O presente Regulamento destina-se a estabelecer as regras e procedimentos internos de aplicação do (RGPD). REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de Abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)

DEFINIÇÕES, DIREITOS E OBRIGAÇÕES

1. Para efeitos do RGPD, dados pessoais são todos os dados que nos permitem identificar uma pessoa, como por exemplo, o nome, a morada, o IP, número de contribuinte, número de utente do Serviço de Saúde, hábitos de consumo.

2. O RGPD aplica-se apenas a dados de pessoas individuais, não a empresas.

3. O responsável pelo tratamento de dados na empresa é o gerente.

4. Os titulares dos dados têm os seguintes direitos:
   a) Direito de acesso
   b) Direito de retificação
   c) Direito de apagamento
   d) Direito a limitação do tratamento
   e) Direito de portabilidade dos dados
   f) Direito de oposição e decisões individuais automatizadas

5. Quando o titular dos dados pretender exercer qualquer um destes direitos, o responsável pelo tratamento deve procurar responder o mais rapidamente possível, tendo no máximo 30 dias para o fazer devendo responder de forma clara concisa e suficiente.

6. O responsável pelo tratamento deve prever regras para facilitar o exercício pelo titular dos dados dos seus direitos.

7. (Dever de informação): aquando da recolha dos dados devem os titulares dos dados ser informados do seguinte:
a) A identidade e os contactos do responsável pelo tratamento
b) As finalidades do tratamento dos dados pessoais
c) Seu destino
d) O fundamento jurídico para o tratamento
e) Os destinatários ou categorias de destinatários dos dados pessoais se os houver
f) O prazo de conservação
g) A transferência para países terceiros, se aplicável
h) A existência do direito de acesso, retificação, e apagamento e limitação do tratamento
i) A existência do direito de se opor ao tratamento
j) A informação de que pode retirar o consentimento em qualquer altura
k) A existência do direito de não sujeição a decisões automatizadas incluindo a definição de perfis
l) O direito à portabilidade dos dados
m) O direito ao conhecimento da existência de uma violação de dados
n) O direito a reclamar para uma autoridade de controlo

8. Os dados pessoais devem ser objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados.

9. As pessoas singulares devem conseguir perceber como os dados pessoais que a eles dizem respeito são recolhidos, utilizados, consultados ou sujeitos a qualquer outro tipo de tratamento e a medida em que os dados pessoais são ou virão a ser tratados.

10. Os procedimentos devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados.

11. Só pode haver tratamento de dados pessoais quando a finalidade do tratamento não possa ser alcançada por outras vias.

12. Os procedimentos devem ser exatos e atualizados sempre que necessário.

13. Devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados sem demora.

14. Os dados devem ser conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados.

15. O responsável pelo tratamento dos dados deve implementar uma política de manutenção, arquivo e apagamento dos dados de modo a garantir que esses não sejam conservados durante um período superior ao período estritamente necessário.

16. Os dados devem ser tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas.

17. O responsável pelo tratamento deve conseguir demonstrar que o titular dos dados pessoais consentiu livremente e de forma esclarecida. Um consentimento dado de forma oral ou até mediante um consentimento tácito ou outro não oferece estas garantias, porquanto não permite fazer prova de ter sido obtido de forma livre, específica, informada, explícita e através do ato inequívoco.

18. O responsável pelo tratamento dos dados pessoais deve garantir:
    a) Que os dados pessoais que possui são legítimos e estão limitados ao que é necessário
    b) Que os dados estão atualizados, seguros e confidenciais
    c) Que tem políticas, procedimentos, códigos de conduta instruções internas formalizados e capazes de serem disponibilizados às entidades de supervisão
    d) Que possui sistemas para monitorizar se as políticas e procedimentos que estão a ser seguidos
    e) Implementar o mecanismo permanente e dinâmico de verificação da conformidade com o RGPD
    f) Provar por evidência o respeito do RGPD
    g) Promover auditorias no âmbito de um controlo continue para verificar a eficácia das medidas implementadas e, eventualmente, modificá-las

19. O responsável pelo tratamento de dados está obrigado a notificar a entidade controlo, que em Portugal é a Comissão Nacional de Proteção de Dados, de todas as violações de dados com risco para o titular, devendo esta comunicação ser realizada no prazo de 72 horas.

APLICAÇÃO DO REGULAMENTO

20. Os dados pessoais que são recolhidos na empresa são:
    a) Nome, morada, número telefone, endereço e-mail de clientes compradores e de clientes vendedores
    b) Nome, número fiscal, número do documento identificação, estado civil e morada dos empregados e dos colaboradores

21. Os dados são obtidos por diversas formas:
    a) Através de contrato celebrado com o cliente vendedor, colaborador e empregado
    b) Através de contato por e-mail de clientes, ou visita na nossa página da internet onde os interessados introduzem os seus dados pessoais
    c) Através do telefonema para a empresa
    d) Por visita física da loja

22. Na recolha dos dados através de contratos ou de recolha de dados com contacto direto com a pessoa, a mesma é informada dos seus direitos e solicitado o seu consentimento para o tratamento de dados.

23. No caso de contacto telefónico, o colaborador que recolhe os dados, informa a pessoa em causa que irá de seguida enviar um correio eletrónico com os dados da pessoa, pedindo-lhe que responda dando o seu consentimento expresso para o tratamento de dados.

24. Todos os dados recolhidos, são introduzidos no CRM software da empresa Casafari.

25. Os dados são encriptados.

26. O gerente João Andrade responsável pelo tratamento de dados, Betty Andrade e Liliana Correia são os únicos com acesso a todos os dados.

27. De resto, cada consultor tem acesso aos dados do cliente que lhe entregou o imóvel para mediação, e os dados do cliente comprador que manifesta interesse no imóvel por si angariado.

27. Todas as pessoas na empresa com acesso a dados pessoais, devem ser informados das regras constantes do RGPD e das consequências pelo seu tratamento indevido.

29. Todos os dados que constam em documentos físicos, quer sejam fichas de visitas de clientes, contratos de mediação, cópias de contratos de arrendamento compra e venda, ou outros, são guardados numa capa, e fechados num armário cofre que por sua vez se encontra num gabinete fechado à chave, chave esta a que apenas têm acesso João Andrade, Betty Andrade e Liliana Correia.

30. De 30 em 30 dias deve o responsável pelo tratamento dos dados verificar a segurança física dos documentos em papel, e encriptação dos dados informáticos acima referidos.

31. Eventualmente, deve melhorar a aplicação do regulamento.

32. De 30 em 30 dias deve apagar os dados cujo prazo de armazenamento expirou.