Política de Privacidade

Regulamento Política Privacidade Startup Portugal

Política de privacidade da Startup Portugal

Enquadramento Geral

A proteção de Dados Pessoais é um direito fundamental, pelo que a sua privacidade é importante para a Startup Portugal — Associação Portuguesa para a promoção do Empreendedorismo (“SPAPPE”) em particular no que respeita ao tratamento de dados pessoais realizados através da(s) plataforma(s):

  • WordPress
  • Typeform
  • MailChimp
  • Eventbrite
  • Meta (Facebook e/ou Instagram)

Por isso esclarecemos os Dados Pessoais que recolhemos, para que finalidades, os princípios que orientam esta utilização e quais os direitos que assistem aos titulares desses mesmos dados.

É com o propósito da salvaguarda da proteção de dados que enquanto Responsável pelo Tratamento dos seus Dados se:

  • Assegura que o tratamento dos Dados Pessoais é efetuado no âmbito da(s) finalidade(s) para os quais os mesmos foram recolhidos, e no estrito cumprimento da Lei;
  • Assume o compromisso de implementar uma cultura de minimização de Dados, em que apenas se recolhe, utiliza e conserva os Dados Pessoais estritamente necessários e que resultam de imperativos legais.

Para o efeito, aconselhamos a leitura da política de privacidade de modo a poder tomar conhecimento dos seus direitos, as condições em que disponibiliza os seus dados pessoais, autoriza a sua recolha, uso e divulgação.

Compromisso SPAPPE

Proteger os seus dados pessoais

Através desta Política, a SPAPPE reconhece a importância da segurança dos dados pessoais que tratam e asseguram a proteção da privacidade dos respetivos titulares sem prejudicar o objeto e concretização plena das diferentes áreas em que atua.

Nesta Política, presta ainda informação sobre as regras, os princípios e as boas práticas que observa no âmbito do tratamento dos dados pessoais que lhe são confiados, em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) e demais legislação aplicável, e sobre os meios que os titulares dos dados têm ao seu dispor para exercício dos respetivos direitos.

Responsável pelo tratamento de Dados

No âmbito da atividade que desenvolve nas suas diferentes áreas de atuação, a SPAPPE é a entidade responsável pelo tratamento de dados pessoais, podendo ser contactada através do seguinte endereço de e-mail: contact@startupportugal.com.

Encarregado de Proteção de Dados

Atendendo à obrigação legal que resulta da alínea h) do n.º 2 do artigo 12.º do RGPD, a SPAPPE designou, um Encarregado de Proteção de Dados, responsável por garantir, entre outros aspetos, a conformidade das atividades de tratamento e proteção de dados pessoais sob a sua, de acordo com a legislação aplicável e com a presente Política.

Entre outras funções, é da sua responsabilidade:

  • Monitorizar a conformidade do tratamento de dados com as normas aplicáveis;
  • Servir de ponto de contacto para o esclarecimento de questões relativas ao tratamento de dados;
  • Cooperar com a CNPD, na sua qualidade de autoridade de controlo;
  • Prestar informação e aconselhar a SPAPPE, ou as entidades subcontratadas, sobre as suas obrigações no âmbito da privacidade e proteção de dados.

Assim, os titulares de dados pessoais, caso o pretendam, podem endereçar uma comunicação ao Encarregado da Proteção de Dados, relativamente a assuntos relacionados com o tratamento de dados pessoais, utilizando, para o efeito, o seguinte email: contact@startupportugal.com.

Alterações à Política de Privacidade

A SPAPPE reserva-se ao direito de proceder a alterações à presente Política de Privacidade, sendo essas alterações devidamente publicitadas no seu respetivo website e/ou noutros canais que considere adequados.

Política de cookies

Neste website, são utilizados cookies de sessão, apenas para analisar padrões de tráfego na web ou para permitir identificar problemas e fornecer uma melhor experiência de navegação.

Todos os browsers permitem ao utilizador aceitar, recusar ou apagar cookies, nomeadamente através da seleção das definições apropriadas no respetivo navegador. Os cookies poderão ser configurados no menu “opções” ou “preferências” do browser do utilizador.

Note-se, no entanto, que, ao desativar cookies, o utilizador poderá impedir que alguns serviços da web funcionem corretamente, afetando, parcial ou totalmente, a navegação no website.

Para saber mais sobre os cookies, incluindo a forma de ver o que cookies foram criados e como gerenciar e excluí-los, visite www.allaboutcookies.org que inclui informações sobre como gerir as suas configurações para os vários fornecedores de navegadores.

A Política de Privacidade 360.º da SAPPE

A SPAPPE desenvolveu e implementou uma Política de Privacidade que inclui um vasto conjunto de medidas para proteção dos seus dados pessoais. A implementação desta política resultou da identificação dos dados pessoais da sua responsabilidade, da avaliação da qualidade dos dados, da definição de controlos de segurança, da proteção e monitorização dos dados.

A presente informação, pretende de forma estruturada e simplificada apresentar a respetiva política de privacidade para uma maior transparência sobre como tratamos os dados pessoais.

Dados pessoais

Dados Pessoais são qualquer informação, de qualquer natureza e em qualquer suporte (ex: som ou imagem), relativa a uma pessoa singular identificada ou identificável (designado por “titular dos dados”). É considerada identificável a pessoa singular que possa ser identificada direta ou indiretamente, designadamente, através de um nome, de um número de identificação, de um dado de localização, de um identificador eletrónico ou de outros elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

Dados pessoais sensíveis

Dados sensíveis são todos os dados pessoais que estão sujeitos a condições de tratamento específicas. Enquadram-se neste universo:

  • Os dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical;
  • Os dados biométricos tratados com o objetivo de identificar uma pessoa de forma inequívoca;
  • Os dados relacionados com a saúde;
  • Os dados relativos à vida sexual ou orientação sexual da pessoa.

Titulares de dados

É titular de dados qualquer pessoa singular a quem os dados pessoais digam respeito.

No contexto da atividade desenvolvida pela SPAPPE e recolhidos pela(s) plataforma(s) mencionados no ponto 1 supra, são titulares de dados pessoais todos os dados pessoais recolhidos para o cumprimento obrigação legal, bem como todas as pessoas singulares que remetam os seus dados ou autorizem a SPAPPE a utilizarem os seus dados.

Esclarecemos que o acesso aos dados pessoais é realizado de forma diferenciada, tendo sido fixados diferentes níveis de acesso à informação, e fundamentada a necessidade de a ela aceder, sendo realizado de forma autonomizada, limitando-se acesso ao técnico responsável pelo mesmo e ao seu responsável máximo.

Categorias de dados pessoais tratados pela SPAPPE
A SPAPPE trata dados pessoais de diferente natureza e sensibilidade, bem como da finalidade associada ao tratamento desses dados, como sejam, a título exemplificativo:

  • Dados pessoais de identificação: nome, data de nascimento, local de nascimento, sexo, nacionalidade, morada, número de telefone, habilitações profissionais, e-mail, número de identificação civil e/ou passaporte, número de contribuinte, número de carta de condução e número de segurança social;
  • Dados sensíveis – Apenas e exclusivamente os dados que são formalmente exigidos por obrigações fiscais.
    Situação familiar: estado civil, nome do cônjuge, filhos ou pessoas dependentes e/ou qualquer outra informação necessária para determinar os complementos salariais e respetivas obrigações fiscais;
  • Dados profissionais: curso e nível de ensino, situação profissional, experiência profissional, certificações e local de trabalho.

Registo de tratamento de dados

A SPAPPE possui o registo de tratamento de dados, nos termos do artigo 30.º do RGPD, nos termos exigidos pela CNPD, que inclui:

  • O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;
  • As finalidades do tratamento dos dados;
  • A descrição das categorias de titulares de dados e das categorias de dados pessoais;
  • Os prazos previstos para o apagamento das diferentes categorias de dados;
  • As medidas técnicas e organizativas no domínio da segurança implementada para assegurar pseudonimização e a cifragem dos dados pessoais e a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento.

Princípios no âmbito do tratamento de dados pessoais

No âmbito do tratamento de dados pessoais, a SPAPPE observa os seguintes princípios fundamentais:

  • Princípio da lealdade, licitude e transparência: os dados pessoais são objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
  • Princípio da limitação das finalidades: os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas, não sendo tratados posteriormente de uma forma incompatível com essas finalidades;
  • Princípio da minimização dos dados: os dados pessoais serão adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
  • Princípio da exatidão: os dados pessoais serão exatos e atualizados sempre que necessário, sendo adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;
  • Princípio da limitação da conservação: os dados pessoais serão conservados de uma forma que permite a identificação dos titulares apenas durante o período necessário para as finalidades para as quais os dados são tratados;
  • Princípio da integridade e confidencialidade: os dados pessoais serão tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, sendo adotadas as medidas técnicas ou organizativas adequadas.

Enquanto responsável pelo tratamento, a SPAPPE compromete-se a assegurar que o tratamento dos dados dos titulares é feito no estrito cumprimento dos princípios mencionados, e que está em condições de poder comprovar o cumprimento dos mesmos.

Fundamentação para tratamento de dados pessoais

A SPAPPE apenas trata dados pessoais sempre que se verifique, pelo menos, uma das seguintes situações:

  1. Consentimento do titular: quando o titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais, para uma ou mais finalidades específicas, mediante expresso consentimento, que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular consente no tratamento dos seus dados. O consentimento poderá ser obtido por quaisquer meios (incluindo eletrónico), conservando a SPAPPE através de registo físico ou de plataforma tecnológica um registo do mesmo, como forma de poder comprovar que o titular deu o seu consentimento para o tratamento dos seus dados pessoais.
    O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, sendo que a retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado.
  2. Execução de contrato ou diligências pré-contratuais: quando o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular.
    Nesta situação, enquadram-se, a título exemplificativo, o tratamento de dados pessoais dos colaboradores e prestadores da SPAPPE no âmbito da gestão da relação laboral estabelecida ou os respetivos prestadores de serviços no âmbito da relação contratual.
  3. Cumprimento de obrigação legal: existem um alargado conjunto de situações onde os dados são necessários para o cumprimento de uma obrigação legal a que a SAPPE está sujeita ao seu tratamento, nomeadamente, a título de exemplo, aos elementos que permitam avaliar o preenchimento de requisitos para a certificação de uma Startup, através da Lei n.º 21/2023, de 25 de maio.
  4. Interesses vitais: quando o tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular, exemplo, no caso de emergências médicas ou de segurança do titular dos dados.Interesse público/autoridade pública: quando o tratamento for necessário ao exercício de funções de interesse público. Por exemplo, na necessidade de alertas junto de entidades reguladoras, de supervisão. A SPAPPE é associação privada de interesse público e a sua atividade é conduzida pelo interesse público, pelo que grande parte da atividade tem essa fundamentação ainda que deve ser avaliada em cada processo de tratamento.
  5. Interesse legítimo: quando o tratamento for necessário para efeito dos interesses legítimos prosseguidos pela SPAPPE, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Dados sensíveis

A SPAPPE pode tratar dados sensíveis nas seguintes condições:

  • Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais, para uma ou mais finalidades específicas;
  • Quando, nos termos da legislação da União Europeia, da legislação nacional ou de uma convenção coletiva, o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos da SPAPPE ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social;
  • Quando o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso de o titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento;
  • Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;
  • Se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício da sua função jurisdicional;
  • Se o tratamento for necessário por motivos de interesse público relevante, com base no direito da União Europeia ou no direito nacional;
  • Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social, com base no direito da União Europeia ou no direito nacional ou por força de um contrato com um profissional de saúde;
  • Se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, com base no direito da União Europeia ou no direito nacional;
  • Se o tratamento for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, com base no direito da União Europeia ou no direito nacional.

Finalidades de tratamento dos dados pessoais

Considerando a diversidade das suas áreas de atuação, a SPAPPE trata dados pessoais para as seguintes finalidades:

  • Dados financeiros – Para pagamento de renumeração dos seus colaboradores e aquisição de serviços; gestão de pagamentos; receção e tratamento de propostas apresentadas em procedimentos aquisitivos; execução de contratos estabelecidos com fornecedores.
  • Procedimentos contratuais – Elaboração de contratos, instruindo e praticando os inerentes procedimentos técnico. Receção e tratamento de pedidos de suporte informático; Desenvolvimento de novas soluções informáticas para o ecossistema do empreendedorismo português, incluindo para a rede nacional de incubadoras;
  • Recursos Humanos – Gestão de recursos humanos (assiduidade e gestão de horários); processamento salarial; avaliação de desempenho; promoção da segurança, higiene e saúde no trabalho; atribuição de benefícios sociais aos trabalhadores;
  • Atividades desenvolvidas – Organização de eventos no âmbito dos seus princípios e estatutos, realização de seguros de eventos junto de entidades seguradoras, participação em eventos internacionais, cooperação com outras entidades homólogas ou que façam parte do ecossistema do empreendedorismo nacional.

Período de conservação dos dados pessoais

Os dados pessoais são conservados apenas durante o período de tempo necessário para a realização das finalidades para as quais são tratados. A SPAPPE cumpre os prazos máximos de conservação legalmente estabelecidos.

No entanto, os dados poderão ser conservados por períodos mais longos, para fins de interesse público, cumprimento de finalidades distintas que possam subsistir, como, por exemplo, o exercício de um direito num processo judicial, fins de arquivo de interesse público ou fins estatísticos, aplicando – nesse caso – todas as medidas técnicas e organizativas adequadas para a salvaguarda dos dados pessoais.

Essas garantias implicam a adoção de medidas técnicas e organizativas que visem assegurar, nomeadamente, o respeito pelo princípio da minimização dos dados e pela pseudonimização dos mesmos.

De que forma são recolhidos os dados pessoais?

A SPAPPE pode recolher dados de forma direta (i.e., diretamente junto do titular dos dados) ou de forma indireta (i.e., através de utentes). A recolha pode ser feita através dos seguintes canais:

Recolha direta: presencialmente pelo utente;
Recolha indireta: através da informação de terceiros prestada pelo utente.

Direitos dos titulares

A SPAPPE assegura aos titulares dos dados pessoais, no estrito cumprimento da Lei, o exercício dos respetivos direitos, nos termos da legislação aplicável no âmbito da proteção de dados pessoais, nomeadamente:

  • Direito de acesso: o titular tem o direito de obter a confirmação de que os dados pessoais que lhe dizem respeito são ou não objeto de tratamento e, sendo o caso, o direito de aceder aos seus dados pessoais.
    Direito de retificação:  o titular tem o direito de solicitar, a qualquer momento, a retificação dos seus dados pessoais e, bem assim, o direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.
  • Direito ao apagamento:  o titular tem o direito de obter, o apagamento dos seus dados quando se aplique um dos seguintes motivos: (i) os dados do titular deixarem de ser necessários para a finalidade que motivou a sua recolha ou tratamento; (ii) o titular retirar o consentimento em que se baseia o tratamento dos dados e não existir outro fundamento jurídico para o referido tratamento; (iii) o titular opor-se ao tratamento ao abrigo do direito de oposição e não existirem interesses legítimos prevalecentes que justifiquem o tratamento; (iv) caso os dados do titular sejam tratados ilicitamente; (v) caso os dados do titular tiverem de ser apagados para o cumprimento de uma obrigação jurídica a que a SPAPPE ou subcontratante estejam sujeitos. Nos termos legais aplicáveis, a SPAPPE não tem a obrigação de apagar os dados do titular na medida em que o tratamento se revele necessário ao cumprimento de uma obrigação legal a que esteja sujeita ou para efeitos de declaração, exercício ou defesa de um direito em processo judicial.
  • Direito à limitação:  o titular tem o direito de obter a limitação do tratamento dos seus dados se se aplicar uma das seguintes situações:  (i) se contestar a exatidão dos dados pessoais, durante um período que permita verificar a sua exatidão; (ii) se o tratamento for ilícito e o titular se opuser ao apagamento dos dados, solicitando, em contrapartida, a limitação da sua utilização; (iii) se a já não precisar dos dados do titular para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
  • Direito de portabilidade:  o titular tem o direito de receber os dados pessoais que lhe digam respeito, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento, se: (i) o tratamento se basear no consentimento ou num contrato de que o titular é parte e (ii) o tratamento for realizado por meios automatizados.
  • Direito de oposição:  o titular tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito que assente no exercício de interesses legítimos prosseguidos ou quando o tratamento for efetuado para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos.

Dispõe ainda do direito de apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD).

Exercício de direitos pelo titular

Os exercícios dos direitos pelo titular podem ser exercidos pelo titular mediante contacto com a SPAPPE, a qual dará resposta por escrito (incluindo por meios eletrónicos) ao pedido do titular no prazo máximo de um mês a contar da receção do pedido, salvo em casos de especial complexidade e elevado número de pedidos, em que esse prazo pode ser prorrogado até dois meses.

Através de e-mail: contact@startupportugal.com.

Apresentação de reclamação à CNPD

O titular dos dados pode reclamar diretamente à Autoridade Nacional de Controlo de Dados Pessoais, a Comissão Nacional de Proteção de Dados (CNPD), utilizando os contactos disponibilizados por esta entidade para o efeito (em www.cnpd.pt).

Medidas de segurança das plataformas tecnológicas geridas pela SPAPPE

Tendo em conta o princípio da proporcionalidade e adequabilidade, da segurança, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos de probabilidade, a SPAPPE aplica medidas de segurança, técnicas e organizativas, adequadas, para assegurar um nível de segurança dos dados pessoais adequado ao risco, como, por exemplo:

  • O acesso limitado, diferenciado e rastreável do acesso a dados pessoais:
    Cada utilizador/a terá apenas acesso apenas ao conjunto mínimo de informações necessárias para o seu trabalho, categoria profissional e responsabilidade, de acordo com matriz de acesso definida e validada pela SPAPPE;
  • Sem acesso horizontal (ou seja, um/a utilizador/a não pode modificar os dados de outro/a utilizador/a, a menos que pertençam à mesma função e organização);
  • Sem acesso vertical (ou seja, um/a analista, olhando para dados de caso agregados top-down não deve ter acesso a detalhes confidenciais);

Os supra identificados mecanismos serão implementados tanto no front-end quanto no back-end para garantir o isolamento de informações.

  • Mecanismos de autenticação da plataforma que obrigam:
    1. autenticação com sistema de identificação nacional portuguesa verificada,
    2. comunicações seguras, informações transmitidas encriptadas (além da criptografia https, as próprias mensagens necessitam de ter senhas encriptadas),
    3. utilizadores/as que não conseguem fazer login repetidamente devem ser listados/as em cinza por um período de tempo limitado;
    4. Os/as utilizadores/as que não conseguirem fazer login após terem sido listados em cinza devem estar na lista negra, a função de administrador limitada é necessária para reabrir a conta.
      • Utilização de firewall e sistemas de deteção de intrusão nos seus sistemas de informação;
      • Aplicação de procedimentos de controlo de acessos, com recurso a perfis de acesso diferenciado e com base no princípio da necessidade de saber;
      • Registo de ações efetuadas sobre os sistemas de informação que contenham dados pessoais (login);
      • Execução de um plano de backups;
      • Proteção anti spam de receção e envio de emails corporativos;
        Instalação, manutenção e gestão dos sistemas de antivírus e de firewall nos computadores da SPAPPE;
      • Pseudonimização de dados pessoais;
      • Controlo de acessos às instalações físicas;
      • Sistema de deteção automática de incêndio e de deteção de intrusão;
      • Execução de ações de formação e/ou sensibilização em segurança da informação e proteção de dados.

Violação de dados

Em caso de violação de dados pessoais, e na medida em que tal violação seja suscetível de resultar num risco elevado para os direitos e liberdades do titular, o Encarregado de Proteção de Dados notificará a autoridade de controlo nacional dessa violação, bem como comunicará a violação ao titular dos dados, até 72 horas após ter tido conhecimento da mesma.

Qualquer violação de dados pessoais, cujo tratamento seja da responsabilidade da SPAPPE, poderá ser reportada através dos seguintes meios: e-mail, a remeter para contact@startupportugal.com.

 

Nota final

Recomendamos que consulte periodicamente a nossa política de privacidade para se manter informado sobre o modo como a SPAPPE protege os seus Dados Pessoais e se mantenha atualizado sobre as informações e direitos que lhe assistem.

Data da última atualização: novembro de 2023