1. Introdução, Enquadramento Legal e Âmbito de Aplicação

A ASCRA – Associação Social, Cultural e Recreativa de Almoster, pessoa coletiva n.º 503766151, com sede na Rua da Igreja, 16, 3250-021 Almoster AVZ, doravante “ASCRA”, é uma Instituição Particular de Solidariedade Social (IPSS) que desenvolve atividades de caráter social, cultural, recreativo, comunitário e educativo, nos termos da legislação aplicável às IPSS.

No exercício das suas funções, a ASCRA procede ao tratamento de dados pessoais de associados, beneficiários, participantes, voluntários, colaboradores, prestadores de serviços, utilizadores do website ascra.pt e demais titulares que interajam com a instituição.

Esta Política de Privacidade cumpre integralmente o disposto no Regulamento (UE) 2016/679 (RGPD), na Lei n.º 58/2019, na Lei n.º 59/2019 e em todas as orientações emitidas pela Comissão Nacional de Proteção de Dados (CNPD).

A presente política aplica-se a todos os tratamentos realizados pela ASCRA, independentemente do contexto, da forma como os dados são recolhidos ou da relação existente com o titular dos dados.

2. Princípios Gerais de Tratamento de Dados Pessoais

A ASCRA assegura que todos os tratamentos de dados pessoais seguem os princípios fundamentais consagrados no RGPD:

• licitude, lealdade e transparência;
• limitação das finalidades;
• minimização dos dados;
• exatidão e atualização permanente;
• limitação da conservação;
• integridade e confidencialidade;
• responsabilidade (accountability).

Estes princípios orientam todas as operações de recolha, utilização, armazenamento, transmissão e eliminação de dados pessoais dentro da ASCRA, garantindo que todas as atividades são realizadas com respeito pelos direitos, liberdades e garantias dos titulares.

3. Categorias de Dados Pessoais Recolhidos

A ASCRA pode recolher diferentes categorias de dados pessoais consoante a relação estabelecida com o titular.

São recolhidos dados fornecidos diretamente pelo titular, incluindo nome completo, email, número de telefone, morada, dados apresentados em formulários físicos ou digitais, informações submetidas em candidaturas, inscrições, pedidos de contacto ou atividades sociais, bem como documentação exigida no âmbito das obrigações legais ou estatutárias das IPSS.

Podem ainda ser recolhidos automaticamente dados técnicos através do website, tais como endereço IP, data e hora de acesso, tipo de dispositivo, sistema operativo, navegador, páginas visitadas, logs de segurança e cookies essenciais ou estatísticos.

No âmbito das atividades sociais e institucionais, a ASCRA poderá tratar dados estritamente necessários ao funcionamento das iniciativas internas.

A ASCRA não recolhe dados sensíveis, exceto quando tal seja estritamente obrigatório por força de lei ou mediante consentimento explícito do titular.

4. Finalidades do Tratamento

Os dados pessoais são tratados pela ASCRA exclusivamente para finalidades legítimas e claramente determinadas:

• resposta e gestão de pedidos de contacto;
• administração de associados;
• gestão de inscrições, atividades, iniciativas culturais, recreativas ou comunitárias;
• organização de eventos e programas sociais;
• processamento de candidaturas e gestão de voluntários;
• cumprimento de obrigações legais e estatutárias;
• comunicação institucional;
• gestão de processos administrativos internos;
• garantia da segurança técnica do website ascra.pt e dos sistemas informáticos associados;
• prevenção de abusos, fraudes e incidentes de segurança;
• elaboração de estatísticas anonimizadas sobre a utilização do website.

A ASCRA não utiliza dados pessoais para marketing, fins comerciais ou criação de perfis automatizados (profiling) que possam produzir efeitos significativos no titular.

5. Fundamentos Jurídicos do Tratamento

O tratamento de dados pessoais realizado pela ASCRA baseia-se nos fundamentos jurídicos previstos no artigo 6.º do RGPD:

• consentimento explícito do titular;
• execução de diligências pré-contratuais a pedido do titular;
• cumprimento de obrigações legais ou estatutárias aplicáveis às IPSS;
• exercício de funções de interesse legítimo da ASCRA, que não se sobreponham aos direitos dos titulares;
• execução de missão de interesse público no âmbito de determinadas atividades sociais;
• e proteção de interesses vitais do titular ou de terceiros em situações de emergência.

Cada tratamento é devidamente documentado e associado ao fundamento legal correspondente.

6. Prazos de Conservação

Os dados pessoais são conservados pela ASCRA apenas durante o período estritamente necessário ao cumprimento das finalidades que justificaram a sua recolha ou pelo período exigido por lei:

• pedidos de contacto são conservados até 12 meses;
• dados de inscrições, candidaturas, voluntariado ou participação em atividades são conservados até 5 anos após a última interação;
• registos administrativos ou legais obrigatórios seguem os prazos definidos pela legislação específica das IPSS;
• dados tratados com base no consentimento são conservados até que o titular retire esse consentimento;
• logs técnicos do website são conservados por 6 meses;
• após o termo dos prazos aplicáveis, os dados são eliminados de forma segura ou anonimizados de maneira irreversível.

7. Subcontratantes, Terceiros e Destinatários

A ASCRA pode recorrer a prestadores de serviços externos para assegurar o funcionamento das suas operações, incluindo serviços de alojamento web, servidores de email, soluções de segurança informática, armazenamento, backup, auditoria e outros serviços essenciais.

Os subcontratantes atuam sempre de acordo com instruções documentadas da ASCRA, cumprêm obrigações legais de confidencialidade, garantem medidas de segurança adequadas e estão sujeitos a acordos de proteção de dados que asseguram total conformidade com o RGPD.

A ASCRA não vende, não aluga e não cede dados pessoais para fins comerciais ou promocionais.

A partilha de dados com entidades públicas ocorre exclusivamente quando exigida por lei ou regulamento.

8. Transferências Internacionais

A ASCRA não realiza transferências de dados pessoais para países fora da União Europeia.

Se no futuro tal transferência se tornar necessária, a ASCRA apenas procederá de acordo com decisões de adequação da Comissão Europeia, cláusulas contratuais-tipo ou outras garantias adequadas previstas no RGPD, sendo o titular devidamente informado antes de qualquer transferência internacional de dados pessoais.

9. Medidas de Segurança

A ASCRA implementa medidas técnicas e organizativas adequadas para garantir a segurança dos dados pessoais e prevenir acessos não autorizados, destruição acidental ou ilícita, perda, alteração, divulgação indevida ou qualquer forma de tratamento ilícito. Entre essas medidas incluem-se:

• encriptação de comunicações através de SSL/TLS;
• firewalls, sistemas anti-intrusão e anti-malware;
• políticas de controlo de acessos restritos com base no princípio do “necessário saber”;
• backup cifrado e procedimentos de recuperação;
• atualizações de software e correções de segurança regulares;
• monitorização contínua dos sistemas e logs;
• formação a colaboradores e voluntários sobre proteção de dados; procedimentos internos de resposta a incidentes;
• auditorias periódicas;
• registos de atividades de tratamento e avaliações de risco.

Estas medidas são adaptadas ao nível de risco associado a cada tipo de tratamento.

10. Direitos dos Titulares

O titular dos dados pessoais pode, a qualquer momento, exercer os seus direitos previstos no RGPD:

• direito de acesso;
• direito de retificação;
• direito de apagamento;
• direito à limitação do tratamento;
• direito de oposição;
• direito de portabilidade;
• direito de retirar consentimento;
• e direito de apresentar reclamação à CNPD.

A ASCRA assegura que todos os pedidos são respondidos no prazo legal e garante mecanismos internos para facilitar o exercício destes direitos.

Contacto para exercício de direitos e Encarregado de Proteção de Dados (DPO):

• protecaodedados@ascra.pt
• Rua da Igreja, 16, 3250-021 Almoster AVZ.

11. Violação de Dados Pessoais (Data Breach)

A ASCRA dispõe de procedimentos internos para detetar, avaliar, mitigar e comunicar incidentes de violação de dados pessoais.

Em caso de violação que possa representar risco para os direitos e liberdades dos titulares, a ASCRA notificará a Comissão Nacional de Proteção de Dados (CNPD) no prazo máximo de 72 horas após ter tomado conhecimento do incidente e informará os titulares afetados quando o risco for elevado.

Todas as violações são registadas de forma estruturada, incluindo natureza da violação, impacto, medidas aplicadas e ações preventivas para evitar reincidência.

12. Alterações à Política

A ASCRA pode atualizar a presente Política de Privacidade sempre que necessário, de forma a refletir alterações legislativas, regulamentares, tecnológicas ou organizacionais.

A versão mais recente será sempre disponibilizada no website ascra.pt.