✅Proteção de dados (acordo)

1. Informação sobre proteção de dados respeitante às partes signatárias deste acordo:

HABILMIND, S.L., Calle Ferraz 28, 28008 Madrid (Espanha). O Centro: conforme os dados do cabeçalho do presente acordo. Finalidades do tratamento: prestação dos serviços especificados no objeto deste acordo.

Dados de contato do Encarregado de Proteção de Dados da HABILMIND: [email protected]

Base jurídica: este acordo, obrigações legais, interesse legítimo no caso de pessoas de contato. Destinatários: não estão previstos, salvo administrações públicas, se for o caso. Prazo de conservação: enquanto durar este acordo. Uma vez finalizado, os dados serão conservados pelos prazos de prescrição das ações. Direitos: acesso, retificação, exclusão, oposição, limitação, portabilidade, que podem ser exercidos no endereço acima indicado, ou em [email protected], ou ainda pelo telefone +34911014138. Pode apresentar reclamação perante a autoridade de Controlo.

Os dados recolhidos serão automaticamente anonimizados para realização de pesquisas, diagnósticos técnicos ou análises, o que significa que não poderão ser revertidos nem vinculados a pessoas ou instituições específicas. As universidades ou outras entidades que tenham acesso a essas informações não terão acesso a dados pessoais, como nomes ou centros educativos, garantindo total confidencialidade.

2. Acordo de tratamento de dados

Caso a HABILMIND realize o tratamento de dados pessoais do Centro, do seu pessoal ou docentes, ou dos seus alunos para cumprir o objeto deste acordo, o Centro será o RESPONSÁVEL PELO TRATAMENTO ou RESPONSÁVEL, enquanto a HABILMIND, S.L. será o ENCARREGADO DO TRATAMENTO ou ENCARREGADO. O tratamento dos dados pessoais é necessário para a prestação do serviço. O RESPONSÁVEL decidiu escolher este ENCARREGADO porque este último oferece garantias suficientes para aplicar medidas técnicas e organizacionais adequadas aos dados fornecidos, assegurando que o tratamento realizado esteja em conformidade com o Regulamento (UE) 2016/679, de Proteção de Dados (RGPD) e a legislação que o desenvolva, garantindo a proteção dos direitos dos titulares dos dados, conforme os seguintes acordos:

2.1 Objeto, natureza, finalidade e duração do tratamento.

É objeto e natureza deste acordo a prestação de um serviço que implica o necessário tratamento dos dados fornecidos pelo RESPONSÁVEL ao ENCARREGADO, para poder cumprir o acordo, que consiste no acesso e validação de um instrumento, prova ou avaliação específica. O ENCARREGADO DO TRATAMENTO apenas tratará os dados conforme as instruções documentadas do RESPONSÁVEL PELO TRATAMENTO e para a finalidade objeto do acordo, não os comunicando a nenhum terceiro. Duração: o prazo deste acordo. Acesso aos serviços: conforme tenha sido acordado. Tipo de dados pessoais e as categorias de titulares dos dados objeto deste tratamento: dados de alunos, pessoal. Operações de tratamento: recolha, gravação, consulta, envio, modificação, conservação, eliminação, anonimização e destruição.

2.2. Obrigações do ENCARREGADO

O ENCARREGADO e todo o seu pessoal designado para a prestação dos serviços ao RESPONSÁVEL comprometem-se a:

2.2.1. Prestar os serviços em conformidade com o disposto na legislação vigente de proteção de dados pessoais, com o presente acordo e segundo as instruções documentadas do RESPONSÁVEL, não podendo o ENCARREGADO utilizar tais dados para finalidade diversa da estabelecida neste acordo, nem usá-los para fins próprios. Caso o ENCARREGADO considere que alguma instrução do RESPONSÁVEL infringe ou possa infringir a legislação vigente em matéria de proteção de dados pessoais e, em especial, o Regulamento (UE) 2016/679, deverá informar por escrito, imediatamente, o RESPONSÁVEL.

2.2.2. Não transmitir ou comunicar a terceiros, sob nenhuma circunstância, os dados pessoais dos tratamentos cujo responsável é o RESPONSÁVEL, salvo instruções expressas e por escrito.

2.2.3. Garantir que as pessoas que integram a sua estrutura e atuam como recursos humanos do ENCARREGADO, autorizadas por este a tratar dados pessoais do RESPONSÁVEL, se tenham comprometido, expressamente e por escrito, a respeitar as normas de confidencialidade e a cumprir as medidas de segurança correspondentes às suas funções, que o ENCARREGADO deverá indicar por escrito. Manter o dever de sigilo em relação aos dados pessoais aos quais tiver acesso, em virtude do presente acordo, mesmo após o término da prestação dos serviços contratados.

2.2.4. Adotar e manter as medidas de segurança necessárias e garantir os direitos das pessoas afetadas, conforme estabelecido no Art. 32 do RGPD, devendo estabelecer, quando aplicável, entre outras, as seguintes medidas:

1. pseudonimização e criptografia dos dados pessoais;

2. capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento;

3. capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de forma rápida, em caso de incidente físico ou técnico;

4. estabelecimento de um processo de verificação, avaliação e análise regulares da eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento;

5. outras medidas de segurança que o ENCARREGADO adote no exercício de sua responsabilidade proativa, considerando os dados recebidos do RESPONSÁVEL e o tratamento que seja necessário realizar, devendo a ENCARREGADO adotar as medidas previstas no Art. 25 do RGPD. Em particular, e quando aplicável, a ENCARREGADO garante que os dados pessoais que integrar nos seus sistemas de tratamento, que armazenar ou tratar em suportes automatizados, acessíveis via Wi-Fi ou de outro modo, em nome do RESPONSÁVEL, estão hospedados nos seus próprios servidores ou, se for o caso, nos servidores dos seus subcontratados, e acessíveis por meio de conexão própria e segura à Internet. Os servidores ou equipamentos de hospedagem de dados deverão ser: seguros, conforme as exigências do RGPD; localizados na União Europeia, salvo se o RESPONSÁVEL tiver previamente dado a sua anuência e consentimento por escrito, e desde que a localização fora da União Europeia respeite e cumpra rigorosamente as condições previstas neste acordo e no RGPD. O ENCARREGADO colocará à disposição do RESPONSÁVEL todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no presente acordo, permitindo e colaborando com a realização de auditorias ou inspeções por parte do responsável ou de outro auditor autorizado por este.

2.2.5. Manter atualizado e por escrito um registo de todas as categorias de atividades de tratamento realizadas em nome do RESPONSÁVEL, contendo:

1. O nome e os dados de contato do ENCARREGADO e deste RESPONSÁVEL e, se for o caso, do representante do responsável ou do encarregado e do DELEGADO DE PROTEÇÃO DE DADOS.

2. As categorias de tratamentos realizados em nome deste RESPONSÁVEL.

3. As transferências internacionais de dados, incluindo a identificação do terceiro país destinatário dos dados, considerando o eventual armazenamento de dados em serviços de computação em nuvem (cloud), anexando a documentação com as garantias adequadas a que se refere o Art. 30.2.c do RGPD.

4. Uma descrição geral das medidas técnicas e organizativas de segurança que o ENCARREGADO aplica no tratamento dos dados.

2.2.6. Caso o ENCARREGADO seja obrigado, por disposição legal, a transferir dados pessoais para um país terceiro ou para uma organização internacional, em virtude do Direito da União ou dos Estados-Membros que lhe seja aplicável, informará por escrito, de forma prévia e detalhada, o RESPONSÁVEL sobre essa exigência legal, salvo se tal Direito o proibir por razões de interesse público.

2.2.7. Caso o ENCARREGADO DO TRATAMENTO decida subcontratar total ou parcialmente este serviço, deverá obter autorização prévia e por escrito do RESPONSÁVEL PELO TRATAMENTO. Uma vez autorizada a subcontratação, o SUBENCARREGADO do tratamento deverá estar sujeito às mesmas condições e à mesma forma escrita que o ENCARREGADO mantém com o RESPONSÁVEL, sendo o ENCARREGADO responsável, perante o RESPONSÁVEL, no caso de descumprimento pelo SUBENCARREGADO, devendo ser celebrado acordo escrito entre o ENCARREGADO e o SUBENCARREGADO.

2.2.8. Comunicar ao RESPONSÁVEL qualquer solicitação por escrito referente aos direitos dos titulares dos dados, que por qualquer meio venha a ser recebida pelo ENCARREGADO DO TRATAMENTO em relação aos dados objeto de tratamento.

2.2.9. Auxiliar o RESPONSÁVEL a garantir o cumprimento das obrigações estabelecidas nos Artigos 32 a 36 do RGPD, considerando a natureza do tratamento e as informações à disposição do ENCARREGADO. O ENCARREGADO notificará o RESPONSÁVEL, sem demora injustificada e, em qualquer caso, no prazo máximo de 24 horas, sobre violações de segurança dos dados pessoais sob sua responsabilidade das quais tenha conhecimento, incluindo todas as informações relevantes para a documentação e comunicação do incidente. Não será obrigatória a notificação quando for improvável que tal violação de segurança constitua risco para os direitos e liberdades das pessoas físicas. Quando disponível, serão fornecidas, no mínimo, as seguintes informações:

1. Descrição da natureza da violação de segurança dos dados pessoais, incluindo, quando possível, as categorias e o número aproximado de titulares dos dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais afetados.

2. O nome e os dados de contato do encarregado de proteção de dados do ENCARREGADO ou de outra pessoa de contato do ENCARREGADO, caso seja necessária mais informação.

3. Descrição das possíveis consequências para os titulares dos dados, em decorrência da violação de segurança dos dados pessoais.

4. Descrição das medidas adotadas ou propostas para mitigar ou resolver a violação de segurança dos dados pessoais, incluindo, se aplicável, as medidas tomadas para reduzir os possíveis efeitos negativos.

Será o RESPONSÁVEL quem deverá, quando cabível, proceder à comunicação das violações de segurança dos dados à Agência de Proteção de Dados e às pessoas afetadas.

2.2.10. Designar um encarregado de proteção de dados, caso seja exigido pela legislação vigente, e comunicar sua identidade e dados de contato ao RESPONSÁVEL.

2.2.11. Uma vez concluída a prestação contratual, os dados pessoais deverão ser devolvidos ao RESPONSÁVEL, salvo se existir alguma disposição legal que exija a sua conservação. Os dados deverão ser devolvidos na mesma forma em que foram obtidos e no prazo de dois meses a contar da efetiva finalização do serviço, não podendo o RESPONSÁVEL dificultar o seu recebimento. Sempre que possam surgir responsabilidades entre o RESPONSÁVEL e o ENCARREGADO, esta poderá conservar os dados devidamente bloqueados.

3. Obrigações do RESPONSÁVEL

O RESPONSÁVEL obriga-se a fornecer dados pessoais obtidos de forma lícita, transparente e informada. Garante aos titulares dos dados os direitos de proteção de dados que lhes assistem. Dispõe de base jurídica para o tratamento, cumprindo as condições do consentimento, quando necessário, e informará o ENCARREGADO caso transmita categorias especiais de dados previstas no Art. 9 do RGPD. O RESPONSÁVEL responderá pelos danos e prejuízos causados ao titular dos dados caso a operação de tratamento em que tenha participado não cumpra o RGPD, nos termos do Art. 82.2 do RGPD. Estará isento de responsabilidade se demonstrar que não é, de forma alguma, responsável pelo fato que causou os danos e prejuízos. Quando mais de um responsável ou encarregado do tratamento, ou apenas um responsável e um encarregado, tenham participado na mesma operação de tratamento e sejam responsáveis por qualquer dano ou prejuízo causado por esse tratamento, todos serão considerados responsáveis por todos os danos e prejuízos, nos termos do Art. 82.4 do RGPD.