As empresas do Grupo EDP priorizam, em todos os momentos da relação com os seus clientes, trabalhadores, prestadores de serviços, fornecedores, parceiros e outras partes interessadas, o estrito respeito pela sua privacidade.
A proteção de dados pessoais constitui um pilar da atividade das empresas do Grupo EDP. É fundamental para nós garantir que desempenhamos as nossas atividades em conformidade com toda a legislação e os mais elevados padrões em matéria de proteção de dados.
Assim, as empresas do Grupo regem-se, por Políticas de Privacidade específicas, inseridas numa abordagem transversal de gestão de risco de cumprimento, cujo conteúdo é dado a conhecer a todos os titulares dos dados pessoais abrangidos pelas mesmas. Tais Políticas de Privacidade aplicam-se a todo o ciclo de vida dos tratamentos de dados realizados pelas empresas do Grupo e pelos seus prestadores de serviços, que seguem as instruções da EDP nessa matéria.
O Grupo EDP designa um Encarregado de Proteção de Dados ou figura equivalente em cada geografia/unidade de negócio em que exista essa obrigatoriedade legal e, ainda que não exista tal obrigatoriedade, sempre que o entenda relevante, nomeando também equipas com a incumbência de assegurar que a organização cumpre as normas legais e regulamentares, as políticas e as diretrizes aprovadas internamente, através da implementação de práticas e procedimentos que visam prevenir, detetar e tratar qualquer desvio ou inconformidade que possa ocorrer, bem como assistir e esclarecer todos os colaboradores do Grupo acerca das regras a observar no tratamento de dados pessoais.
Estes Encarregados de Proteção de Dados ou figuras equivalentes encontram-se em permanência à disposição dos titulares dos dados, assegurando também as interações com as autoridades de proteção de dados competentes.
O Grupo EDP incorpora mecanismos de salvaguarda de proteção de dados em todos os seus novos projetos, produtos e serviços, monitorizando continuamente a forma como estes impactam a esfera privada dos seus clientes e outros titulares de dados. Desta forma, pretendemos mitigar quaisquer possíveis riscos que possam surgir nesse âmbito e assegurar uma inovação e crescimento sustentáveis e éticos. O Grupo alavanca-se no potencial das tecnologias de informação de modo responsável, procurando evitar qualquer tipo de discriminação e explicar a todos os agentes envolvidos como aquelas afetam a sua privacidade.
Para garantir o cumprimento deste firme Compromisso, o Grupo EDP observa transversalmente os seguintes valores e princípios:
1. Licitude e propósito
As empresas do Grupo EDP apenas tratam dados pessoais para finalidades legítimas e claramente delimitadas.
A principal razão para a qual usamos dados é no âmbito da execução dos contratos com os nossos clientes ou, na gestão da nossa operação, dos contratos de trabalho com colaboradores, contratos com prestadores de serviços e outros stakeholders.
Por outro lado, vigoram no ordenamento jurídico diversas leis que estabelecem obrigações jurídicas, que conduzem ao tratamento de dados pessoais. Por exemplo, obrigações fiscais, de reporte societário ou no âmbito da prevenção do branqueamento de capitais e financiamento do terrorismo.
O tratamento de dados efetuado é o estritamente necessário para o cumprimento dessas obrigações.
Por exemplo, se precisarmos de utilizar informações acerca da residência ou consumos dos nossos clientes, apenas o faremos para prestar os serviços que aqueles nos solicitem ou para cumprir as nossas obrigações legais, a menos que obtenhamos o consentimento expresso dos titulares ou se os nossos interesses de negócio não comprometerem a sua esfera privada.
Na verdade, a não ser que os nossos clientes se oponham no momento da recolha dos seus dados de contacto ou noutra ocasião, usamos os dados dos nossos clientes para lhes comunicar via eletrónica produtos ou serviços relacionados com os transacionados. Podemos também usá-los na cobrança de dívidas em atraso. Estes tratamentos são realizados no âmbito da execução do contrato e, também, no âmbito do interesse legítimo da EDP, sendo sempre garantido que este último não prevalece sobre os interesses ou direitos e liberdades fundamentais dos titulares.
Finalmente, e sempre com o consentimento explícito dos titulares, o qual poderá ser retirado a todo o momento, poderemos usar os dados recolhidos para outras finalidades como a divulgação, nos nossos canais de comunicação interna e externa, de imagens de colaboradores e outros participantes nos nossos eventos e em eventos externos, ou para comunicar aos nossos clientes novos produtos e serviços mais adequados às suas necessidades e preferências.
2. Transparência e Lealdade
Informamos todos os nossos clientes, utentes, trabalhadores, fornecedores e parceiros acerca da forma como processamos os seus dados pessoais, porque o fazemos, durante quanto tempo os conservamos e com quem os partilhamos. Quando adequado, pedimos a todos esses agentes o seu
consentimento esclarecido para o fazer, não os prejudicando caso decidam não consentir ou retirar o seu consentimento.
Caso ocorram incidentes, comunicamos às autoridades competentes e aos titulares afetados as quebras de segurança que acarretem riscos de privacidade, procurando imediatamente reparar ou minimizar os seus efeitos negativos.
3. Proporcionalidade
Apenas recolhemos e utilizamos os dados pessoais que sejam estritamente necessários para as nossas finalidades legítimas.
A EDP recolhe e trata dados de identificação (nome e números de identificação civil ou fiscal, contacto - moradas e contactos telefónicos), dados das instalações dos seus clientes e outros dados da relação contratual como, por exemplo, os produtos e serviços adquiridos, dados de pagamento ou dados de dívida.
A esses dados apenas terão acesso pessoas ou entidades que tenham efetiva necessidade de os conhecer, atuando por nossa conta e sob as nossas instruções e observando as mais estritas regras de confidencialidade.
Poderão ainda aceder a dados pessoais, como acima descrito, as autoridades fiscais, outras autoridades reguladoras ou de controlo, tribunais e outras entidades a quem a EDP deva comunicar dados por força da lei.
Uma vez que os dados deixem de ser necessários para tal, o Grupo EDP elimina definitivamente ou torna indecifráveis esses dados, a menos que a sua conservação seja legalmente imposta.
4. Controlo
Todos os titulares de dados pessoais utilizados pelo Grupo EDP têm controlo sobre estes. As empresas do Grupo EDP disponibilizam canais adequados para o exercício dos seus direitos de acesso, retificação, apagamento, limitação, portabilidade e oposição, garantido respostas efetivas e em tempo útil. Na EDP, procuramos esclarecê-lo e respeitamos as suas decisões.
Para além disso, a EDP monitoriza continuamente o cumprimento das suas Políticas de Privacidade, quer internamente, quer pelos seus prestadores de serviços externos.
Em caso de incumprimento desses normativos, a EDP tem uma postura de “tolerância-zero”, aplicando as medidas consideradas adequadas em termos disciplinares ou contratuais.
5. Privacidade desde o momento “0”
Quando idealizam um novo modelo de negócio ou serviço, as empresas do Grupo EDP avaliam o impacto daqueles na sua privacidade, esforçando-se para mitigar os riscos que daí possam surgir.
Neste âmbito, a EDP implementa técnicas de segurança (como a pseudonimização) sempre que aplicável, restringe o acesso aos dados a um número limitado de pessoas e consulta assessores jurídicos ou as próprias autoridades competentes, para se aconselhar acerca da melhor forma de
observar os requisitos legais em matéria de privacidade.
6. Responsabilidade
Definimos tarefas, responsabilidades e linhas de reporte em cada empresa do Grupo EDP em matéria do cumprimento da legislação de proteção de dados.
Deste modo, cada um dos departamentos e dos colaboradores estão cientes, a todo o momento, dos cuidados que devem ter ao tratar dados pessoais
no exercício das suas funções, bem como acerca do modo de atuação em caso de deteção de incidentes de segurança que possam afetar egativamente a privacidade de dados pessoais.
7. Segurança
Implementamos medidas técnicas alinhadas com as melhores práticas do mercado e desenvolvemos processos e procedimentos que permitam manter todos os dados pessoais que tratamos em condições adequadas de segurança face aos riscos envolvidos.
A este respeito, o Grupo EDP limita e controla os acessos a todos os seus sistemas informáticos, aplica técnicas de cifragem e de anonimização à informação que armazena e realiza backups periódicos da mesma. A área de segurança de sistemas de informação da EDP trabalha continuamente para prevenir acessos indevidos aos dados pessoais que tratamos e para garantir a resiliência permanente dos sistemas informáticos das nossas empresas.
Adicionalmente, a EDP apenas recorre a prestadores de serviços de tecnologias de informação que apresentem fortes garantias do cumprimento das regras e proteção de dados em vigor.
Aprovada em reunião do Conselho de Administração Executivo de 2 de junho de 2020.
A EDP reserva-se o direito de, a todo o momento, alterar a presente Política de Proteção de Dados Pessoais, sendo que qualquer alteração será devidamente publicitada no website.