Nota prévia

O empreendimento “Ocean Terrace” é um projeto imobiliário detido pela PLACE2LIVE – EMPREENDIMENTOS IMOBILIÁRIOS – SIC IMOBILIÁRIA ESPECIAL FECHADA, SA (“PLACE2LIVE”), um organismo de investimento imobiliário constituído sob a forma societária, formalmente autorizado e supervisionado pela Comissão do Mercado de Valores Mobiliários (CMVM), com início de atividade em 19/01/2022.

A gestão e representação da PLACE2LIVE está a cargo da sua entidade gestora, a Blue Marlin Asset Management – SCR, S.A., com sede na Praça Liége 189, 4150-455, Porto, sendo esta a legal representante para todos os efeitos legais, e por isso aplicável a presente Política e Procedimentos de Proteção de Dados ao empreendimento Ocean Terrace.

1 – INTRODUÇÃO

O Conselho de Administração, os principais responsáveis e todos os colaboradores da Blue Marlin Asset Management – Sociedade de Capital de Risco, S.A., adiante designada por “Blue Marlin” ou “Sociedade”, estão comprometidos com o cumprimento da legislação relevante referente a dados pessoais aplicável em Portugal.

Na prossecução desses objetivos, a Blue Marlin desenvolveu, documentou, implementou, mantém e melhora continuamente a Política e Procedimentos de Proteção de Dados (a seguir designado abreviadamente por “PPPD”), do qual faz parte a presente Política de Proteção de Dados Pessoais. Os documentos que compõem o PPPD da Blue Marlin poderão ser consultados na localização mencionada no ponto 20 desta política.

No exercício da sua atividade a Blue Marlin recolhe e procede ao tratamento de dados pessoais.

O âmbito do PPPD tem em consideração a estrutura organizacional da Blue Marlin e as atividades de tratamento de dados realizadas, sendo aplicável a toda a estrutura Blue Marlin o supra-referido.

A presente Política e Procedimentos de Proteção de Dados e restantes documentos que compõem o PPPD, traduzem o compromisso e responsabilidade da Blue Marlin em manter um nível de proteção dos dados recolhidos que esteja de acordo com as normas legais aplicáveis, promovendo o envolvimento de todos os seus trabalhadores e colaboradores/trabalhadores externos (temporários e colaboradores de prestadores de serviços), no que respeita à sua motivação e compromisso para a necessidade de manter a confidencialidade dos dados pessoais tratados.

I – OBJETIVO:

1. O objetivo da Política de Proteção de Dados Pessoais é manter um elevado nível de proteção (segurança) dos dados recolhidos, que esteja de acordo com as normas legais aplicáveis e nos termos da qual se promova o envolvimento e motivação da Administração/Direção, colaboradores, prestadores de serviços, fornecedores e clientes para a necessidade de se manter a confidencialidade dos dados pessoais recolhidos.
2. Do mesmo modo, esta Política visa delinear as regras e procedimentos para o tratamento de dados pessoais por parte dos trabalhadores e terceiros que tenham acesso a dados pessoais em resultado do exercício das suas funções.
3. A existência desta Política e Procedimentos de Proteção de Dados Pessoais pressupõe a sua consulta regular por parte dos trabalhadores que exerçam alguma atividade que implique o tratamento de dados pessoais.
4. Pretende-se, do mesmo modo, que os trabalhadores que procedem ao tratamento de dados pessoais consultem regularmente o Responsável pelo Tratamento dos Dados Pessoais, adiante designado por “RPD”, de modo a garantir-se o cumprimento das normas da presente Política de Proteção de Dados Pessoais.

II – DEFINIÇÕES

Os conceitos utilizados na PPPD são definidos de acordo com o seguinte:

1. Dados Pessoais: informação relativa a uma pessoa singular identificada ou identificável (“Titular dos Dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
2. Tratamento de Dados Pessoais: Uma operação ou um conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

• Proteção de Dados Pessoais: Um direito fundamental, protegido não apenas pela legislação nacional, mas igualmente pela legislação europeia.

1. Dados Pessoais Sensíveis: São dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, os dados genéticos, dados biométricos que identifiquem uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
2. Responsável pelo Tratamento (“Controller” ou “RPT”): A pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
3. Titular dos Dados: Qualquer pessoa singular identificada ou identificável que seja objeto de dados pessoais detidos pela Blue Marlin.

• Subcontratante (Processor): Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
• Consentimento: Uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

1. Finalidade legítima: Os fins para os quais os Dados Pessoais podem ser tratados pela Blue Marlin.

III – ÂMBITO DE APLICAÇÃO

A presente Política aplica-se a todos os colaboradores da Blue Marlin, que a devem consultar e com ela estar familiarizados, cumprindo e fazendo cumprir os seus termos, e bem assim, dar a conhecer a outros stakeholders, o compromisso da Blue Marlin com a proteção de dados pessoais.

Qualquer alteração será notificada aos trabalhadores através de comunicação interna (via email), e disponibilizada online no seu website para divulgação junto de todos os interessados.

2 – TRATAMENTO DOS DADOS DE FORMA ÉTICA E LÍCITA

A Blue Marlin tratará a todo o tempo, os dados pessoais de acordo com a legislação em vigor e de acordo com as mais exigentes regras éticas, deontológicas e de conduta com o objetivo permanente de conformidade e adequação normativa.

Por outras palavras, a Blue Marlin respeitará esta Política, e demais políticas e regulamentos internos bem como a legislação aplicável em cada recolha e tratamento de dados.

3 – FINS LEGÍTIMOS PARA O TRATAMENTO DE DADOS PESSOAIS

A Blue Marlin só tratará Dados Pessoais na medida em que se verifique pelo menos uma das seguintes situações:

1. O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências pré-contratuais a pedido do titular dos dados;
2. O titular dos dados tiver dado o seu consentimento com base numa vontade livre, específica, informada e explícita para o tratamento dos seus dados pessoais para uma ou mais finalidades concretas;
3. O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
4. O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
5. O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança;
6. O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento.

Sempre que o tratamento seja efetuado com base nos interesses legítimos do responsável pelo tratamento ou por terceiro (alínea e) do parágrafo anterior) e, atenta a complexidade teórica e interpretativa do conceito, é recomendada a consulta prévia ao Responsável pela Proteção de Dados da Blue Marlin, o qual deverá pronunciar-se sobre o pedido.

A Blue Marlin documenta a fundamentação das bases para a licitude dos tratamentos de dados no seu registo interno específico para o efeito, o qual se encontra disponível para consulta interna mediante pedido por escrito, e pode ser feito junto do Responsável pela Proteção de Dados.

4 – CONTROLO DOS DADOS SENSÍVEIS

Quando a Blue Marlin proceder ao tratamento das categorias especiais de dados pessoais (dados sensíveis), fá-lo-á de forma rigorosa e de acordo com a presente Política e as normas legais aplicáveis. Como regra geral, a Blue Marlin não procede à recolha e/ou obtenção de dados considerados sensíveis.

É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos e biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. O tratamento destes dados sensíveis é proibido, salvas as exceções legalmente previstas no artigo 9.º do Regulamento Geral de Proteção de Dados (RGPD), relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Para mais informações e esclarecimento de quaisquer dúvidas ou questões acerca do tratamento de categorias especiais de dados deverá ser consultado o Responsável pelo Tratamento de Dados.

5 – PROCESSAMENTO DOS DADOS PESSOAIS

Ao tratar dados pessoais, a Blue Marlin deverá garantir que o tratamento tem um dos fundamentos mencionados no Ponto 3. supra. Todos os colaboradores, fornecedores e parceiros da Blue Marlin que utilizem dados pessoais são individualmente responsáveis pelo cumprimento das disposições legais e regulamentares aplicáveis.

Os colaboradores têm a obrigação de garantir a confidencialidade dos dados pessoais como parte indissociável das suas funções, previstas nos respetivos contratos de trabalho. Os colaboradores deverão também proceder em conformidade com toda a informação e formação recebida e cumprir todas as orientações definidas nesta Política.

O incumprimento das obrigações desta Política pode ter consequências disciplinares e o seu incumprimento deve ser reportado ao Responsável pelo Tratamento de Dados da Blue Marlin.

Os tratamentos de dados pessoais na Blue Marlin são realizados de acordo com os princípios de proteção de dados previstos no RGPD:

1. O tratamento dos Dados Pessoais deve ser realizado de forma lícita, leal e transparente. O RGPD introduz o requisito de transparência pelo qual o responsável pelo tratamento de dados informa os titulares de dados sobre os quais recolhe dados. As informações devem ser comunicadas de forma inteligível, utilizando linguagem clara e simples. A Blue Marlin presta informação aos titulares dos dados através de “Avisos de Privacidade”. A informação específica que deve ser fornecida ao titular dos dados, as regras de disponibilização e requisitos relativos aos Avisos de Privacidade utilizados pela Blue Marlin para a prestação de informação, são estabelecidos em procedimento sobre prestação de informação aos titulares de dados, que deve integrar o PPPD da Blue Marlin;
2. Os dados pessoais apenas podem ser recolhidos para fins específicos, explícitos e legais. Os dados recolhidos para um fim específico não são utilizados para uma finalidade diferente daquela comunicada ao titular dos dados.
3. Dados pessoais devem ser adequados, relevantes e limitados ao necessário para o processamento, de acordo com o procedimento sobre minimização dos dados;
4. Os dados pessoais devem ser precisos e atualizados. Os titulares de dados devem notificar a Blue Marlin de qualquer alteração de forma a permitir que os registos pessoais sejam atualizados em conformidade. As instruções para atualizar os registos estão contidas nos vários avisos de privacidade;
5. Os dados pessoais devem ser mantidos de forma que os titulares dos dados possam ser identificados apenas durante o tempo necessário para as finalidades do tratamento;
6. Os dados pessoais devem ser processados de maneira a garantir a sua segurança e confidencialidade;
7. O RGPD introduz o princípio da responsabilidade demonstrada, que define que o Responsável pelo Tratamento de Dados não é apenas responsável por garantir a conformidade, mas por demonstrar que cada operação de tratamento está conforme o requerido no RGPD. Na Blue Marlin a demonstração do cumprimento e consistência com os princípios do RGPD é suportada pela presente Política e restantes documentos relacionados (ponto 20).

A proteção de dados deve ser considerada em cada novo processo de tratamento desde a sua conceção e por defeito. Assim, na conceção de qualquer eventual novo processo de tratamento, a Blue Marlin assumirá o compromisso de utilizar os princípios da proteção de dados desde a sua conceção e por defeito (incluindo, sempre que aplicável, medidas como minimização de dados, adequação, encriptação, pseudonimização, etc), conforme procedimento sobre proteção de dados em novos projetos (“Privacy by Design”).

6 – CONSENTIMENTO

A Blue Marlin compreende o “consentimento” como um acordo e/ou deferimento, no qual o titular dos dados foi plenamente informado da intenção do tratamento dos seus dados e concordou com o mesmo, num estado mental sano e sem a existência de pressão exterior.

Não obstante, em relação ao consentimento do colaborador, não constitui requisito de legitimidade do tratamento dos seus dados pessoais:

1. Se do tratamento resultar uma vantagem jurídica ou económica para o colaborador; ou
2. Se esse tratamento estiver abrangido pela execução de um contrato.

O consentimento do titular dos dados poderá ser retirado a qualquer momento, suspendendo  de imediato a Blue Marlin o tratamento dos dados. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse facto, nomeadamente, via Aviso de Privacidade.

7 – MARKETING DIRETO

É respeitado o pedido de um titular de dados para que não sejam utilizados os seus dados pessoais para fins de marketing direto, devendo ser notificado o Responsável pelo Tratamento de Dados relativamente a qualquer pedido que seja submetido.

Caso se pretenda enviar material de marketing direto por via eletrónica a um titular de dados deve garantir-se que o mesmo deu previamente o seu consentimento, ou que existe uma relação relevante e apropriada entre o titular dos dados e a Blue Marlin, por exemplo em situações em que o titular dos dados é cliente ou é colaborador que sustente a existência de um interesse legítimo. De qualquer modo, a existência de um interesse legítimo requer uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. Pelo que as comunicações de marketing direto devem, preferencialmente, ser acompanhadas pelo Responsável na organização pela proteção de dados pessoais.

Em todas as comunicações de marketing direto enviadas deverá ser disponibilizada ao titular dos dados uma forma simples de solicitar que os seus dados não sejam utilizados para fins de marketing direto (Unsubscribe link).

8 – AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS

À luz do RGPD os novos tratamentos que utilizem novas tecnologias e que possam implicar um elevado risco – dada a sua natureza, âmbito, contexto e finalidades – para os direitos e liberdades dos titulares dos dados pessoais, devem ser sujeitos a uma avaliação de impacto sobre a proteção de dados pessoais (DPIA), nos termos do artigo 35.º do RGPD. Face ao RGPD, um DPIA é sempre obrigatório quando exista a avaliação sistemática de dados pessoais baseados num tratamento automatizado, IA, operações de tratamento em grande escala de categorias especiais de dados pessoais ou controlo sistemático de zonas acessíveis ao público em grande escala.

A Blue Marlin está consciente de quaisquer riscos associados com as atividades de tratamento de dados pessoais que realiza. Em relação a qualquer eventual novo tratamento de elevado risco que venha a ser introduzido, a Blue Marlin assumirá o compromisso de previamente determinar, face à natureza, âmbito, contexto e finalidades do tratamento, a incidência que este pode ter sobre a segurança e confidencialidade dos dados pessoais e por consequência a necessidade de se efetuar um DPIA e as medidas a adotar quando o resultado do DPIA não é satisfatório.

9 – DIREITOS DOS TITULARES DE DADOS

Quer se trate de um colaborador ou de terceiro, todos os indivíduos em relação aos quais a Blue Marlin proceda ao tratamento de dados pessoais, e enquanto titulares desses mesmos dados, têm o direito de:

1. Realizar pedidos de acesso em relação à natureza da informação detida sobre si e para quem foi divulgada, bem como promover a retificação de dados imprecisos;
2. Direito de oposição ao tratamento de dados na prossecução de interesses legítimos da Blue Marlin, que sejam suscetíveis de causar quaisquer danos ou perigo;

• Direito de oposição ao tratamento de dados no âmbito de marketing direto;

1. Tomar medidas para corrigir, limitar, apagar, incluindo o direito de ser esquecido, os dados imprecisos;
2. Ser informado acerca dos mecanismos de tomada de decisão automatizados que os afetarão significativamente, e não ficar sujeitos a este tipo de decisões;
3. Exigir uma indemnização em caso de sofrerem quaisquer danos por violação do RGPD;

• Direito de os dados pessoais lhes serem fornecidos num formato estruturado e de uso corrente, bem como o direito de transmitir esses dados a outra entidade;
• Apresentar uma reclamação à Blue Marlin sobre a forma como o tratamento dos seus dados pessoais foi realizado. Os titulares dos dados podem também apresentar reclamação diretamente à autoridade de controlo – Comissão Nacional de Proteção de Dados (CNPD).

Os titulares de dados tratados pela Blue Marlin podem solicitar o exercício dos seus direitos, conforme descrito nos “Avisos de Privacidade” e os mesmos serão tratados pela Blue Marlin conforme definido em procedimento sobre os direitos dos titulares de dados.

Os titulares dos dados podem consultar o Responsável pelo Tratamento de dados pessoais da Blue Marlin, através dos seguintes contactos:

• Nome: Blue Marlin – Sociedade de Capital de Risco, S.A.
• Morada: Praça do Liége, 189 4150-455 Porto
• Número de telefone: +351 226 104 240
• Endereço de e-mail: protecaodados@bluemarlin.pt

10 – RESPONSÁVEL PELO TRATAMENTO DE DADOS PESSOAIS

A Blue Marlin tem um Encarregado da Proteção de Dados (EPD/RPD) conforme definido do artigo 37.º do RGPD. A nomeação de um encarregado da proteção de dados é obrigatória para as autoridades ou organismos públicos e para entidades responsáveis por tratamentos em larga escala de categorias de dados especiais ou de tratamentos que exijam o controlo regular e sistemático dos titulares de dados. Neste âmbito, a Blue Marlin está obrigado a nomear um EPD ou RPD (Encarregado pela Proteção de Dados Pessoais ou Responsável pelo Tratamento de Dados Pessoais). As funções e atribuições do Encarregado pela Proteção de Dados, estão descritas no documento autónomo, integrante do PPPD da Blue Marlin (Anexo I).

A Blue Marlin no tratamento de dados pessoais assegura que o Responsável na organização pela proteção desses dados não recebe instruções relativamente ao exercício das suas funções.

O EPD não pode ser destituído nem penalizado pela Blue Marlin pelo facto de exercer as suas funções, devendo aquele informar diretamente a direção do responsável pelo tratamento ou do subcontratante (caso exista) ao mais alto nível (senior level).

Os titulares dos dados podem contactar o Responsável na organização pela proteção de dados pessoais sobre todas as questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhes são conferidos pelo RGPD.

O Responsável na organização pela proteção de dados pessoais está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, podendo, não obstante, exercer outras funções e atribuições, assegurando a Blue Marlin que essas funções e atribuições não resultam num conflito de interesses.

11 – ADEQUAÇÃO, RELEVÂNCIA E PROPORCIONALIDADE

A Blue Marlin apenas recolhe os dados pessoais para finalidades específicas do tratamento desses dados, as quais são legítimas e determinadas de modo explícito aquando da recolha.

Os dados pessoais recolhidos devem ser sempre adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados.

12 – SEGURANÇA DOS DADOS PESSOAIS

A Blue Marlin adotou as medidas de segurança técnicas e organizacionais adequadas para proteger a destruição acidental ou ilegal, a perda acidental, a alteração, a divulgação não autorizada ou acesso e outras formas ilegais de manipulação dos dados pessoais.

Registos manuais de dados pessoais não devem ser conservados onde possam ser acedidos por pessoal não autorizado e não podem ser transportados para fora das instalações da Blue Marlin sem autorização escrita explícita da Administração. Os dados pessoais devem ser acessíveis apenas para aqueles que necessitam de os utilizar. De uma forma geral, os dados pessoais devem ser mantidos:

• Em sala fechada com acesso controlado; e/ou
• Em gaveta ou em armário de arquivo fechado.

Se informatizados, os dados pessoais devem estar protegidos de acordo com as Políticas de Segurança da Blue Marlin, de aplicação por todos os colaboradores designadamente:

1. Estrutura de Rede – composta por duas redes wireless independentes, uma para a equipa interna, outra para eventuais visitas e/ou colaboradores pontuais. Toda a rede está protegida por uma UTM que garante o bloqueio e limpeza automáticos de equipamentos em que seja identificada qualquer ameaça. O servidor está protegido com uma solução de segurança específica para servidor da SOPHOS que garante proteção anti-malware e anti-ramsonware;
2. Postos de trabalho – equipados com Windows 10, Office 365 e protegidos por anti-malware e anti-ramnsonware, estando assim protegidos dentro e fora das instalações;
3. Acessibilidade aos meios informáticos – todos os colaboradores têm um username e password de acesso, que são pessoais e intransmissíveis, para acesso ao computador, servidor, softwares e emails, este último na plataforma Office 365. As passwords dos sistemas operativos são atualizadas pelo próprio colaborador regularmente, obedecendo a critérios rígidos para construção (com um mínimo de 8 caracteres). Estão ainda definidos níveis de permissão para acesso aos conteúdos no sistema (limiteção ou restrição de acessos).

A fim de se garantir uma proteção adequada dos dados pessoais, é fundamental que o acesso a dados pessoais seja limitado e apenas seja efetuado dentro do estritamente necessário ao cumprimento da finalidade aplicável.

Em caso algum deverá ser permitido que terceiros acedam a dados pessoais detidos pela Blue Marlin , exceto se existir um contrato e/ou acordo de confidencialidade com esse terceiro que contenha salvaguardas adequadas de proteção dos dados pessoais. Em caso de dúvida sobre a legitimidade do terceiro para aceder a dados pessoais detidos pela Blue Marlin deverá ser previamente consultado o RPD.

13 – DIVULGAÇÃO DE DADOS PESSOAIS

Considerando que existe uma finalidade legítima para o tratamento de dados pessoais, a Blue Marlin, enquanto responsável pelo tratamento, pode divulgar os dados pessoais apenas a categorias específicas de destinatários, nomeadamente, autoridades públicas, subcontratantes, prestadores de serviços e parceiros.

Ao transferir dados pessoais, a Blue Marlin exige a demonstração de que os destinatários cumprem o RGPD e que no contrato entre as partes, quando aplicável, seja incluída uma cláusula relativa à proteção dos dados pessoais. O relacionamento da Blue Marlin com os seus subcontratantes deverá observar também os requisitos definidos em procedimento sobre avaliação dos subcontratantes.

14 – TRANSFERÊNCIA DE DADOS PARA PAÍSES TERCEIROS

Quando existir necessidade da informação pessoal ser transferida, arquivada ou tratada num país diferente – considerando que os principais sistemas de suporte de informação da Blue Marlin encontram-se alojados em servidores localizados em Portugal e/ou no Espaço Económico Europeu (EEE) – a transferência de dados é feita de acordo com os requisitos do RGPD.

Em especial, no âmbito da utilização de ferramentas de análise e gestão do website, tais como Google Tag Manager (GTM) e Google Analytics, poderá ocorrer a transferência de dados pessoais para países fora do EEE, designadamente para os Estados Unidos da América.

Quando a transferência dos dados pessoais for efetuada para um país fora do Espaço Económico Europeu (EEE), serão sempre garantidas medidas técnicas e de organização, pelo recurso a regras vinculativas e com força legal, cláusulas-tipo de proteção de dados aprovadas ou consentimento explícito dos titulares dos dados.

A Blue Marlin envida todos os esforços para garantir que os dados pessoais dos utilizadores sejam tratados de forma segura e em conformidade com a legislação aplicável em matéria de proteção de dados.

15 – CONSERVAÇÃO DOS DADOS PESSOAIS

A Blue Marlin reterá os dados pessoais por um período não superior ao necessário para o cumprimento das finalidades legítimas que motivaram a sua recolha. Quando exista norma legal de retenção aplicável, os dados pessoais serão retidos pelo período legalmente previsto.

Na Blue Marlin os dados pessoais são conservados e posteriormente destruídos de acordo com os requisitos estabelecidos em procedimento sobre limitação da conservação e respetivas tabelas de conservação.

Deverá ser consultado o Responsável na organização pela proteção de dados pessoais sempre que existirem dúvidas quanto ao decurso dos prazos legais de retenção ou inexistência da finalidade que motivou a recolha.

16 – COMUNICAÇÃO DE FALHAS DE SEGURANÇA

Todos os colaboradores, fornecedores, parceiros e titulares de dados que com a Blue Marlin se relacionem têm a obrigação de denunciar ao EPD, falhas reais ou potenciais relativamente à proteção de dados pessoais. Desta forma, é garantido que a Blue Marlin:

1. Investigue a falha e tome medidas corretivas, se necessário;
2. Mantenha um registo de falhas de cumprimento;

• Notifique a autoridade de controlo no prazo legalmente aplicável.

17 – RESPONSABILIDADES E COMPETÊNCIAS

Cada responsável de área funcional é responsável por garantir que esta Política é cumprida pelos colaboradores. Os colaboradores devem estar familiarizados com esta Política e cumprir seus termos.

O Responsável na organização pela proteção de dados pessoais, no que respeita a esta Política, é responsável, nomeadamente, por:

1. Estabelecer e rever anualmente esta Política e procedimentos relacionados;
2. Tornar as revisões desta Política conhecidas de todos os envolvidos;

• Verificar regularmente o cumprimento desta Política;

1. Investigar as falhas de segurança reportadas e tomar medidas para corrigir, se necessário, bem como manter um registo das falhas de cumprimento e notificar as autoridades relevantes de quaisquer falhas de cumprimento que sejam relevantes.

18 – FORMAÇÃO

A Blue Marlin promove sessões formativas sobre a presente Política e sobre a matéria da proteção de dados, cabendo ao RPD, determinar a sua periodicidade.

19 – CONSEQUÊNCIAS DO INCUMPRIMENTO

O incumprimento da presente Política pode trazer consequências disciplinares aos colaboradores, sempre que as suas regras e disposições sejam violadas de modo flagrante e grosseiro e/ou de forma reiterada, sendo iniciado o respetivo processo disciplinar nos termos previstos na legislação laboral.

20 – LOCALIZAÇÃO DOS DOCUMENTOS

Os principais documentos que compõem a presente política (“PPPD”) da Blue Marlin estão disponíveis para consulta na rede interna da Blue Marlin ou através de requisição ao Responsável pelo Tratamento de Dados.

21. REVISÃO E APROVAÇÃO DO DOCUMENTO

O Responsável pela Proteção de Dados é o responsável por assegurar que este procedimento é revisto de acordo com os requisitos definidos no RGPD.

A última versão deste documento está publicada e disponível para consulta de todos os interessados na rede partilhada da Blue Marlin ou através de requisição ao Responsável pelo Tratamento de Dados.

Este procedimento foi aprovado pelo Conselho de Administração da Blue Marlin em 01 de outubro de 2025.