Através da presente Política de Privacidade e Cookies (ou simplesmente, Política), a TML, fazendo jus ao seu compromisso de proceder ao tratamento de dados pessoais de forma licita, leal e transparente, pretende dar a conhecer aos titulares dos dados, nos termos e para os efeitos dos artigos 12.º e seguintes do Regulamento Geral sobre a Proteção de Dados (ou simplesmente, RGPD), a forma como trata os dados pessoais sob sua responsabilidade, nomeadamente, que tipo de dados recolhe, para que finalidades os trata, com quem partilha esses dados, bem como informar os titulares sobre os direitos que lhes assistem em matéria de tratamento de dados pessoais e como poderão exercer esses direitos.
Por outro lado, pretende informar e esclarecer os utilizadores de seus websites (www.tmlmobilidade.pt, www.carrismetropolitana.pt, www.navegante.pt), sobre o tipo de cookies utiliza, para que finalidades os utiliza, bem como a forma como os utilizadores podem gerir a sua utilização.
1. Quem somos?
A TML – Transportes Metropolitanos de Lisboa, E.M.T., S.A. (doravante simplesmente designada por TML), é uma pessoa coletiva de direito privado, sob a forma de sociedade anónima de capitais exclusivamente públicos, que visa a prossecução de competências próprias e delegadas nos domínios da mobilidade e transportes, designadamente competências de autoridade de transportes relativamente aos serviços públicos de transporte de passageiros na área metropolitana de Lisboa, bem como no desenvolvimento, disponibilização e gestão de uma plataforma de bilhética integrada para todos os operadores do serviço público de transportes de passageiros da área metropolitana de Lisboa.
2. Qual o nosso compromisso?
A TML compromete-se a tratar os dados pessoais de acordo com os princípios fundamentais vertidos no RGPD, na Lei n.º 58/2019 de 8 de agosto e demais normativos aplicáveis, relacionados com a proteção dos direitos e liberdades dos titulares dos dados.
Deste modo, independentemente do contexto, da natureza, do âmbito ou finalidade, a TML compromete-se a realizar o tratamento de dados pessoais, de acordo com os seguintes princípios:
- princípio da licitude, lealdade e transparência: os dados devem ser objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
- princípio da limitação das finalidades: os dados devem ser recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades;
- princípio da minimização dos dados: os dados devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
- princípio da exatidão: os dados devem ser exatos e atualizados sempre que necessário;
- princípio da limitação da conservação: os dados devem ser conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados;
- princípio da integridade e confidencialidade: os dados devem ser tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas.
3. Quem é o Responsável pelo tratamento dos dados?
Na medida em que determine as finalidades e os meios de tratamento dos dados pessoais, a TML é a entidade responsável pelo seu tratamento na aceção do RGPD.
Quando a TML determine conjuntamente com outra(s) entidade(s) as finalidades e os meios do tratamento dos dados, ambas serão responsáveis conjuntos pelo seu tratamento, na medida das responsabilidades acordadas entre si de forma transparente, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de informação.
4. Que tipo de dados são recolhidos e tratados?
Os dados pessoais tratados pela TML, limitam-se aos estritamente necessários à prossecução das finalidades para os quais são recolhidos, designadamente: dados de identificação, dados de contacto, dados de faturação, dados referentes a carregamentos e validações dos títulos de transporte, dados de navegação no site, bem como os que se venham a revelar estritamente necessários para o cumprimento de suas obrigações legais e contratuais.
5. Para que finalidades são tratados os dados?
A TML procede à recolha e tratamento de dados pessoais, para efeitos do cumprimento de suas obrigações no âmbito das competências que lhe foram atribuídas pelo Legislação em vigor em matéria de serviço público de transporte de passageiros, nomeadamente:
- Disponibilizar e gerir uma plataforma tecnológica de bilhética comum a todos os operadores do serviço público de transporte de passageiros no âmbito da área de sua competência;
- Emitir e gerir os cartões de suporte à bilhética e a respetiva base de clientes;
- Realizar o tratamento da informação dos sistemas de bilhética interoperável, incluindo, nomeadamente, a informação sobre as vendas e validações de operadores e a informação aos passageiros;
- Assegurar a adaptação contínua do sistema de bilhética às novas necessidades, através do desenvolvimento de soluções estratégicas e operacionais;
- Gerir processos administrativos no âmbito das competências que lhes sejam atribuídas.
Complementarmente, caso um interesse legitimo prevaleça ou o titular dos dados expressamente o autorize, a TML poderá ainda tratar dados para, de acordo com as preferências de utilização dos titulares, melhorar os serviços prestados, adequar a sua informação comercial, realizar inquéritos de satisfação, passatempos e ações de promoção, envio de newsletters e ações de marketing direto.
Os dados serão conservados pelos períodos fixados por lei ou, na falta desta, o que se revele necessário para a prossecução da(s) finalidade(s) que motivou a sua recolha e tratamento, findo o qual serão eliminados ou anonimizados.
Para fins de arquivo de interesse público, de investigação científica ou histórica, ou para fins estatísticos, a TML poderá conservar alguns dos dados durante períodos mais longos, sem prejuízo de aplicar as garantias adequadas dos direitos e liberdades do titular dos dados, nos termos da legislação em vigor.
6. Com quem são partilhados os dados?
Para efeitos do cumprimento de suas obrigações no âmbito das competências e das finalidades identificadas, a TML pode partilhar dados pessoais com os operadores que integram o sistema de serviço publico de transporte regular de passageiros na área de sua esfera de competência (saiba mais em www.carrismetropolitana.pt).
A TML poderá ainda partilhar dados com outras entidades (subcontratantes), a quem recorra para efeitos da preparação e/ou execução da totalidade ou parte das finalidades acima identificadas (por exemplo: fornecedores, prestadores de serviços, etc…), bem como com entidades/autoridades públicas, no âmbito de suas atribuições.
A partilha de dados com entidades terceiras, será efetuada nos termos estritamente permitidos por lei, ficando essas entidades obrigadas a um dever de sigilo e a garantir a segurança e confidencialidade dos dados.
7. Quais são os Direitos dos titulares dos dados?
O Regulamento Geral sobre a Proteção de Dados (RGPD), concede ao titular dos dados um conjunto de direitos, nomeadamente:
Direito de acesso: o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e à forma como os mesmos são tratados;
Direito de retificação: o direito de obter, sem demora injustificada, do responsável pelo tratamento, a retificação dos dados pessoais incorretos e/ou incompletos que lhe digam respeito;
Direito ao apagamento dos dados («direito a ser esquecido»): o direito de obter do responsável pelo tratamento, o apagamento dos seus dados pessoais, quando:
- os dados deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
- o titular tenha retirado o seu consentimento, salvo se existir outro fundamento jurídico para o respetivo tratamento;
- o titular oponha-se ao tratamento, salvo quando existam interesses legítimos prevalecentes que o justifiquem;
- os dados pessoais foram tratados ilicitamente;
- por obrigação legal.
Direito à limitação do tratamento: o direito de obter do responsável pelo tratamento a limitação do tratamento, caso se verifique uma das seguintes situações:
- contestar a exatidão dos dados pessoais;
- o tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização;
- o responsável pelo tratamento já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
- se se tiver oposto ao tratamento dos dados, até se verificar que os motivos legítimos do responsável pelo tratamento prevalecem sobre os do titular dos dados.
Direito de portabilidade dos dados: o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido ao responsável pelo tratamento, quando:
- o tratamento se basear no consentimento ou na execução de um contrato; e
- o tratamento for realizado por meios automatizados.
Direito de oposição: o direito de se opor a qualquer momento, ao tratamento dos dados pessoais que lhe digam respeito, incluindo a definição de perfis, quando:
- quando os dados forem tratados para efeitos de comercialização direta;
- o tratamento tiver como base um interesse legítimo do responsável;
- quando o tratamento for efetuado para fins que não sejam aqueles para os quais foram recolhidos.
Decisões individuais automatizadas, incluindo definição de perfis: o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, salvo se a decisão:
- for necessária para a celebração ou a execução de um contrato entre o titular dos dados e um responsável pelo tratamento;
- for baseada no consentimento do titular dos dados;
- for permitida por lei.
Revogação do consentimento: o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado.
8. Como é que os titulares podem exercer esses direitos?
Para exercer qualquer um dos direitos referidos no ponto anterior, o titular dos dados deve enviar um pedido à TML, através dos seguintes meios:
Carta: Serviço de Atendimento ao Cliente da TML, Rua Cruz de Santa Apolónia n.º 23, 25 e 25ª, 1100-187 Lisboa;
Email: [email protected]
O pedido deve ser efetuado por escrito, identificar inequivocamente o seu remetente e ser devidamente fundamentado, de modo a habilitar a TML a dar o melhor seguimento ao mesmo.
Uma vez recebido o pedido nos termos atrás descritos, a TML compromete-se a dar o devido seguimento ao mesmo, sem demora injustificada, num prazo máximo de 1 mês a contar da data da receção do mesmo. Tendo em conta a complexidade do pedido, esse prazo pode ser prolongado, mediante pré-aviso, até dois meses.
9. Transferência de dados para países terceiros:
Os dados pessoais recolhidos pela TML são tratados, preferencialmente, no espaço da União Europeia.
Quando exista a necessidade de proceder à transferência de dados para um país terceiro, a mesma realizar-se-á nos termos e condições impostas por lei, nomeadamente, pelo RGPD.
10. O Encarregado de Proteção de Dados:
De modo a garantir que os seus compromissos relativamente ao tratamento de dados pessoais são efetivamente cumpridos, a TML nomeou um Encarregado de Proteção de Dados, a quem o titular dos dados pode recorrer, por exemplo, quando não concorde com uma resposta dada pela TML, na sequência de um pedido apresentado para efeitos do exercício de direitos ou quando não responda, em devido tempo, a um pedido apresentado, nem justifique a ausência de resposta.
Poderá contactar o Encarregado de Proteção de Dados, através dos seguintes meios:
Carta: dirigida ao Encarregado de Proteção de Dados, para Rua Cruz de Santa Apolónia n.º 23, 25 e 25ª, 1100-187 Lisboa.
Email: [email protected]
11. A Comissão Nacional de Proteção de Dados (CNPD):
Para além dos meios de contacto que a TML coloca ao seu dispor, o titular dos dados poderá ainda recorrer aos serviços da entidade reguladora em matéria de proteção de dados (a Comissão Nacional de Proteção de Dados), para obter qualquer esclarecimento, fazer uma exposição ou apresentar uma reclamação, sobre a forma como os seus dados são tratados (saiba mais em https://www.cnpd.pt/).
12. Medidas de segurança
Enquanto responsável pelo tratamento de dados pessoais, a TML adota e promove as medidas técnicas e organizativas adequadas ao cumprimento dos princípios da proteção de dados, com o objetivo de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos seus sistemas e serviços de tratamento.
O recurso generalizado a sistemas informáticos para o tratamento de dados, não exclui a possibilidade de em determinadas circunstâncias, a TML utilizar outros suportes para a recolha e tratamento dos dados. Em qualquer dos casos a TML assegura as medidas administrativas, técnicas e organizativas contra uma eventual utilização abusiva ou acesso não autorizado.
É, no entanto, da responsabilidade dos utilizadores/titulares garantir e assegurar que os seus terminais (computadores, telemóveis, tablets, etc…) se encontrem devidamente contra softwares nocivos. Adicionalmente, deverão ainda adotar outras medidas de segurança como a configuração segura do programa de navegação, a sua atualização permanente ou a utilização do software para criar barreiras de segurança.