Informação relativa ao tratamento De dados pessoais De atuais e futuros clientes

  • Em sequência do Regulamento Europeu de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (doravante, a “LGPDP”), a bioMérieux necessita de recolher dados pessoais por questões empresariais.

A proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais é um direito fundamental.

Assim sendo, o supracitado Regulamento Europeu visa fortalecer e especificar os direitos dos titulares dos dados, e as obrigações de quem realiza e determina o tratamento de dados pessoais.

  • O objetivo deste documento é informar os atuais/futuros clientes sobre o tratamento dos seus dados e determinar os procedimentos para o exercício dos seus direitos nesse contexto.

Artigo 1. Definição

Foram atribuídos os seguintes significados aos termos abaixo, no âmbito deste memorando informativo:

  • “Dados Pessoais”: qualquer informação relacionada com uma pessoa singular identificada ou identificável, isto é, os atuais/futuros clientes; uma pessoa singular identificável é considerada uma “pessoa singular [...] que pode ser identificada, direta ou indiretamente, em particular no que diz respeito a um identificador, tal como um nome, um número de identificação, dados de localização, um identificador online de um ou mais fatores específicos da identidade física, psicológica, genética, mental, económica, cultural ou social";
  • “Tratamento”: qualquer operação ou conjunto de operações que seja realizada sobre os dados pessoais ou conjuntos de dados pessoais, quer por meios automatizados ou não, tais como recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, retirada, consulta, uso, divulgação por transmissão, difusão ou disponibilização de qualquer outra forma, entendimento ou combinação, restrição, eliminação ou destruição;
  • “Empresa”: bioMérieux, doravante referida como o “Controlador de Dados” ou o “Processador de Dados”, consoante o caso;
  • Controlador de dados”: significa a pessoa singular ou jurídica, autoridade pública, agência ou outra entidade que, sozinha ou em conjunto com outras, determina os objetivos e os meios de tratamento dos dados pessoais;
  • Processador de Dados”: significa uma pessoa singular ou jurídica, autoridade pública, agência ou outra entidade que procede ao tratamento dos dados pessoais em nome do controlador;
  • “Recetor”: a pessoa singular ou entidade jurídica, a autoridade pública, o departamento ou qualquer outra organização que recebe a divulgação de dados pessoais, independentemente de essa pessoa ser ou não um terceiro, e que é referido no Artigo 6 abaixo.

É especificado para todos os efeitos que, nos casos em que os dados pessoais não foram recolhidos diretamente da pessoa em causa, a recolha de dados ficará limitada aos dados de identificação da pessoa em causa.

 

Artigo 2. Base legal para o tratamento

De acordo com o Artigo 6 da LGPDP, qualquer tratamento de dados pessoais de atuais/futuros clientes, com recurso aos pedidos identificados pela bioMérieux, terá como base um contrato ou um interesse legítimo por um acordo empresarial. Consequentemente, o tratamento de Dados Pessoais basear-se-á na execução do contrato do cliente, no cumprimento das obrigações legais a que a bioMérieux está sujeita e aos legítimos interesses defendidos pela bioMérieux.

 

Artigo 3. Objetivos do tratamento de dados pessoais

3.1. Tratamento de Dados Pessoais como Controlador de Dados

A Empresa atua como Controlador de Dados, quando o tratamento de dados pessoais de atuais/futuros clientes da bioMérieux visa especificamente:

Apoio ao Cliente e Serviços:

  • acesso a pedidos de encomendas, biblioteca técnica (folhetos informativos, fichas com dados de segurança), certificados de controlo de qualidade;
  • avaliação do desempenho dos laboratórios (consultadoria laboratorial, análise do fluxo de trabalho).

Marketing:

  • formação sobre os produtos (nos sites da bioMérieux, nos sites dos clientes, durante congressos);
  • participação em eventos (seminários, congressos, exposições...)
  • comunicação com informação sobre produtos e tecnologias;
  • comunicação sobre encomendas em atraso, questões de qualidade, vigilância;
  • inquéritos de satisfação;
  • sondagens de mercado.

Finanças:

  • controlo de crédito;
  • análise de vendas e margens.

Vendas:

  • prospeção de vendas (e-mails, newsletter, telefonemas)
  • propostas, ofertas, gestão de encomendas, contratos.
  • envio de encomendas;

Exigências legais:

  • Lei da transparência, relativamente aos profissionais de saúde.

3.2. Tratamento de Dados Pessoais como Processador de Dados

A Empresa atua como Processador de Dados, quando o tratamento dos dados pessoais dos atuais e futuros clientes da bioMérieux visa especificamente:

  • o apoio aos clientes (técnico-científico, manutenção e instalação, serviços)

Neste caso, o cliente da Empresa atua como Controlador de Dados e a Empresa como Processador de Dados, realizando o tratamento de acordo com as instruções documentadas dadas pelo cliente da Empresa.

 

Artigo 4. Dados da Empresa

4.1. Dados de contacto do Controlador de Dados

A bioMérieux é o Controlador de Dados com os objetivos mencionados no Artigo 3.1 e encontra-se registada no Lyon Trade and Companies Register (Registo de Comercial de Lyon) com o número 673 620 399 e com a sede registada em Marcy L’étoile.

4.2. Processador de Dados

A bioMérieux é o Processador de Dados com os objetivos mencionados no Artigo 3.2 e encontra-se registada no Lyon Trade and Companies Register (Registo de Comercial de Lyon) com o número 673 620 399 e com a sede registada em Marcy L’étoile.

4.3 Dados de contacto do representante da Empresa na sua função de Controlador de Dados ou Processador de Dados

O representante do Controlador de Dados ou do Processador de Dados, consoante o caso de acordo com o Artigo 3, é Alexandre Mérieux, no seu cargo de Presidente e CEO, e cujos dados de contacto são os seguintes: Campus de L’étoile, 100 Allée Louis Pasteur, 69280 Marcy L’étoile.

 

Artigo 5. Dados de contacto do Encarregado da Proteção de Dados

A bioMérieux nomeou um encarregado da proteção de dados, cujos dados de contacto são os seguintes: Yves Raisin, Data Protection Officer, privacyofficer@biomerieux.com, +33 (0)4 78 87 21 42, Campus de L’étoile, 100 Allée Louis Pasteur, 69280 Marcy L’étoile (doravante, o “Data Protection Officer”).

 

Artigo 6. Período de retenção dos Dados Pessoais

6.1 Relativamente ao tratamento de Dados Pessoais como Controlador de Dados (como mencionado no Artigo 3.1), os Dados Pessoais ficarão retidos durante um período que não excederá o período necessário para os objetivos para os quais estão a ser processados.

A não ser que um pedido de eliminação seja enviado previamente para PrivacyOfficer@biomerieux.com, o Controlador de Dados guardará os Dados Pessoais nos sistemas da bioMérieux durante o máximo dos seguintes períodos de retenção:

(i) enquanto for necessário para as atividades ou serviços relevantes;
(ii) qualquer período de retenção exigido por Lei;
(iii) o fim do período de limitação em que possam surgir litígios ou investigações, relativamente às atividades ou serviços relevantes.

6.2. Relativamente ao tratamento de Dados Pessoais como Processador de Dados (como mencionado no Artigo 3.2), a Empresa, mediante um pedido aceitável do cliente da Empresa (atuando neste processo como Controlador de Dados), eliminará e devolverá todos os Dados Pessoais ao cliente da Empresa no término ou expiração do contrato.

 

Artigo 7. Categorias de recetores de Dados Pessoais

Pode ser requerido ao Controlador de Dados que reencaminhe alguns Dados Pessoais dos seus atuais e futuros clientes, incluindo para os seguintes recetores:

  • afiliados da bioMérieux
  • Parceiros (terceiros externos)

Estes dados também podem ser transferidos para um recetor localizado num país que não pertence à União Europeia, referido como um “país terceiro”, que não tenha sido alvo de uma decisão de adequação emitida pela Comissão Europeia para questões operacionais (por exemplo, apoio IT). Os atuais e futuros clientes são informados de que a transferência dos seus dados pessoais é necessária para a execução do contrato assinado entre eles e a bioMérieux, de acordo com o Artigo 49 da LGPDP.

 

Artigo 8. Direitos dos atuais e futuros clientes, relativamente ao tratamento dos seus Dados Pessoais

  • Os titulares dos dados têm os direitos descritos nos seguintes artigos.

No contexto de um pedido relativamente ao exercício dos seus direitos, o Controlador de Dados compromete-se a apoiar esses direitos o mais rápido possível e no prazo de um mês desde a receção do pedido enviado ao Data Protection Officer, em qualquer circunstância.

Este prazo pode ser alargado em dois meses, face à sua complexidade ou número de pedidos realizados, caso seja necessário.

O Controlador de Dados informará os titulares dos dados envolvidos sobre este prolongamento e as razões para o atraso no prazo de um mês a partir da receção do seu pedido, em relação a esta questão.

Sempre que o pedido seja feito através de um formato eletrónico, a informação será fornecida eletronicamente por defeito, sempre que possível, e salvo se o funcionário envolvido solicitar expressamente que a mesma seja fornecida de outra forma (impressa em papel).

Se o Controlador de Dados não acompanhar o pedido submetido pelo titular dos dados, informará este último sobre as razões para a sua incapacidade em atuar, assim como a opção do titular dos dados em apresentar queixa junto da CNIL e/ou dar início de imediato a um processo judicial, no período máximo de um mês desde a receção do pedido.

Artigo 8.1 Direito de acesso do atual/futuro cliente envolvido

Todos os atuais e futuros clientes da bioMérieux têm o direito de obter uma confirmação do Controlador de Dados, relativamente à possibilidade dos seus Dados Pessoais estarem a ser alvo de tratamento por parte do Controlador de Dados, assim como o acesso aos referidos dados.

Para tal, o titular dos dados envolvido pode submeter o seu pedido ao Data Protection Officer, referido anteriormente no Artigo 5.

Artigo 8.2 Direito à retificação

Quaisquer atuais/futuros clientes têm o direito de exigir que o Controlador de Dados retifique, o mais rapidamente possível, quaisquer Dados Pessoais a eles referentes que estejam incorretos.

Para tal, os atuais/futuros clientes envolvidos podem submeter o seu pedido ao Data Protection Officer, referido anteriormente no Artigo 5.

Além disso, quaisquer atuais/futuros clientes têm o direito de exigir que os seus Dados Pessoais incompletos sejam devidamente completados, desde que essa informação seja necessária para o tratamento dos dados, fornecendo uma declaração adicional endereçada ao Data Protection Officer, referido anteriormente no Artigo 5.

Artigo 8.3 Direito à eliminação (”Direito de ser esquecido”)

Quaisquer atuais/futuros clientes têm o direito de exigir que o Controlador de Dados elimina, o mais rapidamente possível, Dados Pessoais a eles referentes. O Controlador de Dados tem a obrigação de eliminar estes Dados Pessoais o mais rapidamente possível, nos seguintes casos:

  • os Dados Pessoais já não são necessários para os objetivos para os quais foram recolhidos ou tratados de outra forma;
  • Os atuais/futuros clientes envolvidos estão a exercer o seu direito de se oporem ao tratamento dos seus dados;
  • os Dados Pessoais foram alvo de tratamento ilícito;
  • os Dados Pessoais têm de ser eliminados, de modo a cumprir com a obrigação legal imposta pela Lei da União Europeia ou pela Lei nacional que governa o Controlador de Dados;

Contudo, o direito à eliminação não se aplica nos seguintes casos: > o seu tratamento é necessário para exercer o direito à liberdade de expressão e de informação:

  • o seu tratamento é necessário, de modo a cumprir com a obrigação legal imposta pela Lei da União Europeia ou pela Lei nacional que governa o Controlador de Dados;
  • o seu processamento é necessário para registar, exercer ou defender direitos em tribunal.

Para exercer este direito, o titular dos dados envolvido pode submeter o seu pedido ao Data Protection Officer, referido anteriormente no Artigo 5.

Artigo 8.4 Direito à restrição de tratamento

Quaisquer atuais/futuros clientes têm o direito de exigir que o Controlador de Dados restringe o tratamento dos seus dados nos seguintes casos:

  • a exatidão dos Dados Pessoais é disputada pelo titular dos dados envolvido durante um período que permita ao Controlador de Dados verificar a exatidão dos Dados Pessoais;
  • o tratamento é ilícito, e o titular dos dados opõe-se à eliminação dos dados, requerendo antes a restrição à sua utilização;
  • o Controlador de Dados já não necessita de Dados Pessoais para efeitos de tratamento, embora estes dados ainda sejam necessários pelo titular dos dados envolvidos, com vista à determinação, exercício ou defesa de direitos jurídicos.

Para exercer este direito, o titular dos dados envolvido pode submeter o seu pedido ao Data Protection Officer, referido anteriormente no Artigo 5.

Artigo 8.5 Direito à objeção

Quaisquer atuais/futuros clientes têm o direito de se opor ao tratamento dos seus Dados Pessoais, com base nos interesses legítimos manifestados pelo Controlador de Dados, em qualquer momento, por razões que se prendam com a sua situação específica.

Para exercer este direito, o titular dos dados envolvido pode submeter o seu pedido ao Data Protection Officer, referido anteriormente no Artigo 5.

O Controlador de Dados deixará de poder efetuar o tratamento dos Dados Pessoais, a não ser que seja provado que existem razões legítimas de peso para o tratamento de tais dados, o que tem prioridade sobre os interesses, direitos e liberdades pessoais do titular dos dados, ou para determinação, exercício ou defesa de direitos em tribunal.

Artigo 8.6 Direito à mobilidade de dados

Desde que o tratamento de dados em causa tenha sido realizado com recurso a processos automatizados, quaisquer atuais/futuros clientes têm o direito de receber os seus Dados Pessoais que foram fornecidos ao Controlador de Dados num formato mecanizado, estruturado e usado comummente, e têm o direito de transmitir estes dados a outro Controlador de Dados sem a objeção do primeiro Controlador de Dados.

Além disso, quaisquer atuais/futuros clientes têm o direito de exigir que os seus Dados Pessoais sejam transmitidos diretamente a outra parte pelo Controlador de Dados, sempre que for tecnicamente exequível.

Para exercer este direito, o titular dos dados envolvido pode submeter o seu pedido ao Data Protection Officer, referido anteriormente no Artigo 5.

Artigo 8.7 Direito a apresentar queixa a uma autoridade supervisora

Não obstante qualquer outro recurso administrativo ou jurídico, quaisquer atuais/futuros clientes que acreditem que os seus Dados Pessoais foram tratados de uma forma que viola a LGPDP e os princípios estabelecidos neste memorando informativo têm o direito de apresentar queixa à CNIL.

Para reivindicar os seus direitos, quaisquer atuais/futuros clientes podem igualmente nomear um órgão, uma organização ou uma ONG que tenha sido válida e legalmente incorporada, cujos fins estatutários sejam de interesse público e que seja ativa na proteção dos direitos e liberdades dos indivíduos envolvidos, como parte da proteção dos seus Dados Pessoais, de modo a que o titular dos dados possa apresentar uma queixa em seu nome junto da CNIL, ou interpor um processo jurídico efetivo contra um Controlador de Dados ou processador.

 

* * *

 

Este memorando foi lido atentamente pelos atuais/futuros clientes através dos websites da bioMérieux.

bioMérieux

O representante do Controlador de Dados Yves Raisin

Data Protection Officer

Última atualização: 15 de novembro de 2018

Pioneering diagnostics