Política de Privacidade e Tratamento de Dados Pessoais
A leitura da presente política não dispensa a leitura das Cláusulas das Condições gerais relativas a Dados Pessoais e ao disposto na cláusula 9ª das Condições gerais do Contrato de Emissão de Certificado Digital.
Disponível para consulta em: https://www.gns.gov.pt/trusted-lists.aspx
1. O compromisso da DigitalSign
A proteção da privacidade e dos Dados Pessoais constitui um compromisso fundamental da empresa para com os seus clientes e utilizadores dos seus serviços.
A DigitalSign Certificadora Digital, S.A., adiante abreviadamente designada DigitalSign, é uma Prestadora Qualificada de Serviços de Confiança (PQSC), como tal considerada ao nível da União Europeia, ao abrigo do Regulamento (UE) n.º 910/2014, do Parlamento Europeu e do Conselho, de 23 de julho (Regulamento elDAS), fazendo parte da trusted list , e como tal credenciada junto do Gabinete Nacional de Segurança, em Portugal, para a prestação de diversos serviços de confiança e, nomeadamente, para a emissão de Certificados Digitais Qualificados, pelo estrito cumprimento das normas legais aplicáveis nesta matéria, com destaque para o Decreto-Lei n.º 12/2021 de 9 de fevereiro, que estabelece o Regime Jurídico dos Documentos Eletrónicos e da Assinatura Eletrónica, cumprindo ainda com estritos parâmetros de confidencialidade e de segurança da informação, previstos, nomeadamente, na norma ISO 27001, que desde sempre pautam a sua atuação no mercado.
A DigitalSign aconselha a leitura deste documento, e a consulta das Cláusulas das condições gerais relativas a Dados Pessoais da DigitalSign, disponíveis para consulta no nosso site, bem como no contrato de emissão de Certificado Digital, pois ambos constituem o compromisso da DigitalSign quanto à proteção dos dados dos seus clientes no âmbito do Novo Regulamento Geral de Proteção de Dados que entrou em vigor a 25 de maio de 2018.
Esta política de privacidade cobre os seguintes serviços:
1.1.    Gestão de todas as contas criadas nos nossos serviços;
1.2.    Serviços de identificação e certificação para a emissão de certificados qualificados;
1.3.    Serviços de assinatura eletrónica e selos temporais;
1.4.    Serviços SigningDesk;
1.5.    Faturação;
1.6.    Suporte técnico e operacional;
1.7.    Criação e gestão de relatórios com informação comercial;
1.8.    Atividades de formação ( e.g.webinars) para o uso dos nossos;
2. Definições
Para facilitar a compreensão desta política, são utilizadas as seguintes definições:
" Dados Pessoais " - informação relativa a uma pessoa singular ou coletiva, quando aplicável, identificada ou identificável, direta ou indiretamente, tais como identificadores, ou outros elementos específicos relativos à sua identidade física, fisiológica, genética, mental, económica, cultural ou social.
" Tratamento de Dados Pessoais " - a operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como:
a)    a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização;
b)    a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, ou
c)    a comparação ou interconexão, a limitação, o apagamento ou a destruição.
" Terceiro " - a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;
" Responsável pelo Tratamento dos Dados Pessoais " - a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras entidades, determina as finalidades e os meios de tratamento de dados pessoais;
" Subcontratante " - a pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento;
" Autoridade de controlo " - autoridade pública independente que, no caso de Portugal, é a Comissão Nacional de Proteção de Dados (CNPD), a quem compete fiscalizar a correta aplicação da legislação sobre proteção de dados pessoais;
" Cookies " - ficheiros informáticos que contêm uma sequência de números e letras que permitem identificar de forma única o dispositivo de acesso à internet de um utilizador, mas podem conter outras informações tais como as suas preferências de navegação num determinado site. Os cookies são descarregados através do browser para o dispositivo de acesso à internet (computador, telemóvel, tablet, etc.) quando se acede a determinados sites.
3. O responsável pelo tratamento de dados e o encarregado da proteção de dados
O responsável pela recolha e tratamento dos seus dados pessoais será a DigitalSign, pois é ela que lhe presta o serviço e que, nesse âmbito, decide quais os dados recolhidos, meios de tratamento e finalidades para que os dados são usados.
A DigitalSign tem, também, um encarregado de proteção de dados (Data Protection Officer, ou DPO), que (i) monitoriza a conformidade do tratamento de dados com as normas aplicáveis, (ii) é um ponto de contacto com o cliente ou utilizador para esclarecimento de questões relativas ao tratamento dos seus dados pela DigitalSign, (iii) coopera com a autoridade de controlo, (iv) presta informação e aconselha o responsável pelo tratamento ou o subcontratante sobre as suas obrigações no âmbito da privacidade e proteção de dados. Contacte o nosso dpo DPO via email: dpo@digitalsign.pt
4. Dados pessoais, titulares de dados pessoais e categorias de dados pessoais
O que são dados pessoais?
Dados pessoais são qualquer informação, de qualquer natureza e em qualquer suporte, relativa a uma pessoa singular identificada ou identificável.
É considerada identificável a pessoa singular que possa ser identificada direta ou indiretamente por exemplo, através do nome, do número de identificação, de um dado de localização, de um identificador eletrónico ou outros elementos que permitam chegar à identificação dessa pessoa singular.
Quem são os titulares de dados pessoais?
O cliente ou utilizador, pessoa singular, a quem os dados dizem respeito e que usufruiu dos produtos e serviços da DigitalSign. O Cliente será a pessoa que celebra o contrato com a DigitalSign, e o utilizador é a pessoa que utiliza os produtos e serviços da DigitalSign, que pode não corresponder ao cliente. A este respeito, a DigitalSign informa que protege igualmente os dados pessoais e respeita os direitos dos clientes e utilizadores.
Que categorias de dados pessoais tratamos?
Dados de identificação | Exemplos |
---|---|
Identificação e contactos | Nome completo, morada, números de identificação civil ou fiscal, dados para pagamento e faturação, endereço de email e contacto telefónico |
Outros dados de identificação | Qualidade de Representante e/ou membro de uma determinada empresa/entidade |
Serviços | Produtos e serviços adquiridos ou subscritos |
5. Fundamento, Finalidades e Duração do Tratamento de Dados Pessoais
Com que fundamento pode a DigitalSign tratar os seus dados pessoais?
Consentimento: quando tiver o seu consentimento expresso - por escrito, oralmente ou através da validação de uma opção - prévio e, se esse consentimento for livre, informado, específico e inequívoco. No caso de tratamento de dados pessoais de menores, que possam estar sujeitos a consentimento prévio, a DigitalSign exigirá que seja prestado consentimento por parte dos detentores das responsabilidades parentais, designadamente para efeitos de prestação de serviços, à distância, por via eletrónica;
Execução de contrato e diligências pré-contratuais: quanto o tratamento de dados pessoais seja necessário para a celebração, execução e gestão do contrato celebrado com a DigitalSign, nomeadamente para efeitos de emissão dos Certificados Digitais, para a gestão de contactos, informações e pedidos, para a gestão de faturação, cobrança e pagamentos;
Cumprimento de obrigação legal: quando o tratamento de dados pessoais seja necessário para cumprir uma obrigação legal a que a DigitalSign se encontra sujeita, como por exemplo a comunicação de dados exigida por qualquer autoridade judicial ou administrativa para cumprimento da lei;
Interesse legítimo: quando o tratamento de dados pessoais corresponda a um interesse legítimo da DigitalSign ou de terceiros, como por exemplo, o tratamento de dados para deteção de fraude, proteção de receita ou melhoria da qualidade dos serviços.
Quais os princípios observados pela DigitalSign no tratamento dos Dados Pessoais?
No tratamento dos Dados Pessoais dos seus Clientes, a DigitalSign observa os princípios da licitude, da lealdade, da transparência, da limitação das finalidades, da minimização dos dados, da exatidão, da limitação da conservação, da integridade, da confidencialidade e da responsabilidade.
Tal como previsto na cláusula 9. a das condições gerais do contrato de emissão de Certificado Digital, a DigitalSign obriga-se a garantir o sigilo e a confidencialidade de todos os Dados Pessoais dos seus Clientes cujo conhecimento não se destine a divulgação pública.
Para que finalidades e por quanto tempo a DigitalSign trata os seus dados pessoais?
Os seus dados pessoais são tratados pela DigitalSign apenas pelo período necessário para a realização da finalidade definida ou, consoante o que for aplicável, até que exerça o seu direito de oposição, direito a ser esquecido ou retire o consentimento. Depois de decorrido o respetivo período de conservação, a DigitalSign eliminará ou anonimizará os dados sempre que os mesmos não devam ser conservados para finalidade distinta que possa subsistir e, neste sentido, salvo no que concerne ao cumprimento do dever de conservação dos dados que tenham servido de base para a prestação dos seus serviços, pelo período legal mínimo de 7 anos, conforme decorre do disposto no artigo 13.º, alínea f) do Regime Jurídico dos Documentos Eletrónicos e da Assinatura Digital, correspondente à versão atualizada do Decreto-Lei n.º 12/2021, de 9 de Fevereiro.
Finalidades | Exemplos de finalidades (não exaustivo) |
---|---|
Marketing e Vendas | Marketing ou venda de novos produtos ou serviços |
Gestão de Clientes e Prestação de Serviços | Gestão de contactos, informações ou pedidos Gestão de instalação, ativação, revogação ou renovação dos serviços Gestão de faturação, cobrança e pagamentos Gravação das chamadas (e videoconferências) e comunicações no âmbito da relação contratual, se aplicável |
Utilização de soluções de software em regime SAAS | Criação de contas de utilizador e gestão da utilização das ferramentas. |
Gestão Contabilística, Fiscal e Administrativa | Contabilidade, faturação Informação fiscal, incluindo envio de informação à autoridade tributária |
Cumprimento de obrigações legais | Conservação dos Certificados Digitais emitidos pelo período legal de 7 anos, nos termos do artigo 13º, alínea f) do Regime Jurídico dos Documentos Eletrónicos e da Assinatura Digital, correspondente à versão atualizada do Decreto-Lei n.º 12/2021 de 9 de fevereiro. |
Quais os prazos de tratamento e conservação de dados pessoais?
A DigitalSign trata e conserva os seus dados pessoais conforme as finalidades para que os mesmos são tratados.
Assim, e sempre que não exista uma obrigação legal específica, os dados serão tratados apenas pelo período necessário para o cumprimento das finalidades que motivaram a sua recolha e preservação, e sempre de acordo com a lei, as orientações e decisões da CNPD, ou da autoridade de controlo competente nos termos da lei, consoante aplicável. Os dados pessoais recolhidos pela DigitalSign serão, assim, tratados e conservados para o efeito da execução do contrato e, durante o respetivo período de execução.
Após esse período, os respetivos dados serão conservados pelo período legal de 7 anos, após revogação de certificado digital, nos termos do disposto no artigo 13.º do Regime Jurídico dos Documentos Eletrónicos e da Assinatura Digital, correspondente à versão atualizada do Decreto-Lei n.º 12/2021 de 9 de fevereiro. De outro modo, o tratamento e conservação dos dados pessoais dos Clientes apenas poderá ocorrer mediante consentimento expresso, para o efeito de assegurar direitos ou deveres relacionados com o contrato, ou quando interesses legítimos o justifiquem, nessa precisa medida.
6. Recolha de dados pessoais
Quando e como recolhemos os seus dados pessoais?
Recolhemos os seus dados pessoais quando pretende adquirir um serviço da DigitalSign, em fase pré-contratual, e para o efeito de execução contratual. Com efeito, os dados pessoais requeridos pela DigitalSign são os dados pessoais indispensáveis à prestação dos seus serviços (nomeadamente, de emissão, faturação e/ou renovação de Certificados Digitais e acesso aos demais serviços disponibilizados). A recolha poderá ser feita através do registo do utilizador no site, e através do preenchimento do respetivo formulário, através do website da DigitalSign, ou através da realização de uma videoconferência especificamente dirigida a esse fim, caso esta opção se aplique e seja escolhida pelo Cliente
A DigitalSign poderá também aceder, recolher ou confirmar dados pessoais em sites da Administração Pública e de entidades privadas, designadamente, para confirmar a exatidão e atualidade dos seus dados de identificação e de contacto.
7. Direitos do titular de dados pessoais
Direito de acesso: direito a obter a confirmação de quais são os seus dados pessoais que são recolhidos e tratados pela DigitalSign, bem como de obter informação sobre os mesmos, como por exemplo, quais as finalidades do tratamento, quais os prazos de conservação, entre outros, bem como o direito a ver/ouvir ou obter cópia, por exemplo, das faturas, dos acordos escritos ou das chamadas e videoconferências em que é interveniente e que sejam gravadas.
Direito de retificação: direito de solicitar a retificação dos seus dados pessoais que se encontrem inexatos ou solicitar que os dados pessoais incompletos sejam completados, como por exemplo a morada, o NIF, o email, os contactos telefónicos, entre outros.
Direito ao apagamento dos dados ou «direito a ser esquecido»: direito de obter o apagamento dos seus dados pessoais, desde que não se verifiquem fundamentos válidos para a sua conservação, como por exemplo os casos em que a DigitalSign tem de conservar os dados para cumprimento de obrigações legais (nomeadamente, a obrigação legal de conservar os certificados digitais que emitir pelo período legal mínimo de 7 anos), como seja o cumprimento da obrigação legal de preservação para investigação, deteção e repressão de crimes, ou ainda porque se encontra em curso um processo judicial.
Direito à portabilidade: direito de receber os dados que nos forneceu em formato digital de uso corrente e de leitura automática ou de solicitar a transmissão direta dos seus dados para outra entidade que passe a ser o novo responsável pelo tratamento dos seus dados pessoais, se tal for tecnicamente possível.
Direito a retirar o Consentimento ou Direito de Oposição: direito de se opor ou retirar o seu consentimento, a qualquer momento, a um tratamento de dados, como por exemplo no caso de tratamento de dados para fins de marketing, desde que não se verifiquem interesses legítimos que prevaleçam sobre os seus interesses, direitos e liberdades, como por exemplo de defesa de um direito no âmbito de um processo judicial.
Direito de limitação: direito a solicitar a limitação do tratamento dos seus dados pessoais, sob a forma de: (i) suspensão do tratamento ou (ii) limitação do âmbito do tratamento a certas categorias de dados ou finalidades de tratamento.
Registo de Utilizadores e Área Reservada
Através do registo como utilizadores poderão os Clientes ou potenciais Clientes ter acesso aos vários serviços disponibilizados pela DigitalSign e, nomeadamente, proceder à realização da ordem de encomenda dos serviços que pretendam adquirir, entre outras funcionalidades disponíveis como seja a gestão das encomendas efetuadas na área reservada aos Clientes ("Ver a Conta ").
Se já houver registo no site do utilizador, basta fazer login através da inserção do email e respetiva senha de acesso definidos aquando o registo inicial. Esta palavra-chave garante ao utilizador o acesso à gestão dos serviços na respetiva área reservada e se, pelo contrário, ainda não houver registo no site do utilizador, o pedido de registo requer a introdução do NIF do utilizador e, posteriormente, da definição do email e senha de acesso.
Aquando do registo inicial, são ainda solicitados pela DigitalSign, como dados obrigatórios, o respetivo NIF do utilizador, nome de faturação, nome de contacto, endereço, n. 0 de porta/andar, código postal, cidade, país e telefone, e como dados facultativos, o país e o telemóvel. Os dados fornecidos pelos utilizadores serão apenas utilizados na realização dos serviços selecionados pelo utilizador para os quais foram facultados, não sendo adicionados a outra lista, disponibilizados a outras entidades ou utilizados para enviar informação não relacionada.
Utilização de Cookies
A DigitalSign utiliza no seu site cookies que permitem melhorar o desempenho e a experiência de navegação dos titulares dos dados pessoais, aumentando, por um lado, a rapidez e eficiência de resposta e, por outro, eliminando a necessidade de introduzir repetidamente as mesmas informações Para mais informações consulte a nossa Política de Cookies, disponível para consulta no Website.
Perfil e decisões automatizadas
A DigitalSign poderá traçar o perfil dos clientes com base, por exemplo, na utilização do serviço, localização, etc, nomeadamente para prestar serviços, aumentar a qualidade e experiência dos produtos e serviços, adequar comunicações de marketing, etc., desde que esse tratamento seja necessário para a celebração ou execução do contrato entre o titular e a DigitalSign, ou se baseie no consentimento do titular.
Direito a reclamar
Direito de apresentar reclamação à CNPD, ou a outra autoridade de controlo competente nos termos da lei, para além da empresa ou do DPO, caso entenda que o tratamento dos seus dados pela DigitalSign viola o regime legal aplicável.
Como pode exercer os seus direitos?
O exercício dos seus direitos é gratuito, exceto se se tratar de um pedido manifestamente infundado ou excessivo, caso em que poderá ser cobrada uma taxa razoável tendo em conta os custos. Deverá ter em conta, nomeadamente, que o exercício dos respetivos direitos de apagamento dos dados, de retirada do consentimento ou de limitação só poderão ser exercidos na medida em que não obstem ao cumprimento de qualquer obrigação legal por parte da DigitalSign.
As informações devem ser prestadas por escrito, mas, se o solicitar, podem ser prestadas oralmente. Neste caso, a DigitalSign deve verificar a sua identidade por outros meios que não orais. A resposta aos pedidos deverá ser prestada no prazo máximo de 30 dias, salvo se for um pedido especialmente complexo.
Exerça-os através dos seguintes endereços:
Carta. Largo Padre Bernardino Ribeiro Fernandes, nº 26, 4835-489 Nespereira, Guimarães
Email: dpo@digitalsign.pt
8. Transmissão de Dados Pessoais
Em que circunstâncias existe comunicação dos seus dados pessoais a outras entidades, subcontratantes ou terceiros?
Os seus dados pessoais podem ser transmitidos a subcontratantes para que estes os tratem em nome e por conta da DigitalSign. Neste caso, a DigitalSign tomará as medidas contratuais necessárias para garantir que os subcontratantes respeitam e protegem os dados pessoais do titular. Os dados podem também ser transmitidos a terceiros entidades distintas da DigitalSign ou dos subcontratantes, nomeadamente empresas com quem a DigitalSign desenvolva parcerias, no caso de o titular ter consentido, ou a entidades a quem os dados tenham de ser comunicados por força da lei.
Em que circunstâncias a DigitalSign transfere os seus dados para um país terceiro?
A DigitalSign não irá transferir os seus dados pessoais para um país terceiro, fora do espaço da União Europeia, e que não integre a lista de países que a União Europeia já considerou reunir níveis de proteção dos dados pessoais adequados.
9. Responsabilidade sobre Websites
Os Websites da DigitalSign podem conter links para outros Websites, produtos ou serviços de terceiros, que não têm qualquer relação com a DigitalSign ou que não são abrangidos por esta Política de Privacidade.
A recolha ou o tratamento dos dados pessoais solicitados por esses terceiros é da sua exclusiva responsabilidade, não podendo a DigitalSign ser responsabilizada, em qualquer circunstância, pelo conteúdo, pela exatidão, veracidade ou legitimidade desses Websites ou pela má utilização dos dados recolhidos ou tratados por intermédio dos mesmos.
Alertamos os clientes e utilizadores da DigitalSign para este facto e para a necessidade de, antes de utilizarem os Websites, produtos ou aplicações, lerem e aceitarem as regras relativas ao tratamento de dados pessoais definidos por esses terceiros.
10. Medidas processuais e técnicas de Segurança
De que modo a DigitalSign protege a sua informação pessoal?
A DigitalSign tem implementadas as medidas lógicas, físicas, organizativas e de segurança adequadas, necessárias e suficientes para proteger os seus dados pessoais contra a destruição, a perda, a alteração, a difusão, o acesso não autorizado ou qualquer outra forma de tratamento acidental ou ilícito. A DigitalSign tem implementados:
A)     Requisitos e medidas de segurança lógicos, como a utilização de firewalls e sistemas de deteção de intrusão nos seus sistemas, a existência de uma política rigorosa sobre os acessos a sistemas e à informação e o registo das ações efetuadas pelos colaboradores da DigitalSign sobre dados pessoais dos clientes ou utilizadores;
B)     Medidas de segurança física, entre as quais se destacam um estrito controlo de acessos às instalações físicas da DigitalSign, por parte de colaboradores, parceiros e visitantes, bem como um acesso muito restrito e permanentemente vigiado às infraestruturas tecnológicas essenciais da DigitalSign;
C)     Meios de proteção dos dados desde a conceção ("privacy by design") utilizando meios tecnológicos como a máscara, a cifragem, a pseudonimização e a anonimização dos dados pessoais e, ainda, um conjunto de medidas preventivas favoráveis à privacidade privacy by default");
D)     Mecanismos de escrutínio, auditoria e controlo para garantir o cumprimento das políticas de segurança e privacidade;
E)     Um programa de informática e formação dos colaboradores e parceiros da DigitalSign;
F)     Regras de acesso para os clientes ou utilizadores a determinados produtos ou serviços, como por exemplo a introdução de uma password, para permitir reforçar os mecanismos de controlo e segurança.
Alteração da política de Privacidade e Proteção de Dados Pessoais e Cookies
A DigitalSign poderá vir a atualizar ou a proceder a reajustamentos à presente Política, bem como à sua Política de Cookies, e às condições gerais relativas a Dados Pessoais, sendo essas alterações devidamente publicitadas.
Última Versão 1.3 com atualização, 12 de Julho de 2021