A Caixagest – Técnicas de Gestão de Fundos, S.A. alterou, em setembro de 2019, a sua denominação para Caixa Gestão de Ativos Sociedade Gestora de Fundos de Investimento, S.A.. A partir de abril de 2020, a Caixa Gestão de Ativos Sociedade Gestora de Fundos de Investimento, S.A. passou a denominar-se Caixa Gestão de Ativos, SGOIC, S.A..
1. ENQUADRAMENTO No âmbito da Agenda Digital Europeia, que visa consagrar o Mercado Único Digital na União Europeia, a proteção dos dados pessoais deve ser assumida, pelas empresas e organizações, como uma nova realidade e como fator crítico para o sucesso dos processos de transformação digital em curso.
Na União Europeia, a proteção de dados pessoais constitui o cerne do Regulamento (UE) 2016/679 relativo à proteção das pessoas singulares no que diz respeito ao tratamento e livre circulação de dados pessoais e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados ou RGPD), regulamento que foi publicado em 4.05.2016.
Este novo regulamento representa um passo relevante para garantir uma adequação legal aos novos riscos relacionados com a proteção de dados pessoais, reproduzirá impactos significativos para as empresas e organizações, tanto ao nível dos fornecedores como dos seus Clientes e Colaboradores, acrescendo as responsabilidades das partes envolvidas no processamento e controlo dos dados pessoais, quer sejam responsáveis pelo tratamento dos dados ou subcontratantes.
O RGPD concretiza e desenvolve o direito fundamental das pessoas singulares à proteção de dados de caráter pessoal que lhes digam respeito, previsto no artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia e no artigo 16.º, n.º 1, do Tratado de Funcionamento da União Europeia, bem como no Artigo 35º da Constituição da República Portuguesa.
Esse direito fundamental corresponde ao direito de qualquer pessoa singular a que toda a informação que lhe diga respeito - identificando-a ou tornando- a identificável – apenas possa ser objeto de tratamento de modo leal, para fins concretos e com base em fundamento legítimo legalmente estabelecido ou no consentimento do titular de dados, cujos requisitos legais, previstos no RGPD, são muito mais exigentes.
A conformidade com o RGPD materializa-se numa oportunidade para, procedendo a um rigoroso exercício de autoavaliação dos seus processos e procedimentos internos em matéria de tratamento dos dados de Clientes e Colaboradores, prestar um serviço de qualidade aos Clientes, acrescentando valor à relação de confiança que mantêm com a Caixa Gestão de Ativos Sociedade Gestora de Fundos de Investimento, S.A. (anteriormente denominada por Caixagest – Técnicas de Gestão de Fundos, S.A.) e a Caixa Geral de Depósitos (CGD).
Para o efeito, a presente Política foi elaborada de acordo com o RGPD e tem âmbito corporativo, aplicando-se à Caixa Gestão de Ativos.
Relevam ainda neste domínio, os normativos internos relativos ao Modelo de Governo da Proteção de Dados (em elaboração) e relativos à Segurança da Informação e à Política Global de Segurança da Informação, de âmbito também corporativo.
Tal como a Segurança da Informação, a Proteção de Dados constitui uma prioridade da gestão de topo da CGD e da Caixa Gestão de Ativos que promovem uma efetiva cultura de proteção de dados baseados no compromisso de todos e de cada um dos seus Colaboradores.
2. DEFINIÇÕES Para efeito do presente normativo, consideram-se as seguintes definições:
2.1. Dados Pessoais: a informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
Os dados pessoais podem ainda distinguir-se entre:
a) identificadores - os que identificam a pessoa singular através do nome, fotografia, e-Mail, número de telefone, morada, identificadores pessoais, endereço IP, identificadores dos dispositivos móveis, geo localização, identificação psicológica e genética, dados biométricos, identidade sociocultural, situação económica;
b) identificáveis - os que identificam a pessoa singular, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;
c) recolhidos pelo responsável pelo tratamento através de fichas de elementos informativos, formulários e contratos, quer nos Canais Presenciais e Não Presenciais.
2.2. Categorias especiais de dados pessoais, os dados relativos a:
a) origem racial ou étnica;
b) opiniões políticas;
c) convicções religiosas ou filosóficas;
d) filiação sindical;
e) dados genéticos relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;
f) dados biométricos resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;
g) dados relativos à saúde relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;
h) dados relativos à vida sexual ou orientação sexual.
2.3. Titulares dos dados: para efeito da presente norma, consideram-se titulares dos dados os Colaboradores da Caixa Gestão de Ativos e as outras pessoas singulares com quem a Caixa Gestão de Ativos interage no âmbito da sua atividade.
2.4. Tratamento: uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como
a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
2.5 Colaboradores: todos aqueles que, à Caixa Gestão de Ativos, prestem qualquer tipo de atividade, serviço ou trabalho, a título permanente ou ocasional, independentemente do tipo ou natureza de contrato ou do tipo e forma de vínculo, nomeadamente, os membros dos órgãos sociais, trabalhadores, estagiários e prestadores de serviços.
2.6 Responsável pelo tratamento: pessoa singular ou coletiva que determina as finalidades e os meios do tratamento de dados pessoais. No contexto da presente Política, o responsável pelo tratamento é, em regra, a CGD nos termos que se explicitam no seu Modelo de Governo sobre Proteção de Dados Pessoais.
2.7. Subcontratante: pessoa singular ou coletiva que trata os dados pessoais por conta da Caixa Gestão de Ativos, no contexto de prestação de serviços, formalizada através de Contrato.
2.8. Violação de Dados Pessoais: violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
2.9. Autoridade de controlo: uma autoridade pública independente que, no caso de Portugal, é a Comissão Nacional de Proteção de Dados (CNPD), competindo- lhe fiscalizar a correta aplicação da legislação sobre proteção de dados pessoais.
3. OBJETO A presente Política estabelece os princípios, as regras legais e regulamentares, as normas de atuação e as boas práticas observadas pela Caixa Gestão de Ativos no tratamento de dados pessoais a que procedem no âmbito da sua atividade.
Em harmonia com o princípio da transparência, assinalam-se as finalidades do tratamento de dados pessoais, os deveres de informação a prestar aos respetivos titulares, os procedimentos relativos ao exercício dos direitos pelos titulares dos dados, as responsabilidades corporativas e organizacionais atribuídas no âmbito do tratamento de dados, divulgando-se as funções do Data Protection Officer, de nomeação obrigatória no caso da CGD.
A presente Política visa ainda fomentar uma cultura corporativa de proteção de dados na Caixa Gestão de Ativos, contribuindo também para o reforço transversal do compromisso dos membros dos órgãos sociais e de todos os Colaboradores com o cumprimento da proteção de dados pessoais.
4. ÂMBITO DE APLICAÇÃO 4.1. A presente Política de Proteção de Dados respeita a dados pessoais de pessoas singulares, tem natureza corporativa e é aplicável à Caixa Gestão de Ativos, e aos seus Colaboradores no exercício das respetivas funções.
4.2. Âmbito de aplicação material
A presente Política aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.
4.3. Âmbito de aplicação territorial
A presente Política aplica-se ao tratamento de dados efetuado no contexto das atividades prosseguidas pela Caixagest relativo a pessoas singulares residentes na União Europeia.
Se o tratamento de dados for efetuado fora da União Europeia, a presente Política aplica-se quando as atividades de tratamento estejam relacionadas com:
a) a oferta de bens ou serviços a titulares de dados residentes na União Europeia;
b) o controlo do seu comportamento que tenha lugar na União Europeia.
5. PRINCÍPIOS RELATIVOS AO TRATAMENTO DE DADOS PESSOAIS O responsável pelo tratamento observa quanto ao tratamento de dados a que procede, os seguintes princípios:
Licitude, lealdade e transparência: o tratamento de dados deve ser lícito, leal e transparente;
Limitação das finalidades: o tratamento deve obedecer às finalidades determinadas, explícitas e legítimas, para as quais os dados foram recolhidos, não podendo ser tratados posteriormente de forma incompatível com elas;
Minimização dos dados: os dados tratados devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
Exatidão: os dados devem ser exatos e atualizados sempre que necessário;
Limitação da conservação: os dados devem ser conservados apenas durante o período necessário para as finalidades para as quais são tratados;
Integridade e confidencialidade: os dados devem ser tratados de forma segura, garantindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas.
Responsabilidade: o responsável pelo tratamento de dados está obrigado a cumprir os princípios acima referidos, e tem de poder comprová-lo sempre que seja necessário perante as autoridades de controlo.
O(s) tratamento(s) de dados a que, na prossecução da sua atividade, o responsável pelo tratamento procede, enquadra(m) -se em finalidades determinadas, explícitas e específicas, assegurados os deveres de informação aos titulares dos dados. Tal(is) tratamento(s) fundamentam-se, quanto à sua licitude, no cumprimento de obrigações jurídicas, execução de contratos nos quais os titulares dos dados são parte ou em diligências pré-contratuais a seu pedido, no interesse legítimo prosseguido pelo responsável pelo tratamento e ainda no consentimento do titular dos dados.
6. DIREITOS DOS TITULARES DOS DADOS 6.1. Mediante pedido escrito do titular dos dados, o responsável pelo tratamento assegura o exercício dos seguintes direitos:
a) Direito de acesso - solicitar informação se os seus dados pessoais são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos mesmos e às seguintes informações:
• As finalidades do tratamento dos dados;
• As categorias dos dados pessoais em questão;
• Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados, nomeadamente os destinatários estabelecidos em países terceiros ou pertencentes a organizações internacionais;
• Se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios usados para fixar esse prazo;
• A existência do direito de solicitar à Caixa Gestão de Ativos a retificação, o apagamento ou a limitação do tratamento dos dados pessoais no que lhe respeita, ou do direito de se opor a esse tratamento;
• O direito de apresentar reclamação a uma autoridade de controlo;
• Se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a origem desses dados;
• A existência de decisões automatizadas, incluindo a definição de perfis e informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
b) Direito de oposição - opor-se, a qualquer momento, ao tratamento dos seus dados pessoais, nomeadamente quando verifique que esse tratamento se destine a outra finalidade que não aquela para a qual os mesmos foram recolhidos e para que deu o seu consentimento;
c) Direito de retificação - obter, sem demora injustificada, a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional;
d) Direito ao apagamento (direito a ser esquecido) - obter o apagamento dos seus dados pessoais, sem demora injustificada, desde que reúna os requisitos para o efeito, ou seja, já não tenha qualquer relação comercial com a Caixagest e tenham decorridos os prazos legais de retenção da documentação a que está obrigada;
e) Direito à limitação do tratamento - obter a limitação do tratamento, se se aplicar uma das seguintes situações:
• Contestar a exatidão dos dados pessoais, durante um período que permita à Caixagest verificar a sua exatidão;
• O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização;
• A Caixagest já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
• Se se tiver oposto ao tratamento, até se verificar que os motivos legítimos da Caixa prevalecem sobre os do titular dos dados.
f) Direito à portabilidade - receber os dados pessoais que lhe digam respeito e que tenha fornecido à Caixa, sempre que possível, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que a Caixagest o possa impedir.
6.2. O responsável pelo tratamento de dados transmite e informa, de forma transparente, quais os procedimentos e meios disponíveis para o exercício dos direitos pelos titulares dos dados.
6.3. As informações solicitadas devem ser prestadas de forma concisa, transparente, inteligível e de fácil acesso, utilizando para o efeito uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças.
6.4. O responsável pelo tratamento presta as informações, por escrito ou por outros meios, incluindo, se for caso disso, por meios eletrónicos. Se o titular dos dados o solicitar, a informação pode ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.
O pedido do titular dos dados pode ser recusado pelo responsável pelo tratamento, caso demonstre não estar em condições de identificar o titular dos dados.
O pedido do titular dos dados deve ser respondido sem demora injustificada e no prazo de um mês a contar da data de receção do pedido.
Esse prazo pode ser prorrogado até dois meses, quando for necessário, tendo em conta a complexidade do pedido e o número de pedidos, devendo o responsável pelo tratamento informar o titular dos dados dos motivos da demora no prazo de um mês, a contar da data de receção do pedido.
Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida por meios eletrónicos, salvo pedido em contrário do titular.
O responsável pelo tratamento presta as informações e as medidas tomadas a título gratuito. Caso os pedidos apresentados pelo titular dos dados sejam manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, a comprovar pelo responsável pelo tratamento, deve adotar-se o seguinte procedimento:
• Exigir o pagamento de uma taxa/comissão razoável, tendo em conta os custos administrativos do fornecimento das informações ou da comunicação, ou de tomada das medidas solicitadas;
• Recusar o pedido.
Havendo dúvidas razoáveis quanto à identidade do titular dos dados, o responsável pelo tratamento pode solicitar que lhe sejam fornecidas informações adicionais que permitam a sua identificação.
7. OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO DE DADOS 7.1. Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento cumpre os requisitos legais aplicáveis.
As medidas são revistas e atualizadas consoante as necessidades, incluindo a aplicação de políticas adequadas em matéria de proteção de dados.
7.2. Tanto no momento de definição dos meios de tratamento de dados, como no momento do próprio tratamento, o responsável pelo tratamento, adota as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias para assegurar a conformidade legal.
São aplicadas medidas técnicas e organizativas com vista a assegurar que, por defeito, só sejam tratados os dados pessoais necessários para cada finalidade específica do tratamento.
7.3. O responsável pelo tratamento conserva e mantém atualizado um registo de todas as atividades de tratamento sob a sua responsabilidade, devendo constar do mesmo as seguintes informações:
a) O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;
b) As finalidades do tratamento dos dados;
c) A descrição das categorias de titulares de dados e das categorias de dados pessoais;
d) As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
e) Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais;
f) Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;
g) Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:
• A pseudonimização e a cifragem dos dados pessoais;
• A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
• A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;
• Um processo para testar, apreciar e avaliar regularmente a eficácia das referidas medidas, para garantir a segurança do tratamento;
• Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizado, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
8. RESPONSABILIDADES SOBRE A GESTÃO DA PROTEÇÃO DE DADOS 8.1. O Conselho de Administração, como órgão de gestão de topo, é responsável pelo
cumprimento da legislação relativa à proteção de dados pessoais, cabendo-lhe fomentar uma cultura organizacional de proteção de dados na Caixa Gestão de Ativos.
No processo de tomada de decisão que envolva a proteção de dados pessoais, e quede daí possam resultar riscos para os direitos e liberdades dos titulares dos dados, poderá ser consultado o Encarregado da Proteção de Dados / DPO (Data Protetion Officer), que prestará aconselhamento.
8.2. Responsabilidades do Data Protetion Officer (DPO)
No desempenho das suas funções, o Data Protetion Officer (DPO) tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.
As funções do DPO são designadamente as seguintes:
a) Informar e aconselhar o responsável pelo tratamento ou o subcontratante, os trabalhadores que procedem ao tratamento de dados, a respeito das suas obrigações em matéria de proteção de dados;
b) Controlar a conformidade com as disposições legais aplicáveis, com as políticas corporativas e da CGD relativas à proteção de dados pessoais, incluindo o normativo interno, a repartição de responsabilidades, a sensibilização e formação dos Colaboradores implicados nas operações de tratamento de dados, e as auditorias correspondentes;
c) Prestar aconselhamento, se solicitado, no que respeita à avaliação de impacto sobre a proteção de dados (DPIA) e controlar a sua realização;
d) Cooperar com a CNPD;
e) Estabelecer contacto com a CNPD no âmbito de questões relacionadas com o tratamento de dados, incluindo as situações em que é necessário consulta prévia àquela Comissão, designadamente quando após realização do DPIA (avaliação de impacto sobre a proteção de dados) resulte a indicação de que o tratamento de dados a realizar resultaria num elevado risco, na ausência da adoção pela Caixa de medidas mitigadoras em ordem a atenuar o risco.
f) Participar em reuniões frequentes com a gestão de topo e diretores de primeira linha;
g) Participar na tomada de decisão que envolva riscos e medidas materiais sobre a proteção de dados, bem como nas situações de violação de dados pessoais (data breach).
A não aceitação de um parecer ou recomendação do DPO deve ser fundamentada por escrito, com a identificação do decisor.
8.3. A presente Política deve ser complementada com o normativo interno relativo ao Modelo de Governo de Proteção de Dados.
9. PRINCIPIOS E REGRAS DE ATUAÇÃO NO TRATAMENTO DE DADOS A OBSERVAR
PELOS COLABORADORES Os Colaboradores, incluindo os prestadores de serviços (cf. ponto 2.5 do presente normativo), que procedam ao tratamento de dados pessoais devem pautar a sua atividade pelo estrito cumprimento das disposições legais e regulamentares aplicáveis, bem como de todo o normativo interno relevante em matéria de proteção de dados, destacando-se, em particular, o Código de Conduta, e o conjunto de normativos relativos à Segurança da Informação, incluindo a Política Global de Segurança da Informação.
Em particular, destaca-se a obrigação dos colaboradores e prestadores de serviços reportarem internamente, logo que dela tenham conhecimento e pelos meios institucionais definidos para o efeito, de qualquer situação que configure uma violação de dados pessoais.
10. SUBCONTRATANTES Quando o responsável pelo tratamento recorrer a Subcontratante(s), deve assegurar-se que estes oferecem garantias suficientes, especialmente em termos de conhecimentos especializados, fiabilidade e recursos, quanto à execução de medidas técnicas e organizativas que cumpram os requisitos legais em matéria de proteção de dados, nomeadamente no que se refere à segurança do tratamento.
O responsável pelo tratamento deve reservar-se, no contrato que formaliza a relação com o Subcontratante, o direito de lhe dar instruções relativas ao tratamento dos dados, bem como de realizar auditorias, incluindo por entidades terceiras, para garantir que o Subcontratante cumpre pontualmente o contrato e todas as suas obrigações legais, designadamente no que respeita à conservação de registos de atividades de tratamento.
O Subcontratante presta ao responsável pelo tratamento toda a colaboração necessária nas situações de violação de dados pessoais, dentro dos prazos legais para o efeito.
11. TRANSFERÊNCIAS DE DADOS PARA PAÍSES TERCEIROS Qualquer transferência de dados pessoais que sejam ou venham a ser objeto de tratamento, após transferência para um país terceiro, só pode ser realizada se for assegurado que não é comprometido o nível de proteção das pessoas singulares garantido pela legislação europeia e nacional.
12. RELACIONAMENTO COM A COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS (CNPD) O responsável pelo tratamento deve pautar a sua relação com a CNPD, pelos princípios da cordialidade, lealdade, e disponibilidade, prestando toda a colaboração que lhe seja solicitada no exercício das atribuições legalmente assinaladas, enquanto autoridade de controlo.
13. AVALIAÇÃO PERIÓDICA A presente Política será objeto de revisão anual ou sempre que se verifiquem alterações internas e/ou externas com impactos importantes sobre a mesma.
O acompanhamento da sua aplicação na CGD e nas Entidades CGD será assegurado pelo Data Protetion Officer, que elaborará um relatório anual de avaliação da política, a submeter à Administração da CGD, no qual serão tidas em consideração eventuais diretrizes das autoridades de controlo competentes, bem como das entidades de supervisão/regulação.
14. CUMPRIMENTO DA POLÍTICA DE PROTEÇAO DE DADOS
A presente Política é parte integrante do sistema de normas da Caixa Gestão de Ativos e o seu não cumprimento pelos Colaboradores é suscetível de constituir infração disciplinar, sem prejuízo da responsabilidade civil, contraordenacional ou criminal, a que possa dar lugar.
A observância destas regras não exonera os Colaboradores da Caixa Gestão de Ativos do conhecimento e do cumprimento das outras normas internas e das disposições legais e regulamentares aplicáveis, bem como dos princípios éticos observados pela Instituição, e ainda do disposto no Código de Conduta.
DATA DA ULTIMA ATUALIZAÇÃO: 19.02.2019