Privacy Policy

Objetivos e definições

Controlador de dados

A WEDDINGITALY Srl (doravante também designada como "Responsável pelo Tratamento" ou "Organização"), nos termos do Regulamento (UE) 2016/679 e do Decreto Legislativo 196/2003, Código de Proteção de Dados Pessoais (doravante também designado como "Código de Privacidade"), é a responsável pelo tratamento dos dados relativos a pessoas singulares identificadas ou identificáveis que deve utilizar no exercício das suas atividades para prosseguimento dos seus objetivos institucionais.

Este documento contextualiza as atividades de tratamento de dados pessoais do Controlador de Dados e descreve o "Modelo Organizacional de Privacidade" adotado pela Organização, ou seja, o conjunto de diretrizes, disposições operacionais e documentação interna destinadas a regulamentar o tratamento de dados pessoais pela Organização. 

A estrutura organizacional consiste em um escritório aberto ao público localizado na Viale Venezia 6, 33100 Udine.

Definições

Regulamento : Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, que revoga a Diretiva 95/46/CE (doravante também designado por “RGPD” - Regulamento Geral sobre a Proteção de Dados), Decreto Legislativo 2003/196 (conforme alterado pelo Decreto Legislativo 2018/101), doravante também designado por “Código de Privacidade”.

Controlador de dados : A pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outros, determina as finalidades e os meios de tratamento de dados pessoais.

Processador de dados : Pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do controlador.

Dados pessoais : Informações relativas a uma pessoa singular identificada ou identificável (o titular dos dados).

Categorias especiais de dados pessoais : São dados que podem revelar a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, bem como o tratamento de dados genéticos, dados Dados biométricos destinados a identificar de forma inequívoca uma pessoa singular, dados relativos à saúde, à vida sexual ou à orientação sexual da pessoa. Conforme estabelecido pelo Decreto Legislativo 101/2028, art. 22(2), também podem ser denominados “dados sensíveis”.

Dados biométricos : Dados pessoais resultantes de processamento técnico específico relacionados com as características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitem ou confirmam a identificação única dessa pessoa singular, como por exemplo, imagem facial ou dados dactiloscópicos.

Dados de saúde : Dados pessoais relativos à saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.

Titular dos dados : A pessoa singular a quem os dados pessoais se referem.

Autorizado a processar dados : Pessoa física formalmente autorizada a realizar operações de processamento pelo Controlador de Dados ou pelo Operador de Dados (incluindo pessoas designadas ).

Tratamento : Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou conjuntos de dados pessoais, por meios automatizados ou não, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

Países terceiros : Países fora do Espaço Econômico Europeu (Noruega, Islândia, Liechtenstein).

Âmbito de aplicação

Esta política de privacidade aplica-se à Organização como um todo, a todos os seus órgãos e estruturas, em todos os níveis.

A implementação desta política de privacidade é obrigatória para todos os funcionários internos e colaboradores externos que processam dados pessoais.

Em contratos com terceiros que possam processar dados pessoais pertencentes à Organização, o Controlador de Dados avalia quais seções desta política devem ser incluídas como instruções ou compromissos assumidos pelo terceiro.

O Controlador de Dados divulga esta política de privacidade dentro da organização, mantendo a documentação relevante disponível aos destinatários e promovendo atividades de treinamento para os envolvidos, em diversas funções, nas operações de processamento de dados pessoais.

Princípios

O Controlador de Dados compromete-se a garantir que os dados pessoais sejam tratados em conformidade com as disposições legais e, de acordo com o princípio da responsabilização, deve sempre ser capaz de demonstrar e justificar as escolhas feitas em relação à segurança dos dados pessoais.

Os princípios aplicáveis ao tratamento constituem a base de todo o RGPD e estão descritos, em particular, nos artigos 5.º e 25.º do Regulamento. O artigo 5.º prevê que os dados pessoais devem ser:

  • tratados de forma lícita, leal e transparente em relação ao titular dos dados (princípio da licitude, lealdade e transparência);
  • coletadas para fins específicos, explícitos e legítimos, e posteriormente processadas de forma que não seja incompatível com esses fins (princípio da limitação da finalidade);
  • adequados, pertinentes e limitados ao que é necessário em relação às finalidades para as quais são tratados (minimização de dados);
  • preciso e, quando necessário, atualizado (precisão);
  • conservados de forma que permita a identificação dos titulares dos dados apenas durante o período necessário para os fins para os quais os dados pessoais são tratados (limitação de conservação);
  • tratados de forma a garantir a segurança adequada dos dados pessoais, incluindo a proteção contra o tratamento não autorizado ou ilícito e contra a perda, destruição ou dano acidental, utilizando medidas técnicas ou organizacionais adequadas (integridade e confidencialidade);
  • o artigo 25.º do RGPD exige que o responsável pelo tratamento de dados, antes de iniciar qualquer tratamento, implemente medidas de segurança técnicas e organizacionais para garantir a proteção de dados desde a fase de conceção dessas atividades e por defeito.

Estas diretrizes aplicam-se não só ao tratamento de dados pessoais para os quais a organização é a Controladora de Dados, mas também a todo o tratamento realizado em nome de controladores terceiros para os quais a Organização é designada como Operadora de Dados, a menos que sejam recebidas instruções mais restritivas dos próprios Controladores.

Ao delegar partes do processamento a terceiros (Operadores de Dados), o Controlador de Dados exige garantias de proteção semelhantes e a adoção de medidas de segurança adequadas. Nesses casos, as seções relevantes desta política são disponibilizadas aos Operadores de Dados na forma de instruções vinculativas, nos termos do Artigo 28 do RGPD.

Contexto do tratamento

Tipo de dados pessoais e titulares dos dados

A organização processa sistematicamente os dados pessoais de funcionários e colaboradores, dados de clientes e dados de fornecedores. A clientela é composta principalmente por pessoas físicas.

Quando necessário, os dados previstos no Artigo 9.º do RGPD (categorias especiais de dados pessoais) também podem ser tratados para garantir os direitos dos titulares dos dados e do responsável pelo tratamento em matéria de direito laboral, segurança social e proteção social.

Os serviços prestados envolvem o tratamento de dados pessoais necessários para a execução do contrato com os clientes. Na organização de casamentos e eventos solicitados pelos clientes, quando necessário, também podem ser tratados dados sensíveis dos titulares dos dados, em particular dados de saúde e dados relativos a crenças religiosas ou filosóficas.

Com o consentimento específico dos interessados, será possível coletar imagens e gravações audiovisuais que os retratem durante a cerimônia ou eventos relacionados para fins promocionais do Controlador de Dados.

Arquivos de dados pessoais

Os arquivos em papel[1] estão localizados na sede do Controlador de Dados, enquanto os arquivos de produção informatizados estão armazenados nos espaços em nuvem fornecidos pela Microsoft (Controlador de Dados) com o pacote "Microsoft 365" que a Organização utiliza.

O serviço de nuvem da Microsoft oferece redundância em termos de armazenamento; em qualquer caso, o proprietário mantém um arquivo de backup gerenciado pelo administrador.

Para obter uma lista das medidas de segurança adotadas pela Organização, consulte a parte final das avaliações de risco (seção 09 do MOP).

Segurança dos tratamentos

Riscos do tratamento

Em conformidade com o RGPD (Regulamento Geral de Proteção de Dados), o Controlador de Dados selecionou as medidas de segurança a serem adotadas após avaliar os riscos associados ao tratamento dos dados pessoais dos funcionários. A avaliação de riscos foi realizada seguindo a estrutura proposta pela ENISA[1](Agência Europeia para a Cibersegurança), que também propõe uma série de medidas de segurança categorizadas por nível de risco. Essas medidas estão amplamente vinculadas aos controles propostos na estrutura de certificação ISO/IEC 27001:2022 para sistemas de gestão de segurança da informação. O nível de risco geral foi considerado médio.

Nota: Caso sejam detectadas anomalias na utilização dos serviços e sistemas de TI, o Responsável pelo Tratamento de Dados poderá iniciar verificações graduais. Essas verificações, se as anomalias persistirem e houver necessidade comprovada, poderão também ser direcionadas a utilizadores individuais. Essas verificações serão realizadas em conformidade com o Estatuto dos Trabalhadores e com a dignidade dos mesmos. Os colaboradores são obrigados a utilizar os serviços e ferramentas de TI da empresa para fins laborais e não para o tratamento dos seus dados pessoais, de forma a proteger a sua privacidade e os seus direitos e liberdades.

Legalidade e correção

Em conformidade com os princípios da licitude e da lealdade, o responsável pelo tratamento processa os dados pessoais informando adequadamente os titulares dos dados por meio de documentos elaborados de acordo com os artigos 13 e 14 do RGPD e implementando instruções internas específicas para garantir que os titulares dos dados possam exercer os direitos previstos nos artigos 15 a 22, 7 e 77 do RGPD.

Os chamados "avisos de informação" e as instruções para gerir o exercício dos direitos dos titulares dos dados são revistos pelo menos anualmente.

Limitação de finalidade e minimização de dados

As finalidades do tratamento são claramente indicadas nos avisos de privacidade e limitam-se ao necessário para a execução dos contratos entre o Controlador de Dados e os titulares dos dados. Pelo menos anualmente, o Controlador de Dados verifica se a documentação informativa para os titulares dos dados descreve com precisão as finalidades do tratamento e se o volume de dados tratados não excede o necessário.

Precisão dos dados e limitações de armazenamento

Os dados são coletados e armazenados de forma a garantir sua precisão até o final do processamento. Dependendo das finalidades para as quais são armazenados, o Controlador de Dados estabelece um período de retenção (ou um critério para determinar esse período) e informa os titulares dos dados sobre isso nos avisos de privacidade. Os períodos de retenção estabelecidos pelo Controlador de Dados são indicados nos Registros de Processamento. Quando necessário, o Controlador de Dados também indica no mesmo documento os motivos para determinar o período de retenção.

Integridade e confidencialidade

A Organização está ciente de que os dados dos funcionários (ou dos familiares dos titulares dos dados) e os dados dos clientes podem ser sensíveis e adota medidas de segurança técnicas e organizacionais adequadas.

As pessoas autorizadas a tratar dados ou designadas para funções específicas de privacidade comprometem-se com a confidencialidade e realizam, pelo menos anualmente, sessões de formação e sensibilização para aumentar a conscientização sobre os riscos de segurança e como lidar com eles, bem como o conhecimento das instruções internas.

Por meio de contratos específicos de nomeação de processadores de dados ou outros acordos de proteção de dados celebrados com terceiros, o Controlador de Dados visa garantir níveis semelhantes de segurança para os dados a serem processados por esses terceiros.

Implementação de normas internas

As regras para o tratamento de dados pessoais sob a autoridade do Controlador de Dados, WEDDINGITALY Srl, estão definidas na documentação do MOP (Modelo Organizacional de Privacidade), especificamente nos seguintes documentos:

  • Nomeação de autoridades de processamento de dados (secção P04)
  • Nomeação de responsáveis pelo tratamento de dados (secção P08)
  • Regulamento interno (secção P10).

O cumprimento e a implementação das regras são da responsabilidade das seguintes partes:

  • O Controlador de Dados, que, nessa qualidade, estabelece os métodos de divulgação do conteúdo das políticas e regulamentos internos que implementam as disposições contidas nesses documentos.
    O Controlador de Dados também é responsável por:
    - Realizar análises de risco utilizando metodologias apropriadas e adotar medidas de gestão de riscos;
    - Estabelecer as regras de conduta necessárias para a condução segura das atividades da empresa;
    - Verificar violações de segurança, tomar as contramedidas necessárias e controlar a exposição da empresa a grandes ameaças e riscos;
    - Organizar treinamentos e promover a conscientização da equipe sobre todos os assuntos relacionados à qualidade, segurança e proteção da informação;
    - Verificar periodicamente a eficácia e a eficiência das medidas de segurança.
  • Todo o pessoal que, em qualquer função, colabora com a empresa e está de alguma forma envolvido no tratamento de dados e informações abrangidos pelo Modelo Organizacional de Privacidade. O pessoal é responsável, cada um dentro das suas respectivas áreas de responsabilidade, pelo tratamento em conformidade com as instruções recebidas e pela comunicação de quaisquer anomalias e violações (mesmo potenciais) desta política de que tenha conhecimento. O incumprimento das instruções recebidas do Responsável pelo Tratamento de Dados relativamente ao tratamento de dados pessoais sujeita os responsáveis pelo tratamento de dados a sanções disciplinares e, nos casos mais graves, a responsabilidade civil e criminal.
  • Todas as partes externas que mantêm relações e colaboram com a empresa e que devem garantir o cumprimento dos requisitos contidos na política de privacidade, como, por exemplo, colaboradores externos ou fornecedores que possam processar dados em nome do Controlador de Dados ou sob sua autoridade.

Monitoramento do modelo organizacional de “privacidade”

A gestão da empresa revisa a eficácia e a eficiência do Modelo Organizacional de Privacidade (MOP) pelo menos uma vez por ano para garantir que ele esteja atualizado corretamente e para fornecer suporte adequado à implementação das melhorias necessárias. Esse processo contínuo leva em consideração os desenvolvimentos regulatórios e tecnológicos, os custos de gestão e as necessidades em constante evolução da organização.

O Controlador de Dados planeja a revisão desta política envolvendo as figuras relevantes da empresa e, se necessário, recorrendo a consultores externos.

As atividades de revisão devem incluir o status das ações preventivas e corretivas, bem como a conformidade dos procedimentos com as disposições desta política.

O resultado do processo de revisão periódica inclui todas as decisões tomadas e as ações implementadas para aprimorar o Modelo Organizacional de Privacidade.

Informação e treinamento

O Controlador de Dados só poderá atingir o objetivo de processamento de dados em conformidade com as regulamentações[2] e coerente com o contexto, dedicando especial atenção à formação dos seus colaboradores. Para tal, o Modelo Organizacional de Privacidade é disponibilizado tanto aos colaboradores já existentes como aos novos contratados, aquando da sua admissão.

As atualizações ao Modelo Organizacional de Privacidade são comunicadas aos colaboradores através dos métodos considerados mais eficazes em cada caso.

A fim de criar um ambiente propício à proteção de dados e formar adequadamente os colaboradores que assumem funções específicas na gestão de dados pessoais, o Controlador de Dados:

    • adota um plano de treinamento destinado a todos os funcionários da empresa;
    • prevê o fornecimento de módulos específicos com base na função desempenhada e em caso de mudanças de emprego;
    • adota um plano anual de treinamento relacionado à privacidade, oferecido a todos os funcionários da empresa;
    • conserva a documentação distribuída e os formulários que comprovam a participação nas sessões de treinamento e as avaliações do conhecimento adquirido.

    A formação dos responsáveis pelo tratamento de dados e, quando julgado necessário, de outras figuras-chave no Modelo Organizacional de Privacidade, diz respeito, em particular, a:

    • os aspectos gerais das normas de proteção de dados pessoais;
    • as ameaças, vulnerabilidades, probabilidade de ocorrência e, consequentemente, os riscos que ameaçam os dados processados;
    • as consequências decorrentes de uma violação de dados pessoais (Violação de Dados);
    • os procedimentos a serem seguidos em caso de violação de dados pessoais;
    • medidas preventivas para evitar ou pelo menos reduzir a probabilidade de ocorrência de violações e medidas para mitigar os danos caso elas ocorram;
    • os aspectos específicos das normas de proteção de dados pessoais no(s) setor(es) relevante(s) para o Controlador de Dados;
    • a utilização segura de ferramentas e sistemas de TI e quaisquer regulamentos definidos pelo Controlador de Dados.

    A formação deve ser documentada em conformidade com o princípio da responsabilização estabelecido no artigo 5.º, n.º 2, do RGPD e os resultados desta atividade devem estar sempre disponíveis.

    Os órgãos diretivos

    A Weddingitaly é uma sociedade de responsabilidade limitada unipessoal. A estrutura organizacional simplificada deve, no entanto, estabelecer o necessário para atingir as seguintes obrigações/objetivos:

    • garantir que todos os objetivos de segurança da informação sejam identificados e que sejam consistentes com o contexto operacional;
    • estabelecer as funções e as respectivas responsabilidades para a implementação e manutenção do Modelo Organizacional de Privacidade;
    • fornecer recursos suficientes para o planejamento, implementação, organização, controle, revisão, gestão e melhoria contínua do Modelo Organizacional de Privacidade;
    • garantir que a proteção de dados seja integrada em todos os processos de negócio desde a sua concepção;Ativar programas para disseminar a conscientização e a cultura de segurança da informação.

    O Controlador de Dados reconhece sua responsabilidade perante a legislação aplicável e compromete-se a proteger os dados pessoais que lhe forem confiados contra perda, uso indevido ou acesso não autorizado.

    Organograma e sistema de nomeações

    Controlador de dados

    O Controlador de Dados deve assegurar a identificação precisa das funções e responsabilidades na área da privacidade, tanto interna como externamente à organização, com especial atenção às nomeações e designações das seguintes pessoas:

    Controladores de dados

    Os Processadores de Dados são pessoas físicas ou jurídicas que processam dados pessoais em nome do Controlador de Dados, que permanece responsável por quaisquer danos resultantes do processamento aos titulares dos dados. Por essa razão, o Controlador de Dados seleciona os Processadores de Dados dentre aqueles que atendem aos requisitos necessários e fornecem garantias adequadas para realizar o processamento em conformidade com a legislação. O Processador de Dados pode contratar outro processador (subprocessador) somente se impuser a esse subprocessador as mesmas obrigações que o Processador tem perante o Controlador de Dados. Caso o subprocessador não cumpra suas obrigações de proteção de dados, o Processador permanece integralmente responsável perante o Controlador de Dados pelo cumprimento das obrigações do subprocessador. 

    O Controlador de Dados nomeia os Processadores de Dados mediante um contrato específico de proteção de dados que contenha, no mínimo, todos os elementos exigidos pelo Artigo 28 do RGPD. Nos termos do Artigo 28 do RGPD, o Processador de Dados mantém total responsabilidade perante o Controlador de Dados pelo cumprimento das obrigações do subprocessador. 82(2) do RGPD, “ Um processador só será responsável pelos danos causados pelo processamento se não tiver cumprido as obrigações deste Regulamento especificamente dirigidas aos processadores ou se tiver agido fora ou em contrariedade às instruções legítimas do controlador .”

    Autorizado para processamento

    O Controlador de Dados nomeia formalmente as pessoas autorizadas a tratar dados nos termos do Artigo 29 do RGPD e fornece-lhes instruções para o tratamento em conformidade com os regulamentos e procedimentos internos. 

    As pessoas autorizadas tratam dados pessoais relativos à sua área de atuação e operam sob a autoridade do Controlador de Dados, cumprindo as instruções fornecidas por este, com especial atenção aos procedimentos que regem a utilização das bases de dados a que têm acesso. 

    As pessoas autorizadas a tratar dados são:

    • comunicar ao Controlador de Dados quaisquer solicitações recebidas do interessado relacionadas ao exercício dos seus direitos garantidos pelo RGPD;
    • eles notificam o Controlador de Dados caso uma operação de processamento não esteja em conformidade com as instruções recebidas;
    • comunicar ao Controlador de Dados qualquer acesso não autorizado ou outros incidentes, mesmo suspeitos, a dados pessoais, bases de dados ou sistemas informáticos que possam comprometer a confidencialidade, integridade ou disponibilidade dos dados pessoais;
    • eles acompanham os eventos de treinamento organizados pelo Controlador de Dados sobre questões de proteção de dados;
    • comprometem-se a manter a confidencialidade dos dados pessoais de que tomarem conhecimento no desempenho das suas funções.

    Designado para funções específicas

    O Controlador de Dados, dentro de sua estrutura organizacional, designa indivíduos específicos para desempenhar funções ou tarefas específicas relacionadas à proteção de dados pessoais, de acordo com o Artigo 2-quaterdecies do Código.

    O administrador do sistema

    O profissional que, na área de TI, mantém, configura e gerencia um sistema de processamento de dados ou seus componentes, incluindo sistemas de software complexos (administrador de sistemas), um banco de dados (administrador de banco de dados) ou redes e equipamentos de telecomunicações de segurança (administrador de redes), é designado como a pessoa autorizada a processar dados, sendo denominado Administrador de Sistemas.

    A atribuição das funções de Administrador de Sistemas ocorre após avaliação da experiência, capacidade e confiabilidade do indivíduo designado, que fornece garantias adequadas de total conformidade com as disposições aplicáveis, incluindo aquelas relacionadas à segurança[3].

    A nomeação de um Administrador de Sistemas deve ser individual, explicitamente declarada por escrito, com uma descrição detalhada do escopo de operações permitido com base no perfil de autorização atribuído. 

    O Administrador de Sistemas pode usar contas autorizadas para acessar um ou mais sistemas com privilégios superiores aos do usuário "comum". Por exemplo, o Administrador de Sistemas tem o poder de criar, modificar e excluir usuários ou entidades autorizados a acessar os serviços ou ferramentas de TI do Controlador de Dados e/ou pode conceder ou negar acesso a recursos específicos a determinados usuários ou entidades.

    Caso o administrador seja externo à organização, a nomeação dessa pessoa como Processador de Dados será considerada.

    Medidas gerais de segurança

    A responsabilidade pela proteção de todos os dados processados recai sobre as funções relevantes dentro da Organização. 

    Deve-se dar especial atenção à utilização de serviços e dispositivos de TI, devido à sua importância e abrangência, bem como à constante evolução da tecnologia, que acarreta novos riscos potenciais.

    Os sistemas devem ser protegidos tanto física quanto logicamente. 

    Dependendo da complexidade dos sistemas de TI em uso, o Controlador de Dados poderá estabelecer regulamentos internos específicos.

    As diretrizes que orientam as decisões de segurança de TI são, mais uma vez, os princípios do RGPD (Regulamento Geral sobre a Proteção de Dados).

    Todas as medidas proporcionais ao contexto do tratamento que possam garantir a confidencialidade dos dados (principalmente medidas de autenticação e autorização), a integridade e a disponibilidade (por exemplo, sistemas de backup adequados, verificações de integridade, procedimentos de recuperação de desastres) devem ser implementadas.

    Neste contexto específico, as medidas de segurança adotadas pelo Controlador de Dados são indicadas na parte final das Avaliações de Risco (seção P.09). 


    Notas

    [1] Manual sobre a segurança do tratamento de dados pessoais – ENISA – 29 de janeiro de 2018

    [2] Artigo 29 do Regulamento – “Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante ” O subcontratante e qualquer pessoa que atue sob a autoridade do responsável pelo tratamento ou do próprio responsável pelo tratamento, que tenha acesso a dados pessoais, não podem tratar esses dados, exceto mediante instruções do responsável pelo tratamento, a menos que tal seja exigido pelo direito da União ou de um Estado-Membro.
    Artigo 2º do Código de Privacidade – “Atribuição de funções e tarefas a pessoas designadas” O responsável pelo tratamento ou o operador de dados pode, sob sua responsabilidade e dentro de sua estrutura organizacional, designar pessoas físicas expressamente designadas para tarefas e funções específicas relacionadas ao tratamento de dados pessoais, que atuem sob sua autoridade.

    [3] Disposição do Garante de 27 de novembro de 2008 relativa à atribuição das funções de administrador de sistemas.


    [1] Faça as alterações necessárias.