Jurídico

Política de Privacidade

Atualizado e publicado em: junho de 2025

1. Âmbito de aplicação

Esta Política de Privacidade (doravante designada por “Política”) tem como objetivo apresentar os compromissos da Pluris Investments S.A., sociedade anónima com sede na Rua de Miragaia, n.º 103, Porto, registada na Conservatória do Registo Comercial sob o número único de matrícula e de pessoa coletiva 508 767 881, e do grupo societário que encabeça (abaixo definido), em relação à gestão da privacidade e proteção de dados pessoais dos titulares cujo tratamento é da sua responsabilidade e responder às exigências do Regulamento Geral de Proteção de Dados (doravante designado por “Regulamento”)[1] e respetiva legislação nacional de execução[2].

Esta Política aplica-se, assim, a todas as sociedades que, direta ou indiretamente, integram o grupo societário encabeçado pela Pluris Investments S.A., isto é, suas subsidiárias atuais e futuras[3], aplicando-se, ainda, às sociedades detidas em mais de 50% do seu capital social e direitos de votos diretamente pelos acionistas maioritários da Pluris Investments S.A. (doravante coletivamente denominadas por “PLURIS” ou “Grupo Pluris”), não se aplicando, contudo, a título de exceção, às sociedades do Grupo Pluris que apresentem uma política de privacidade própria, a qual aplicar-se-á nessas sociedades em detrimento desta Política.

Pretende-se ainda demonstrar como serão tratados os dados pessoais no contexto das atividades desenvolvidas no âmbito do Grupo Pluris e seus colaboradores, através da definição de regras internas que cumpram com os requisitos exigidos pelo Regulamento, nomeadamente, da legitimidade, do tratamento e da conservação.

Todos os dados pessoais serão tratados e geridos nos termos da presente Política em conjunto com a Política de gestão da Segurança da Informação tendo em conta um inventário realizado e atualizado desses dados pessoais.

[1] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 e subsequentes alterações.

[2] A Lei n.º 58/2019, de 8 de agosto (e suas subsequentes alterações), que assegura a execução na ordem jurídica nacional do Regulamento Geral de Proteção de Dados.

[3] Por subsidiária deve entender-se, para este efeito, todas as sociedades participadas, direta ou indiretamente, em pelo menos 10% do seu capital social pela empresa Pluris Investments, S.A.

2. Funções e Responsabilidades

A Administração do Grupo Pluris assegurará que a presente Política está alinhada com a estratégia deste Grupo, para assim garantir a sua melhoria contínua no que respeita à segurança da informação e privacidade.

O Encarregado de Proteção de Dados (EPD) (doravante “DPO” – Data Protection Officer) tem como função, entre outras, assegurar a conformidade para com os requisitos do Regulamento de forma contínua e sistemática, que todos os direitos dos titulares estão a ser respeitados e que são operacionalizados os controlos de segurança adequados para os objetivos aqui definidos.

A Administração do Grupo Pluris designa e atribui ao DPO as funções e responsabilidades descritas supra em relação a todas as empresas do Grupo Pluris, com exceção das que tenham um DPO próprio, o qual assumirá tais funções e responsabilidades nessas sociedades.

Todos os colaboradores do Grupo Pluris, e bem assim os seus subcontratantes – no que a estes seja aplicável – têm a responsabilidade de colaborar com, cumprir e fazer cumprir os compromissos desta Política.

Para o caso dos navios de rio e navios de mar, há lugar ainda à definição de um “Local DPO” por navio, cuja missão consiste no exercício de funções de DPO local quando os navios se encontram em situação de cruzeiro, e que atuará de acordo com as regras da presente Política

3. Titulares de dados pessoais

Para execução das suas atividades e finalidades de tratamento associadas são recolhidos pelo Grupo Pluris dados pessoais das seguintes origens:

  • Clientes corporativos por contrato;
  • Clientes registados através de ferramentas Web;
  • Clientes por aquisição de bilhética;
  • Candidatos por apresentação de candidaturas espontâneas ou resposta a ofertas de emprego publicitadas;
  • Colaboradores internos e de prestadores de serviços contratados;
  • Fornecedores e prestadores de serviços;
  • Visitantes das instalações físicas ou náuticas;
  • Terceiros que solicitem um contacto e/ou envio de newsletters.

4. Garantia de Confidencialidade e privacidade dos dados pessoais

Os dados pessoais identificados na presente Política serão individualmente tratados pelas entidades pertencentes ao Grupo Pluris enquanto respetivas responsáveis pelo tratamento de dados pessoais.

Por forma a garantir a confidencialidade e a privacidade dos dados, o Grupo Pluris assegura que estes apenas serão acedidos por colaboradores formalmente autorizados para o desempenho das suas funções.

As responsabilidades de cada colaborador em matérias de segurança, privacidade e proteção de dados pessoais encontram-se detalhadas nos contratos celebrados com o Grupo Pluris, incluindo, as obrigações de confidencialidade e sigilo às quais estejam adstritos.

Acresce ainda que os dados pessoais recolhidos pelo Grupo Pluris não são partilhados com terceiros sem consentimento do seu titular, salvo nos casos admitidos pela legislação aplicável, como sejam, a título ilustrativo, o caso de o titular dos dados contratar junto do Grupo Pluris serviços que sejam prestados por outras entidades responsáveis pelo tratamento de dados pessoais, ou se a partilha decorrer de uma obrigação jurídica a que o Grupo Pluris esteja sujeita ou, ainda, no caso de ser necessária para a cumprimento de interesses legítimos do Grupo Pluris ou de terceiro.

Na eventualidade de se verificar uma partilha de dados pessoais a terceiros, serão desenvolvidos os esforços considerados razoáveis para que o transmissário utilize tais dados de forma adequada com esta Política.

5. Identificação do responsável pelo tratamento de dados pessoais

Cada empresa integrante do Grupo Pluris que, designadamente, contrata com o titular dos dados é singular e individualmente responsável pelo tratamento de dados pessoais que realiza no exercício da sua atividade e prossecução dos seus fins.

Sem prejuízo do disposto acima, o Grupo Pluris, de acordo com a legislação aplicável e a presente Política, poderá recorrer a entidades terceiras, por si subcontratadas, para, em seu nome e de acordo com as suas instruções, procederem ao tratamento de dados pessoais (para mais detalhes, ver abaixo ponto 7.3 a)).

6. Avaliação de Impacto da proteção de dados

Nos casos em que as operações de tratamento de dados sejam suscetíveis de resultar num risco cujo nível não seja aceite pelo Grupo Pluris, este levará a cabo, antes do início do tratamento, uma avaliação de impacto, nos termos do artigo 35º do Regulamento, com o objetivo de os identificar e reduzir e/ou eliminar.

7. Recolha, processamento, partilha e retenção de dados pessoais

Os dados pessoais recolhidos e tratados pelo Grupo Pluris consistem essencialmente em informação relativa ao nome, género, data de nascimento, telefone, telemóvel, email, morada, número de identificação fiscal, dados do cartão de crédito (recolhidos apenas para efeitos de pagamento). Existe, ainda, outros dados pessoais que podem ser recolhidos se forem necessários ou convenientes para a prestação ou cobrança de serviços por parte do Grupo Pluris.

 

7.1. Recolha de dados pessoais

a) Recolhidos diretamente

Os dados pessoais são recolhidos diretamente, através das seguintes formas:

  • Candidaturas espontâneas ou resposta a ofertas de emprego com partilha do Curriculum Vitae;
  • Preenchimento de formulários em papel;
  • Captação de imagens e vídeos nas instalações fixas e a bordo de navios de mar ou rio;
  • Dados biométricos;
  • E-mail;
  • Telefone (para o caso de colaboradores);
  • Na compra de bilhética, produtos de marketing ou outros materiais adquiridos em lojas físicas ou navios do Grupo Pluris, incluindo serviços de restauração;
  • websites de compras online.

b) Recolhidos indiretamente

Os dados pessoais podem ser recolhidos indiretamente, através das seguintes formas:

  • Importação do conteúdo do Curriculum Vitae para o registo de cadastro de recursos humanos;
  • Importação de dados com responsabilidade partilhada com parceiros comerciais contratados;
  • Pontos de venda de marketing, serviços de restauração ou afins;
  • Empresas de seleção de candidatos a emprego;
  • Empresas de prestação de serviços médicos;
  • Empresas prestadoras de serviços de seguros de vida;
  • Ferramentas de marketing automation e publicidade online de parceiros subcontratantes;
  • por parceiros subcontratantes referentes à colocação de encomendas, nomeadamente, a aquisição de bilhética para acesso a exposições e/ou a produtos e/ou serviços do Grupo Pluris.

A recolha de dados pessoais sensíveis só será realizada para os casos estritamente necessários e justificáveis pela atividade desenvolvida pelo Grupo Pluris e de acordo com a legislação em vigor.

Em acréscimo, para dados pessoais recolhidos de forma informática, a Política de Cookies complementa este tema, apresentando as opções de “opt-in” e “opt-out” que estão disponíveis para este componente dos websites. A esta Política pode-se aceder através do seguinte link https://www.douroazul.com/politica-de-cookies/ .

O titular de dados pessoais poderá ainda realizar o “opt-out” de serviços de publicidade online nas ferramentas sociais, designadamente, no Facebook, Google Ads, Instagram, Linkedin, entre outras.

O Grupo Pluris garante que nenhum formulário manual ou informatizado terá opções previamente preenchidas, sendo todas as alternativas selecionadas pelo titular dos dados.

Os dados pessoais serão recolhidos com base nos fundamentos de licitude previstos na presente Política e em respeito ao princípio da minimização.

 

7.2. Tratamento de dados pessoais – Utilização, finalidades e fundamentação

Em termos gerais, o Grupo Pluris utiliza os dados pessoais nas situações e com as justificações, finalidades e fundamentação a seguir apresentadas:

Não haverá utilização de dados pessoais para efeitos de criação e utilização de perfis de vendas ou indicadores de produtos, regiões ou tendências.

 

7.3. Partilha de dados pessoais – entidades terceiras

O Grupo Pluris, como referido, comunica dados pessoais a entidades terceiras – subcontratadas ou não –, de cariz público ou privado, com as justificações, finalidades e fundamentos acima reportados, as quais estarão sujeitas à obrigação legal de fazer o tratamento de dados pessoais de acordo com o previsto no RGPD.

a) Destinatários de dados pessoais:

De forma geral, o Grupo Pluris comunica dados pessoais com os seguintes destinatários:

  • Segurança social;
  • Autoridade Tributária, Aduaneira, agentes de execução ou outras entidades legais;
  • Empresas Seguradoras;
  • Empresas de licenciamento, manutenção, suporte e assistência técnica de softwares e sistemas;
  • Empresas de segurança/vigilância e empresas de manutenção preventiva e corretiva de sistemas de segurança
  • Empresas de Medicina no Trabalho;
  • AIMA (antigo SEF);
  • Sindicatos;
  • Agências de viagens e operadores turísticos;
  • Empresas de trabalho temporário;
  • Consultores e Advogados.

b) Entidades subcontratantes

Os dados pessoais podem ser partilhados com entidades subcontratadas nos termos dos contratos celebrados com as mesmas. O Grupo Pluris apenas recorre a subcontratantes que garantam, nos termos da lei, a implementação de medidas técnicas e organizativas adequadas à proteção dos seus dados através de acordos de subcontratantes, celebrados nos termos do artigo 28.º do Regulamento, assegurando assim a defesa dos seus direitos à luz da lei de proteção de dados aplicável.

A partilha de dados classificados como sensíveis apenas será realizada com entidades legais, parceiros prestadores de serviços médicos e similares, nos termos legalmente permitidos.

Estas partilhas de dados serão, em regra, realizadas no espaço europeu.

Existem situações especificas que exigem a partilha de dados para entidades fora do espaço europeu, nomeadamente:

  • Com as autoridades portuárias: para efeitos de segurança e controlo de imigração em navios de cruzeiro de mar, em conformidade com as disposições legais aplicáveis;
  • Com empresas do Grupo Pluris: para suporte de atividades de interesse legítimo, garantindo a minimização do tratamento de dados pessoais

Existe possibilidade de partilha de dados com subcontratantes formalmente autorizados para efeitos de marketing digital, sendo que os dados pessoais envolvidos nestas partilhas estão sujeitos ao consentimento por parte do respetivo titular, existindo a todo o momento a possibilidade de realizar “opt-out” e retirar o consentimento.

Estas partilhas podem dar origem a transferências de dados para fora do espaço europeu, para os casos de segmentação de campanhas de marketing digital com parceiros subcontratantes intercontinentais. Nestes casos, a organização terá o cuidado de implementar controlos de segurança apropriados a cada situação de risco identificada, assim como assegurar ao titular a garantia da execução incondicional dos seus direitos e todos os requisitos do Regulamento.

 

7.4. Conservação de dados pessoais

Os dados são conservados durante o período necessário para as finalidades para as quais são tratados, variando esse período em função das finalidades em causa, e quando conservados durante períodos mais longos, são tomadas as medidas legalmente prescritas para o efeito. Os dados pessoais são assim conservados, inter alia, para fazer face ao cumprimento de legislação em vigor (por ex. de natureza fiscal, laboral e/ou contabilística), e/ou às necessidades operacionais e interesses legítimos do Grupo Pluris (ex. prevenção de branqueamento de capitais e financiamento do terrorismo e suporte de processos jurídicos) e/ou à defesa de interesses vitais do titular dos dados ou de outra pessoa singular.

De um modo geral, a tabela abaixo indica qual o período de conservação que o Grupo Pluris adota em função dos dados pessoais em causa.

Em qualquer caso, e prevalecendo sobre o indicado na tabela acima, se um dado pessoal for necessário conservar para efeitos de acompanhamento de alguma reclamação, processo inspetivo de cariz contraordenacional, administrativo ou judicial, processo de reparação de acidente de trabalho/doença profissional, entre outros, esses dados serão conservados por um período de 7 anos após a data em que essa inspeção, reclamação, processo contraordenacional, administrativo ou judicial estejam definitivamente concluídos, sem possibilidade de impugnação ou recurso, ou, em caso de dados relacionados com a reparação de acidente de trabalho/doença profissional, por um período de 5 anos após a eventual incapacidade do trabalhador estabilizar definitivamente, sem possibilidade de alteração futura.

Acresce, ainda, que para todos os efeitos, o Grupo Pluris reserva-se a faculdade de conservar dados pessoais que tenham sido objeto de tratamento em questões específicas até ao termo do prazo de prescrição aplicável a tais questões, sempre que este prazo seja superior a qualquer um dos indicados na tabela acima.

Por retenção entende-se o armazenamento seguro de dados, em formato digital e/ou em papel, assegurando as condições de gestão de acesso para garantia de confidencialidade, da integridade, disponibilidade da informação e não repúdio, assim como da sua preservação nas devidas condições de utilização em função do tempo definido.

Como referido, serão cumpridos os requisitos legais que exigem a conservação de dados pessoais durante um período mínimo para cada objetivo.

Quando tal período mínimo não for imposto, os dados pessoais serão conservados:

(i) se e quando aplicável, pelo período determinado pela autoridade de proteção de dados competente para os casos específicos em questão; ou

(ii) durante os períodos acima indicados, considerados necessário à prossecução das finalidades para as quais os dados foram recolhidos ou serão posteriormente tratados,

períodos após os quais os dados serão definitivamente apagados em modo seguro.

8. Utilizaçao & Finalidade dos Cookies:

São utilizados cookies para personalizar conteúdos e anúncios em função das características do utilizador, interagir com funcionalidades de redes sociais, analisar o tráfego do website, assim como dar suporte a controlos de segurança implementados.

Os web sites em que são utilizados cookies são os seguintes:

www.Douroazul.com, www.mysticcruises.com, www.mysticocean.de, www.riversightseeing.pt, www.portosightseeing.pt, www.worldofdiscoveries.com, www.quintadacarlota.com, www.almada234.com, www.pluris.com, www.fotobeleza.com.

Em função das opções escolhidas pelo utilizador, podem ser partilhados dados com os nossos parceiros de redes sociais, para objetivos publicitários, para análise de tráfego e da navegação pelas páginas do websites e ferramentas de redes sociais no âmbito desta Política.

Em caso algum serão recolhidos dados pessoais através de cookies.

Para mais detalhe, poderá ser consultada a política em vigor para o efeito, nomeadamente, a Política de Cookies, disponibilizada nos websites institucionais do Grupo Pluris, nomeadamente através do seguinte link https://www.douroazul.com/politica-de-cookies/, e nas suas redes internas existentes.

 

8.1. Tipos de cookies

Os cookies são ficheiros de texto que podem ser utilizados por websites para tornar a experiência do utilizador mais eficiente.

De acordo com a legislação em vigor, podem ser armazenados e operacionalizados cookies no equipamento em que o utilizador faz o acesso se forem estritamente necessários para o funcionamento do website.

Para todos os outros tipos de cookies, é permitido que o utilizador, titular de dados pessoais, exerça o seu direito de consentimento informado.

Alguns cookies podem ser instalados automaticamente pelos nossos parceiros de negócio. Contudo, tal instalação é efetuada sempre de uma forma explícita para o utilizador.

Os websites podem utilizar os seguintes tipos de cookies:

a) Necessários

Os cookies necessários suportam a execução de funções básicas como a navegação entre páginas e a respetiva rastreabilidade.

É importante ressalvar que o website pode não funcionar corretamente sem estes cookies, e como tal, são considerados fundamentais e justificados.

b) Estatísticos ou Funcionais

Os cookies de estatística ajudam o gestor do website a entender como o utilizador interage com as páginas que compõem o website, recolhendo e tratando informações de forma anónima.

c) Marketing

Os cookies de marketing são utilizados para acompanhar o acesso e a sequência de utilização de página pelo utilizador.

Permitem a personalização de anúncios e/ou outros materiais de marketing a apresentar e que sejam relevantes e apelativos para o utilizador, tornando a experiência de navegação mais personalizada e dinâmica.

O utilizador do website, e como tal titular de dados pessoais, deve proceder à seleção, em cada caixa disponível, do tipo de cookies que expressamente autoriza. 

Ao clicar no botão “Aceito”, o utilizador está a reconhecer a aceitação desta Política e da Política de Cookies e a confirmar a autorização para o tipo de cookies previamente por si selecionados.

9. Direitos dos titulares

Conforme previsto na legislação de proteção de dados e consoante a situação em específico, o titular dos dados poderá ter o direito de:

i. Solicitar o acesso aos seus dados pessoais:

Tem o direito de obter confirmação sobre se quaisquer dados pessoais que lhe digam respeito estão, ou não, a serem tratados e, se for esse o caso, solicitar acesso aos seus dados pessoais.

Pode ter o direito de obter uma cópia dos dados pessoais que estão a ser objeto de tratamento.

ii. Solicitar a retificação dos seus dados pessoais:

Tem o direito de obter a retificação das inexatidões relativas aos seus dados pessoais. Tendo em conta a finalidade do tratamento, tem o direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.

iii. Solicitar o apagamento dos seus dados pessoais:

Em determinadas circunstâncias pode ter o direito de obter o apagamento dos seus dados pessoais, comprometendo-se o Grupo Pluris, nas circunstâncias em que esteja a tal obrigado, a apagar esses dados pessoais.

iv. Solicitar a limitação do tratamento dos seus dados pessoais:

Em determinadas circunstâncias, pode ter o direito de obter a limitação do tratamento dos seus dados pessoais. Nesse caso, os respetivos dados serão marcados e só podem ser tratados pelo Grupo Pluris com o seu consentimento ou para determinados fins.

v. Solicitar a portabilidade dos dados:

Em determinadas circunstâncias, pode ter o direito de receber os dados pessoais que forneceu ao Grupo Pluris, num formato estruturado, de uso corrente e de leitura automática e pode ter o direito a transmitir esses dados para outra entidade sem que o Grupo Pluris o possa impedir.

vi. Opor-se ao tratamento dos dados:

Em determinadas circunstâncias, pode ter o direito de se opor, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito.

vii. Retirar, a qualquer momento, o consentimento fornecido.

Por fim, informamos que pode ser apresentada uma reclamação à Autoridade de Controlo nacional (Comissão Nacional de Proteção de Dados – https://www.cnpd.pt/index.asp) quando não tiver obtido satisfação no exercício dos seus direitos.

Aos titulares de dados serão asseguradas as condições de exercer os seus direitos previstos pelo Regulamento.

O DPO nomeado pelo Grupo Pluris estará envolvido em todas as questões relacionadas com a proteção de dados pessoais, devendo ser preferencialmente colocadas por escrito através do endereço de email dpo.mysticinvest@mysticinvest.com todas as questões que os titulares de dados pessoais entendam necessárias.

Caso o titular dos dados pretenda reportar uma violação de privacidade, o titular deverá recorrer ao Canal de Denúncias disponível ou, não sendo este aplicável, apresentar uma reclamação através do email complaint.mysticinvest@mysticinvest.com ou diretamente com a autoridade de controlo responsável.

Em alternativa, o titular terá ao seu dispor um portal de comunicação via Web, onde poderá realizar todas as interações acima citadas e obter informação sobre o processamento de tais pedidos.

Na sequência dos registos de reclamação e/ou de violação de privacidade, o Grupo Pluris compromete-se a informar o titular sobre cada passo e avanço do processo da sua reclamação, sem prejuízo do cumprimento dos prazos definidos pelo Regulamento.

O direito ao esquecimento ou ao apagamento dos dados pessoais pelos seus titulares só será efetuado pelo Grupo Pluris quando não esteja previsto em legislação aplicável a sua conservação por determinado prazo

10. Revisão e melhoria contínua

Esta Política poderá ser revista a todo o tempo, nomeadamente sempre que existirem alterações significativas no inventário de dados pessoais e/ou nos suportes informáticos ou documentais do Grupo Pluris.

Cada revisão dará origem a uma nova versão desta Política.

11. Divulgação e publicação

A presente Política está classificada como informação de acesso público e estará disponível para consulta através da Internet, seja no Website institucional, nas ferramentas na Internet de suporte ao negócio e também nas redes sociais internas do Grupo Pluris.

Durante o processo de acolhimento, bem como fará parte deste processo a participação obrigatória daqueles nas ações de formação e sensibilização em matéria de segurança, privacidade e proteção de dados pessoais que farão parte do processo de acolhimento.

Após publicação e divulgação da Política, ficam os colaboradores obrigados a:

➢ Proteger os ativos de informação a seu cargo;

➢ Colaborar na gestão do respetivo risco;

➢ Participar qualquer evento que possa colocar em causa a segurança da informação;

➢ Cumprir e fazer cumprir a presente Política.

Os colaboradores poderão consultar a presente Política a qualquer momento através da plataforma de gestão documental da rede interna do Grupo Pluris.

As entidades/colaboradores que, por razões inerentes à sua função, não tenham acesso à plataforma, terão conhecimento da presente Política através da partilha no formato adequado a cada caso.

12. Vigência da Política:

A presente Política foi aprovada pela Administração do Grupo Pluris e torna-se vigente na data em que é publicada.

Qualquer alteração posterior entrará em vigor imediatamente após a sua publicação.