todos os níveis da empresa.

Cada trabalhador será responsável por cumprir esta política e os protocolos derivados conforme seu cargo de trabalho, bem como notificar as incidências de segurança que forem detectadas.

15. Prevenção de Infrações

O principal objetivo da Empresa com esta Política e suas normas, procedimentos e controles que a desenvolvem, é prevenir infrações dos direitos e liberdades dos interessados e cumprir com a normativa de proteção de dados de caráter pessoal.

O principal marco de referência que se terá em conta para cumprir este objetivo será o RGPD, que estabelece dois grupos de infrações: as graves e as muito graves.

Às infrações graves se poderão aplicar sanções de até 10 milhões de Euros ou 2% do faturamento anual global da Empresa. Neste grupo se incluiriam, por exemplo, medidas técnicas ou organizacionais inadequadas, contratação de encarregados de tratamento sem garantias suficientes, falta de notificação de uma violação de dados, etc. Às infrações muito graves se poderão aplicar sanções de até 20 milhões de Euros ou 4% do faturamento anual global da Empresa. Nesta categoria se incluiriam os casos de tratamento ilícito, consentimento ilícito, violação do dever de confidencialidade, etc.

16. Atualização e melhoria desta Política

Esta Política será atualizada periodicamente com o fim de refletir as mudanças e melhorias em matéria de proteção de dados. BOVÉ MONTERO Y ASOCIADOS, S.L. realizará uma verificação periódica da aplicação das medidas de prevenção e controle, e proporá as oportunas modificações que se requeiram em caso de detectar infrações relevantes desta política, mudanças significativas, ou mudanças nos sistemas de informação da entidade.