Políticas de Privacidade

1. Escopo de aplicação

O objetivo desta política é apresentar os compromissos da Pluris Investments S.A. (doravante denominada pluris ou o Grupo1) em relação à gestão da privacidade e proteção dos dados pessoais dos titulares dos dados cujo tratamento é da sua responsabilidade e responder aos 2 requisitos do Regulamento Geral de Proteção de Dados e da respetiva legislação nacional deexecução3.
Pretende-se também demonstrar como os dados pessoais serão tratados no contexto da atividade desenvolvida pelo Grupo e pelos seus funcionários, através da definição de regras internas que cumpram os requisitos exigidos pelo Regulamento, nomeadamente, legitimidade, tratamento e conservação.
Todos os dados pessoais serão tratados e geridos nos termos desta política em conjugação com a Política de Segurança da Informação, tendo em conta um inventário realizado e atualizado desses dados pessoais.

2. Funções e Responsabilidades

A Administração da Pluris assegurará que esta política esteja alinhada com a estratégia do Grupo, de forma a garantir a sua melhoria contínua no que diz respeito à segurança da informação e privacidade.
O Encarregamento pela Proteção de Dados (DPO) é responsável por garantir o cumprimento dos requisitos do Regulamento de forma contínua e sistemática, que todos os direitos dos titulares dos dados estão a ser cumpridos e que os controlos de segurança adequados são operacionalizados para os fins aqui definidos.
A Administração da pluris designa e atribui ao Diretor de Proteção de Dados (ou “DPO”) as funções e responsabilidades descritas acima em relação a todas as empresas do Grupo.
Todos os funcionários do Grupo, bem como seus subcontratados – conforme aplicável a eles – têm a responsabilidade de colaborar e cumprir e fazer cumprir os compromissos desta política.
No caso de navios fluviais e marítimos, há também a definição de um “DPO Local” por navio, cuja missão é exercer as funções de um DPO local quando os navios estiverem em situação de cruzeiro, e que atuará de acordo com as regras desta política.

1 Grupo deve ser entendido como todas as empresas que são investidas, direta ou indiretamente, em pelo menos 10% do seu capital social pela empresa Pluris Investments, S.A.2
2 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 e alterações subsequentes;
3 Lei No. 58/2019, de 8 de agosto (e suas alterações subsequentes) que assegura a implementação do Regulamento Geral de Proteção de Dados no ordenamento jurídico nacional.

3. Titulares dos dados

Para a execução das suas atividades e finalidades de tratamento associadas, os dados pessoais das seguintes fontes são recolhidos pela Pluris:

  • Clientes de Contrato Corporativo
  • Clientes cadastrados através de ferramentas web
    Clientes por Aquisição de Bilhetes
  • Funcionários internos e prestadores de serviços contratados
  • Fornecedores e prestadores de serviços
  • Visitantes de instalações físicas ou náuticas

4. Garantia de confidencialidade e privacidade dos dados pessoais

Os dados pessoais identificados nesta Política serão tratados pela Pluris como entidade responsável pelo tratamento dos dados pessoais.De forma a garantir
a confidencialidade e privacidade dos dados, o Grupo garante que apenas serão acedidos por funcionários formalmente autorizados a desempenhar as suas funções.
As responsabilidades de cada colaborador em matéria de Segurança, Privacidade e Proteção de Dados Pessoais estão detalhadas nos contratos celebrados com a Pluris, incluindo as obrigações de confidencialidade e sigilo a que estão vinculados.

5. Identificação do responsável pelo tratamento dos dados pessoais

A pessoa responsável pelo tratamento dos dados pessoais é a Pluris Investments, S.A.com sede na Rua de Miragaia 103, 4050-387, Porto, Portugal, com o número de registo de pessoa coletiva 508 767 881.
O grupo PLURIS lidera um grupo de empresas ao qual são aplicáveis as responsabilidades e obrigações decorrentes desta Política.

6. Avaliação de impacto da proteção de dados

Nos casos em que as operações de tratamento de dados sejam suscetíveis de resultar num risco cujo nível não seja aceite pelo grupo, a pluris realizará, antes do início do tratamento, uma avaliação de impacto com o objetivo de as identificar e tratar.

7. Coleta, processamento, compartilhamento e retenção de dados pessoais

a) Coleta de dados Pessoais

1. Para situações que não envolvem ferramentas da web

Os dados pessoais são recolhidos diretamente das seguintes formas:

  • Candidaturas espontâneas ou resposta a ofertas de emprego com partilha de Curriculum Vitae
  • Preenchimento de formulários em papel
  • Preenchimento de formulários em papel
  • Dados biométricos
  • E-mail
  • Telefone (no caso de funcionários)
  • Na compra de bilhetes, produtos de marketing ou outros materiais comprados em lojas físicas ou em navios do Grupo, incluindo serviços de catering

Os dados pessoais podem ser recolhidos indiretamente das seguintes formas:

  • Importação do conteúdo do Curriculum Vitae para o cadastro de recursos humanos.
  • Importação de dados com responsabilidade compartilhada com parceiros de negócios contratados
  • Estabelecimentos de marketing, serviços de catering ou similares
  • Empresas de Triagem de Candidatos a Emprego
  • Empresas de serviços médicos
  • Empresas de Serviços de Seguro de Vida

A recolha de dados pessoais sensíveis só será realizada nos casos que sejam estritamente necessários e justificáveis pela atividade desenvolvida pela pluris e pelo seu Grupo e de acordo com a legislação em vigor.

2. Para situações que envolvam ferramentas web

Os dados pessoais são recolhidos diretamente através das ferramentas web oficiais da organização, nomeadamente sites de compras online, ou indiretamente através de automação de marketing e ferramentas de publicidade online de parceiros subcontratantes devidamente autorizados e em total conformidade com a nossa política de gestão de privacidade de dados pessoais.
As cobranças indiretas também podem ocorrer por meio de parceiros subcontratados em relação à colocação de pedidos, a saber, a aquisição de ingressos para acesso a exposições ou serviços da empresa.
A política de gestão de cookies complementa este tema apresentando as opções de “opt-in” e “opt-out” que estão disponíveis para este componente dos sites.
O titular dos dados pessoais também pode “opt-out” de serviços de publicidade online em ferramentas sociais, nomeadamente Facebook, Google Ads, Instagram e Linkedin.
A Pluris garante que nenhum formulário manual ou informatizado terá opções previamente preenchidas, e todas as alternativas serão selecionadas pelo titular dos dados.
Os dados pessoais serão recolhidos com base nos fundamentos legais estabelecidos nesta política e em conformidade com o princípio da minimização.

b) Tratamento dos dados pessoais

1. Para situações que não envolvem ferramentas da web

Não haverá uso de dados pessoais para fins de criação e utilização de perfis de vendas ou indicadores de produtos, regiões ou tendências.

2. Para situações que envolvam ferramentas web

Essas atividades podem incluir:

c) Partilha dos dados pessoais

1. Para situações que não envolvem ferramentas da web

Além das finalidades de partilha descritas abaixo, nenhuma outra finalidade poderá ser realizada, salvo prévia e expressamente autorizada pelo Encarregado de Proteção de Dados.
Objetos decorrentes da atividade da Pluris Investment S.A. e empresas do seu Grupo, nomeadamente:

– Previdência Social;
– Comunicação com a Autoridade Tributária, Aduaneira ou outras pessoas jurídicas;
– Comunicação de reclamações ou violações de privacidade;
– Comunicação com o DPO;
– Segurança portuária e controle de imigração;
– Registo trabalhista e folha de pagamento;
– Emissão do atestado médico para fins marítimos ou similares;
– Cumprimento de obrigações cadastrais e sindicais;
– Criação e registo de apólice de seguro;
– Cumprimento de obrigações tributárias e aduaneiras.

Os dados pessoais poderão ser partilhados com entidades subcontratadas para as finalidades acima referidas, nos termos dos contratos celebrados com as mesmas. A Pluris utiliza apenas processadores que garantem, de acordo com a lei, a implementação de medidas técnicas e organizacionais adequadas para a proteção dos seus dados através de acordos de subcontratação, garantindo assim a defesa dos seus direitos ao abrigo da lei de proteção de dados aplicável.
A partilha de dados classificados como sensíveis só será realizado com pessoas jurídicas, parceiros, prestadores de serviços médicos e similares.
Como regra, esse partilha de dados ocorrerá dentro da
Europa.Existem situações específicas que exigem a partilha de dados para entidades fora do espaço europeu, a saber:

  • Com autoridades portuárias: para fins de controlo de segurança e imigração em navios de cruzeiro de mar, de acordo com as disposições legais aplicáveis.
  • Com empresas do Grupo: apoiar atividades de interesse legítimo, garantindo a minimização do tratamento de dados pessoais

2. Para situações que envolvam ferramentas web
Além das finalidades de partilha descritas abaixo, nenhuma outra finalidade poderá ser realizada, salvo prévia e expressamente autorizada pelo Encarregado de Proteção de Dados.
Finalidades decorrentes de marketing, pagamentos eletrónicos e outros serviços que envolvam a utilização de ferramentas eletrónicas:

– Realização de campanhas publicitárias;
– Publicidade em locais virtuais como Google Ads, Facebook, Instagram e Linkedin;
– Necessidades operacionais na interconexão com HiPay e Paypal e outros gateways de pagamento eletrônico utilizando cartões de crédito;
– Envio de notícias, campanhas e ofertas personalizadas ao cliente.
Os dados são partilhados com subcontratadas formalmente autorizadas para fins de marketing digital, e os dados pessoais envolvidos nesses compartilhamentos estão sujeitos ao consentimento do respectivo proprietário, com a possibilidade de opt-out a qualquer momento.

Estas ações podem dar origem a transferências de dados para fora do espaço europeu, no caso de segmentação de campanhas de marketing digital com parceiros de subcontratação intercontinentais. Nestes casos, a organização terá o cuidado de implementar controlos de segurança adequados a cada situação de risco identificada, bem como de garantir a garantia da execução incondicional dos seus direitos e de todos os requisitos do Regulamento Geral de Proteção de Dados.

d) Retenção de dados pessoais

O período de tempo durante o qual os dados pessoais serão armazenados varia de acordo com a finalidade para a qual os dados são processados.

 

Entende-se por retenção o armazenamento seguro de dados, em formato digital ou papel, garantindo as condições de gestão do acesso para garantir a confidencialidade, integridade, disponibilidade da informação e não repúdio, bem como a sua preservação nas condições adequadas de utilização de acordo com o tempo
definido. Serão cumpridos os requisitoslegais que exijam a retenção de dados pessoais por um período mínimo para cada finalidade.
Quando tal período mínimo não for imposto, os dados pessoais serão mantidos apenas pelo período estritamente necessário para a prossecução das finalidades para as quais os dados foram recolhidos ou são posteriormente tratados ou, se e quando aplicável, pelo período determinado pela autoridade competente de proteção de dados, após o qual os dados serão eliminados permanentemente em modo seguro.

8. Utilização e finalidade dos cookies

Os cookies são usados para personalizar conteúdo e anúncios de acordo com as características do visitante, interagir com recursos de mídia social, analisar o tráfego do site, bem como apoiar os controlos de segurança implementados.
Dependendo das escolhas do visitante das páginas dos sites, os dados podem ser partilhados com os nossos parceiros de redes sociais, para fins publicitários, para análise de tráfego e navegação pelas páginas dos sites e ferramentas de redes sociais no âmbito desta política.
Sob nenhuma circunstância os dados pessoais serão recolhidos através de cookies.

a) Tipos de Cookies:
Os cookies são ficheiros de texto que podem ser usados pelos sites para tornar a experiência do utilizador mais eficiente.
De acordo com a legislação em vigor, os cookies podem ser armazenados e operados no equipamento ao qual o visitante os acede se forem estritamente necessários para o funcionamento do site.
Para todos os outros tipos de cookies, permitimos que o titular dos dados pessoais exerça o seu direito ao consentimento informado.
Alguns cookies podem ser instalados automaticamente pelos nossos parceiros de negócios, sempre de forma explícita para o visitante.

b) Os sites podem usar os seguintes tipos de cookies:
Ba) Os cookies necessários suportam a execução de funções básicas como a navegação entre páginas e a sua rastreabilidade.
É importante notar que o site pode não funcionar corretamente sem esses cookies e, como tal, eles são considerados fundamentais e justificados.
Bb) Cookies estatísticos ou funcionais ajudam o operador do site a entender como o visitante interage com as páginas que o compõem, recolhendo e processando informações anonimamente.
Bc) Os cookies de Marketing são usados para rastrear o acesso do visitante e a sequência de utilização da página.
Eles permitem a personalização de anúncios ou outros materiais de marketing a serem exibidos e que são relevantes e atraentes para o visitante, tornando a experiência de navegação mais personalizada e dinâmica.
O visitante do site e, como tal, o titular dos dados pessoais, deve selecionar, em cada caixa disponível, o tipo de cookies que autoriza.
Ao clicar no botão “Aceito”, reconhece a aceitação desta política de cookies e a confirmação da autorização para o tipo de cookies selecionados.

9. Direitos dos Titulares

Serão garantidas aos titulares dos dados as condições para o exercício dos seus direitos previstos no Regulamento Geral de Proteção de Dados.
O Encarregado da Proteção de Dados nomeado pelo grupo estará envolvido em todas as questões relacionadas com a proteção de dados pessoais, devendo, preferencialmente, ser colocado por escrito através do endereço de e-mail dpo.mysticinvest@mysticinvest.com todas as questões que os titulares dos dados pessoais considerem necessárias.
Se o titular dos dados desejar registar uma reclamação ou relatar uma violação de privacidade, o titular dos dados poderá se comunicar por e-mail complaint.mysticinvest@mysticinvest.com ou diretamente com a autoridade supervisora de sua escolha.
Alternativamente, o titular dos dados terá à sua disposição um portal de comunicação na web, onde poderá realizar todas as interações mencionadas acima e obter informações sobre o processamento de tais solicitações.
Após o registo de uma reclamação ou violação de privacidade, o Grupo compromete-se a informar o titular dos dados de cada etapa e progresso no processo de apresentação de uma reclamação, sem prejuízo do cumprimento dos prazos definidos pelo regulamento.

10. Revisão e melhoria contínua

Esta política será revista anualmente, ou sempre que houver alterações significativas no inventário de dados pessoais e/ou nos suportes informáticos ou documentais.
Cada uma dessas revisões dará origem a uma nova versão deste documento.

11. Divulgação e publicação

A Política de Gestão de Privacidade é classificada como informação publicamente acessível. (cf. política de classificação de informações) e estará disponível para consulta através da Internet, seja no site institucional, nas ferramentas da Internet de apoio ao negócio e também nas redes sociais do grupo.
Durante o processo de onboarding, os novos funcionários serão informados sobre esta Política, bem como a participação obrigatória daqueles nas ações de treinamento e conscientização sobre segurança, privacidade e proteção de dados pessoais que farão parte do processo de onboarding fará parte deste processo.
Após a publicação e disseminação da política, os funcionários são obrigados a:
➢ Proteger os ativos de informação a seu cargo;
➢ Colaborar na gestão do seu risco;
➢ Participar em qualquer evento que possa comprometer a segurança da informação;
➢ Cumprir e fazer cumprir esta política.
Os funcionários podem consultar esta Política a qualquer momento através da plataforma de gestão documental da rede interna do grupo.
Entidades/funcionários que, por razões inerentes à sua função, não tenham acesso à plataforma, terão conhecimento desta política partilhando-a no formato adequado a cada caso.

12. Vigência da apólice:

Esta política foi aprovada pelo Conselho de Administração do Grupo Pluris e entra em vigor na data de sua publicação.
Quaisquer alterações subsequentes entrarão em vigor imediatamente após a sua publicação.