Acordo do tratamento de dados
Este Acordo de Processamento de Dados (este «Acordo«) é celebrado a 10th de Fevereiro de 2023, por e entre eles:
Por um lado,
Sr. Pedro Nazareth, maior de idade, de nacionalidade portuguesa, titular do Bilhete de Identidade/Passaporte nº 11330071, agindo em nome e por conta da Electrão, Associação de Gestão de Resíduos e organização sem fins lucrativos com o número de identificação fiscal 509300421, com sede no Centro Empresarial do Restelo, Bloco 5 – 4A, Av. Ilha da Madeira, 35 I, PT, na qualidade de seu CEO, em virtude de uma procuração que lhe foi outorgada em 31 de Julho de 2018, sob o número 12390L/4310 dos autos oficiais detidos pelo Notário Público em Lisboa, Sr. Nuno Borges Alexandrino (o «Controlador»).
Por outro lado,
Sr. Juan Carlos Enrique Moreno, de idade legal, de nacionalidade espanhola, com passaporte da sua nacionalidade número 22711060-D, em nome e por conta de AMBI WASTE SERVICES, S.L. («AMBI WASTE»), com NIF B10700300 e com sede social na Avenida de Burgos, 17, 9º derecha, Madrid, CP 28036, na sua qualidade de director-geral da AMBI WASTE, nos termos da escritura celebrada em 18 de Maio de 2022, com o número 770 perante o Notário de Madrid Sr. Antonio Huerta Trolez. (o «Processador de Dados«).
O Controlador e o Processador de Dados serão doravante conjuntamente referidos como as «Partes» e cada um deles, individualmente, como uma «Parte».
CONSIDERAÇÕES
- Considerando que as Partes celebraram um Acordo de Participação no Mercado «Lugar Circular» (o «Acordo de Serviços«) em 24th de Dezembro de 2022, pelo qual o Processador de Dados presta serviços em nome do Controlador relacionados com o alojamento e serviços de manutenção relativos ao Mercado (o «Serviço«).
- Considerando que o Controlador é o único proprietário dos dados pessoais dos produtores aderentes que acedem ao «Lugar Circular», bem como de quaisquer terceiros (empregados, colaboradores, consultores e fornecedores externos, produtores do EEE aderentes ao Controlador e utilizadores do Mercado beneficiários das doações do EEE nele feitas, etc.) que possam ter sido legitimamente recolhidos pelo mesmo em tal estado.
- No desenvolvimento das actividades previstas para a prestação do Serviço, o Processador de Dados, embora tenha esta função de acordo com a regulamentação aplicável, não terá acesso aos referidos dados nem efectuará qualquer tratamento dos mesmos desde o alojamento do software ou plataforma informática de apoio ao Mercado Social «LUGAR CIRCULAR», a conservação e guarda da informação nele contida e a gestão material de todos os dados pessoais nele existentes será tarefa exclusiva do terceiro prestador de serviços que actuará como Sub-processador.
- Considerando que o Sub-Processador encarregado do processamento de dados será o único a aceder ao hardware e software onde tais informações são armazenadas, impedindo qualquer acesso a qualquer outro terceiro para além deste.
- Considerando que as Partes comprometem-se a cumprir integralmente as obrigações estabelecidas no Regulamento UE 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Directiva 95/46/CE («GDPR«)As Partes devem aplicar as medidas de segurança exigidas pela GDPR, sendo pessoalmente responsáveis por quaisquer sanções, multas ou danos que possam ser impostos a qualquer Parte em virtude do não cumprimento das obrigações previstas na lei aplicável em matéria de protecção de dados.
- Nos termos dos artigos 28º do GDPR, o Controlador e o Processador de Dados acordaram nos termos e condições do presente Acordo, a fim de apresentar garantias adequadas no que respeita à protecção da vida privada e dos direitos e liberdades fundamentais dos indivíduos, que serão regidas pelo seguinte
CLAUSES
- PROCESSAMENTO DE DADOS
1.1 O processador de dados deve cumprir os requisitos e obrigações estabelecidos nos artigos 28º do GDPRin para a prestação do Serviço. Isto sem prejuízo das disposições de dados pessoais que possam ser incluídas no Contrato de Serviços celebrado pelas Partes.1.2 Para efeitos do presente Acordo, os Ficheiros de Dados podem ser actualizados e alterados unilateralmente, se necessário, pelo Controlador.
- OBRIGAÇÕES DO PROCESSADOR DE DADOS
2.1 De acordo com as obrigações estabelecidas no artigo 28.3 da GDPR, o Processador de Dados deverá cumprir as obrigações e as medidas de segurança para garantir as normas de protecção de dados legalmente exigidas. Em particular, o Processador de Dados deverá cumprir as seguintes obrigações:
(i) Manusear e processar os dados pessoais apenas seguindo as instruções dadas pelo Controlador. Se o Processador de Dados considerar que as instruções dadas pelo Responsável pelo tratamento infringem as regras estabelecidas pela GDPR, ou qualquer outra legislação aplicável em matéria de protecção de dados, o Processador de Dados deve informar imediatamente o Responsável pelo tratamento da infracção.
(ii) Abster-se de aplicar ou utilizar os dados pessoais para qualquer outro fim que não seja o cumprimento do presente Acordo e a prestação do Serviço acordado pelo Acordo de Serviços.
(iii) Abster-se de divulgar, atribuir, transferir ou comunicar os dados de qualquer forma a terceiros, oralmente ou por escrito, através de meios electrónicos, papel ou acesso a TI sem a autorização expressa do Controlador.
Para comunicar dados pessoais a outro Processador de Dados agindo em nome do mesmo Controlador, o Processador de Dados deve seguir as instruções dadas pelo Controlador que tem de identificar previamente, por escrito, o destino, as categorias de dados e as medidas de segurança necessárias para conduzir a comunicação.
(iv) O Processador de Dados só permitirá o acesso aos dados pelos seus empregados quando estritamente necessário para a prestação do Serviço e desde que os empregados estejam sujeitos às mesmas obrigações de confidencialidade e protecção de dados pessoais que as estabelecidas na presente disposição.
(v) Se o Processador de Dados tiver de subcontratar a prestação dos seus serviços para cumprir as obrigações decorrentes do presente Acordo, deverá informar o Controlador no prazo de quinze (15) dias dessa necessidade de subcontratação e fornecer as informações da empresa subcontratante, e deverá exigir a autorização do Controlador quando a empresa subcontratante tiver de tratar os dados.
O Processador de Dados imporá ao subcontratado as mesmas obrigações de protecção de dados que as estabelecidas no presente Acordo, fornecendo garantias suficientes para implementar medidas técnicas e organizacionais adequadas de forma a que o tratamento satisfaça os requisitos estabelecidos no GDPR. Se esse subcontratante ulterior não cumprir as suas obrigações em matéria de protecção de dados, o Processador de Dados permanecerá plenamente responsável perante o Responsável pelo tratamento pelo cumprimento das obrigações desse subcontratante ulterior.
Em virtude deste Acordo, o Controlador autoriza o Processador a subcontratar os serviços de gestão técnica necessários em relação à plataforma, de modo a cumprir a prestação de Serviços ao Controlador. Os dados pessoais de tal sub-processador são listados abaixo:
GRUPO CONSULTOR DE INFRAESTRUCURAS, S.A.
Avenida de Alfonso XIII n° 151
28016 Madrid
(vi) O Processador de Dados manterá, por escrito, um registo das actividades de processamento levadas a cabo em nome do Controlador. Esse registo deve conter todas as seguintes informações:
a) O nome e os dados de contacto de cada Processador e Responsável pelo tratamento de dados que actua em seu nome, bem como do responsável pelo tratamento ou do representante do Processador de dados, se existir, e do responsável pela protecção de dados;
b) As finalidades do tratamento e as categorias de sujeitos de dados e dados pessoais efectuados em nome de cada Controlador;
c) As transferências de dados pessoais para um país terceiro ou uma organização internacional, incluindo a identificação desse país terceiro ou organização internacional e, no caso das transferências referidas no segundo parágrafo do n.o 1 do artigo 49.o da GDPR, a documentação de salvaguardas adequadas.
d) Uma descrição geral das medidas de segurança técnicas e organizacionais.
(vii) O Processador de Dados garante ao Controlador o pleno cumprimento das medidas de segurança relacionadas com o tipo de dados obtidos. Em particular, as medidas de segurança incluídas no Anexo I.
(viii) Assistir o responsável pelo tratamento através de medidas técnicas e organizacionais adequadas para o cumprimento da obrigação do responsável pelo tratamento de responder aos pedidos de exercício dos direitos da pessoa em causa, tais como o direito de acesso, rectificação, apagamento, restrição do tratamento, portabilidade dos dados e direito de oposição e automatização do processo decisório individual.
Se o Processador de Dados for obrigado a cumprir com o direito de acesso, rectificação, apagamento, restrição do processamento, portabilidade dos dados e direito de objecção e tomada de decisão individual automatizada, deverá informar imediatamente o Controlador, incluindo qualquer informação relevante em , a fim de responder ao pedido.
(ix) O Processador de Dados deve assegurar formação adequada sobre protecção de dados aos empregados que tenham acesso permanente ou regular aos dados pessoais, que estejam envolvidos no desenvolvimento de ferramentas utilizadas para o tratamento de dados pessoais ou que estejam envolvidos na recolha ou tratamento de dados pessoais.
(x) Ajudar o Controlador na implementação de uma avaliação do impacto da protecção de dados.
(xi) Assistir o Controlador nas consultas com a autoridade de supervisão.
(xii) Disponibilizar ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas pela legislação de protecção de dados e permitir e contribuir para auditorias, incluindo inspecções realizadas pelo Controlador ou outro auditor contratado pelo Controlador.
(xiii) O Processador de Dados designa um responsável pela protecção de dados nas situações previstas no artigo 37º do GDPR e notifica as suas informações de contacto ao Controlador.
(xiv) No termo do presente Acordo, o Processador de Dados deverá devolver os dados ao Responsável pelo tratamento ou destruí-los, a menos que exista uma disposição legal que exija a sua conservação, bem como qualquer cópia ou suporte em que tais dados tenham sido contidos e deverá certificar devidamente tal devolução ou destruição, por escrito, ao Responsável pelo tratamento.
- NÍVEL DE SEGURANÇA DOS DADOS
3.1 Em conformidade com o artigo 32º da GDPR, o Processador de Dados deve implementar as medidas técnicas e organizacionais adequadas a fim de assegurar (i) a pseudonímia e cifragem dos dados pessoais; (ii) a capacidade de assegurar a permanente confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento; (iii) a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada em caso de incidente físico ou técnico; e (iv) um processo de testes regulares, avaliando e avaliando a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.
3.2 O Processador de Dados garante a adopção das medidas de segurança exigidas em conformidade com a GDPR, sendo pessoalmente responsável por quaisquer sanções, multas ou danos que possam ser impostos pelo não cumprimento das obrigações assumidas no presente Acordo ou por aquelas estabelecidas na lei aplicável sobre protecção de dados. Em particular, o Processador de Dados será responsável por quaisquer sanções, multas ou danos que possam decorrer da utilização dos dados pessoais para fins diferentes dos autorizados pelo Controlador, da transferência de dados a terceiros não autorizados ou da utilização irregular dos dados pessoais, bem como se não adoptar as correspondentes medidas de segurança para armazenar, manter, tratar e guardar os dados.
3.3 Em particular, o Processador de Dados está empenhado em implementar as medidas de segurança estabelecidas no Anexo I.
- NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS PESSOAIS
4.1 O Processador de Dados informará o Controlador sem demora indevida e, em qualquer caso, no prazo máximo de 48 horas, através do correio electrónico estabelecido para efeitos de notificação, das violações de dados pessoais de que teve conhecimento, juntamente com todas as informações relevantes para a devida documentação e notificação do incidente.
A notificação não será exigida quando uma violação da segurança não for susceptível de resultar num risco elevado para os direitos e liberdades das pessoas singulares
Se disponíveis, devem ser fornecidas as seguintes informações:
(i) Descrição da natureza da violação dos dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de pessoas em causa e as categorias e o número aproximado de registos de dados pessoais em questão;
(ii) O nome e os dados de contacto do responsável pela protecção de dados, do gestor da privacidade, ou outro ponto de contacto onde se possam obter informações adicionais;
(iii) Descrição dos efeitos potenciais da violação de dados pessoais;
(iv) Descrição das medidas tomadas pelo Controlador para resolver a violação dos dados pessoais, incluindo, quando apropriado, medidas para mitigar os seus possíveis efeitos adversos.
Se não for possível fornecer a informação simultaneamente, a informação deve ser fornecida de forma faseada e sem atrasos injustificados.
- OBRIGAÇÕES DO RESPONSÁVEL PELO TRATAMENTO DE DADOS
5.1 O Controlador deve assegurar que o Processador de Dados garanta a implementação efectiva da GDPR.
5.2 O responsável pelo tratamento deve implementar uma avaliação do impacto da protecção de dados relativamente às actividades de tratamento levadas a cabo pelo Processador de Dados.
5.3 O Controlador será responsável por fornecer as informações no momento em que os dados pessoais são obtidos.
5.4 Consultar a autoridade de controlo antes do processamento, quando necessário.
5.5 O Controlador tem o direito de efectuar controlos de monitorização e auditoria para verificar se o Processador de Dados está a cumprir as suas obrigações.
5.6 A este respeito, o Processador de Dados, se solicitado, deve fornecer a documentação ou informações ao Controlador para que este possa verificar essa conformidade. O responsável pelo tratamento pode, portanto, solicitar ao Processador de Dados, de forma atempada e suficiente para a sua preparação (que deve ser pelo menos com sete dias de antecedência), um certificado de conformidade sobre protecção de dados e/ou uma cópia do último relatório de auditoria ou a implementação de qualquer acção que possa ser necessária para provar que o Processador de Dados cumpre integralmente as leis aplicáveis sobre protecção de dados.
- TRATAMENTO DE DADOS PESSOAIS DOS REPRESENTANTES, INFORMAÇÕES DE CONTACTO E OUTROS EMPREGADOS DAS PARTES
As Partes declaram aqui:
(i) Que os Dados Pessoais incluídos no presente Acordo e os que possam ser recolhidos durante a prestação do Serviço, serão tratados sob a responsabilidade de cada Parte para a execução e controlo do presente Acordo e para o cumprimento das suas obrigações legais.
(ii) Que possam exercer, a qualquer momento, os seus direitos de acesso, rectificação, apagamento, objecção, portabilidade e restrição do processamento (ou quaisquer outros reconhecidos por lei) através de notificação escrita a cada parte, aos endereços estabelecidos no presente Acordo e à atenção do responsável pela protecção de dados ou do gestor da privacidade.
(iii) Que o responsável pela protecção de dados ou o gestor da privacidade é a figura encarregada de assegurar o cumprimento da lei de protecção de dados.
(iv) Que os Dados Pessoais serão processados durante a vigência do Acordo e, após a sua conclusão, permanecerão bloqueados durante o período de prescrição de quaisquer acções legais ou contratuais que possam ser executadas a seguir.
(v) Que podem apresentar uma queixa relacionada com a protecção de dados pessoais perante a autoridade de protecção de dados relevante.
Do mesmo modo, as Partes comprometem-se a informar as pessoas de contacto ou outros empregados cujos dados pessoais sejam recolhidos no âmbito do presente Acordo das características acima mencionadas.
- CONFIDENCIALIDADE
7.1 O Processador de Dados compromete-se a manter o dever de confidencialidade relativamente a todos os dados pessoais contidos nos Ficheiros de Dados a que o Processador de Dados possa aceder através de quaisquer meios informáticos, documentos e/ou/e meios visuais em resultado do presente Acordo e do Contrato de Serviços.
7.2 O Processador de Dados deve exigir a todos os seus funcionários e aos funcionários dos seus contratantes o dever de confidencialidade aqui indicado e ser capaz de facilitar ao Controlador de Dados quaisquer documentos de apoio, a fim de assegurar o cumprimento do referido dever de confidencialidade.
7.3 As obrigações de confidencialidade acima referidas subsistirão após a expiração do presente Acordo ou do Contrato de Serviços por qualquer razão. No entanto, tais obrigações não afectarão a informação que (i) tenha sido desenvolvida independentemente pelo Processador de Dados sem acesso ou utilização da informação confidencial; (ii) se torne publicamente disponível através de nenhum incumprimento por parte do Processador de Dados ou (iii) seja obrigada por lei a ser divulgada.
- RESPONSABILIDADE
8.1 As Partes acordam que, não obstante qualquer investigação realizada pelo responsável pelo tratamento ou em seu nome ou qualquer conhecimento adquirido pelo responsável pelo tratamento em qualquer altura, antes ou depois da execução e conclusão do presente Acordo ou na data do mesmo, o Processador de Dados será responsável e indemnizará e isentará o responsável pelo tratamento de quaisquer sanções, multas e danos resultantes directa ou indirectamente de ou relacionados com qualquer violação, falsidade, inexactidão, incompletude, erro ou omissão de qualquer uma das suas obrigações legais como processador de dados ou incluídas no presente Acordo ou, conforme o caso, no Acordo de Serviços, quer voluntariamente ou não, atribuíveis a negligência ordinária ou grosseira ou fraude («culpa, negligência grave o dole») (os «Danos«).
8.2 O montante dos Danos será calculado aplicando o princípio da indemnização integral e total de todos os Danos. Caso a indemnização a ser paga pelo Processador de Dados tenha um custo fiscal para o Controlador, o respectivo custo fiscal será suportado pelo Processador de Dados, e consequentemente o montante da indemnização a ser paga ao Controlador será aumentado na medida do necessário para neutralizar tal custo fiscal.
- TERMO E RESCISÃO DO ACORDO
9.1 O termo do presente Acordo está sujeito ao termo do Acordo de Serviços. Consequentemente, uma vez terminado ou expirado o Acordo de Serviços, o presente Acordo cessará automaticamente.
- DIREITO APLICÁVEL E JURISDIÇÃO
10.1 O presente Acordo será regido e interpretado em conformidade com a lei espanhola.
10.2 Qualquer litígio decorrente do presente Acordo, ou relativo à validade, interpretação e/ou execução do presente Acordo, será submetido aos Tribunais da cidade de Madrid, cuja sentença será vinculativa para ambas as Partes, como final e conclusiva.
EM TESTEMUNHO DO QUE as Partes executaram o presente Acordo na data acima indicada.
Para e em nome da CONTROLLER
______________________
Assinado por O ELECTRÃO, ASOCIACIÓN PARA LA GESTIÓN DE RESIDUOS
Representado por: Sr. Pedro Nazareth
Para e em nome do PROCESSOR DE DADOS
________________________
SERVIÇOS DE RESÍDUOS AMBIENTAIS, SL
Representado por: Sr. Juan Carlos Enrique Moreno
Horário I: DADOS PESSOAIS
A) Dados pessoais
Os Dados Pessoais aos quais o Processador de Dados pode ter acesso para prestar o Serviço estabelecido no Acordo de Serviços são detalhados abaixo, incluindo as categorias de sujeitos e actividades de processamento de dados:
OBJECTO |
Identificados no Acordo de Serviço |
PROCESSAMENTO A REALIZAR |
☐ Recolher ☒ Registo ☒ Estrutura ☐ Alterar ☒ Organização ☐ Extracção ☐ Consulta ☐ Divulgação por transmissão ☐ Divulgação ☐ Interconexão ☐ Coleccionar ☐ Limitação ☐ Eliminar ☐ Supressão ☒ Retenção ☐ Comunicação ☐ Outros: …………………………………… |
OBJECTIVO DE PROCEDER |
☒ Gestão de clientes, contas, impostos e administração ☐ I+D, Investigação, ensaios médicos ☐ Gestão da folha de pagamento ☐ Prestação de serviços de solvência e solvabilidade ☐ Serviços financeiros e de seguros ☐ Publicidade e investigação comercial ☐ Guias/Repertórios de serviços de comunicação electrónica ☐ Prestação de serviços de certificação electrónica ☐ Educação/Formação ☐ Segurança Privada ☐ Vídeo-vigilância ☐ Recursos Humanos ☐ Prevenção de riscos ocupacionais ☐ Cumprimento / incumprimento de obrigações financeiras ☐ Perfil ☐ Prestação de serviços de comunicação electrónica ☐ Formação ☐ Gestão de actividades associativas, culturais, recreativas, desportivas e sociais ☐ Saúde ☐ História clínica ☐ Comércio electrónico ☐ Investigação epidemiológica e actividades similares ☐ Gestão de Afiliados ou membros de partidos políticos, sindicatos, igrejas. ☐ Gestão da assistência social. ☐ Segurança e controlo do acesso ao edifício ☐ Finalidades estatísticas, históricas ou científicas ☒ Outros: Serviços de alojamento de dados |
CATEGORIAS DE DADOS |
☒ Dados de identificação ☐ Características pessoais ☐ Informação académica e profissional ☐ Informação comercial ☐ Circunstâncias sociais ☐ Detalhes sobre o emprego ☐ Informação económica, financeira ou comercial de seguros ☐ Folha de pagamentos e avaliações dos empregados ☐ Transacções de bens e serviços ☐ Palavras-passe e cartões de crédito ☐ Categorias especiais de dados: origem étnica, opções políticas, religião, crenças filosóficas, sindicato, biometria, saúde, orientação sexual, registos de condenações, etc. ☐ Dados de segurança (videovigilância) ☒ Outros: Representantes de entidades jurídicas |
ASSUNTOS DE DADOS |
☐ Empregados ☐ Clientes e utilizadores ☒ Fornecedores/prestadores de serviços ☐ Afiliados ou membros ☐ Proprietários, inquilinos ☐ Estudantes ☐ Pacientes ☐ Profissionais da saúde ☐ Pessoas de contacto ☐ Pais ou tutor legal ☒ Representantes legais ☐ Candidatos ☐ Beneficiários ☐ Taxas públicas ☐ Outros:
|
B) Medidas de Segurança
O Processador de Dados, no que respeita aos Dados Pessoais a que tem acesso durante a prestação do serviço objecto do presente Acordo, deverá cumprir as medidas de segurança adequadas, incluindo as medidas organizacionais, técnicas, físicas e administrativas necessárias para garantir um nível de segurança adequado de acordo com o risco que possa resultar do processamento.
Além disso, as medidas acima mencionadas devem garantir a segurança, integridade, disponibilidade dos Dados Pessoais e evitar a sua alteração, perda, destruição acidental ou ilícita, tratamento, divulgação ou acesso não autorizado em qualquer momento, tendo em conta o estado da técnica, os custos de implementação, as categorias dos dados armazenados, o âmbito do tratamento, bem como os riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares.
O planeamento de medidas de segurança deve incluir a implementação de mecanismos que garantam a capacidade de restabelecer a disponibilidade e o acesso aos Dados Pessoais de forma atempada no caso de um incidente físico ou técnico.
O Processador de Dados deve implementar, pelo menos, as seguintes medidas de segurança técnica e organizacional:
(i) Nomeação de um responsável pela protecção de dados ou de um gestor de privacidade, que deverá assegurar o cumprimento da lei aplicável.
(ii) Estabelecimento de funções e responsabilidades do pessoal que lida com Dados Pessoais.
(iii) Criar canais de comunicação entre o pessoal envolvido na protecção de dados, a fim de assegurar o cumprimento da legislação sobre protecção de dados.
(iv) Definição de papéis e perfis para utilizadores de aplicações e sistemas de informação. Especialmente aqueles em que os dados são processados de acordo com as funções e responsabilidades acima mencionadas, de modo a evitar o acesso não autorizado a dados ou recursos. Este sistema de controlo de acesso deve garantir mecanismos adequados de identificação e autenticação dos utilizadores, tais como, por exemplo, a utilização de senhas que devem ser renovadas periodicamente, a utilização de dados biométricos, o bloqueio automático da conta do utilizador em caso de tentativas repetidas de acesso falhadas, e assim por diante.
(v) Medidas automatizadas a fim de limitar o acesso à informação para utilizadores não autorizados ou no final do período de retenção especificado, tais como técnicas de eliminação ou pseudonimização de dados.
(vi) Implementar procedimentos destinados a limitar o acesso físico às instalações onde se encontram os sistemas de informação ou meios físicos.
(vii) Implementar registos de controlo e acesso sobre suportes que contenham dados pessoais.
(viii) Implementar procedimentos destinados a recuperar dados pessoais em caso de possível destruição, perda ou alteração dos mesmos, com a supervisão e aprovação da pessoa responsável pela protecção de dados.
(ix) Implementar procedimentos a fim de assegurar a detecção, avaliação e notificação de incidentes de segurança que possam afectar os direitos e liberdades das pessoas singulares.
(x) Implementação de reuniões regulares de conformidade, definindo e executando planos de acção para a mitigação dos riscos detectados.
Se forem processados dados pessoais sensíveis, o Processador de Dados deverá implementar adicionalmente as seguintes medidas:
(i) Fornecer um registo de acesso a dados sensíveis, identificando o utilizador e a data de acesso.
(ii) Encriptação de dados ou uma técnica semelhante em suportes físicos e dispositivos portáteis contendo dados sensíveis que vão ser enviados ou utilizados fora das instalações da empresa.
(iii) Criptografia das comunicações que contêm dados sensíveis através de redes electrónicas.
(iv) Implementar medidas para impedir o acesso não autorizado a dados sensíveis em suportes físicos (por exemplo, documentação) durante o transporte da informação das instalações da empresa para o seu local de armazenamento, que deve ter medidas de segurança adequadas de controlo de acesso.