Conformidade RGPD

A LusoPass implementou um quadro abrangente de proteção de dados que inclui: • Um Encarregado de Proteção de Dados (EPD) designado que supervisiona todas as atividades de tratamento de dados • Avaliações de Impacto sobre a Proteção de Dados (AIPD) realizadas para operações de tratamento de alto risco • Princípios de Privacidade desde a Conceção e Privacidade por Defeito integrados no nosso processo de desenvolvimento • Formação regular do pessoal sobre obrigações de proteção de dados e melhores práticas • Registos documentados de tratamento de dados conforme exigido pelo Artigo 30.º do RGPD

Tratamos dados pessoais apenas quando temos uma base legal válida ao abrigo do Artigo 6.º do RGPD: • Execução de Contrato (Art. 6.º(1)(b)): Tratamento necessário para prestar os nossos serviços de plataforma, gerir processos de imigração e administrar transações de investimento. • Obrigação Legal (Art. 6.º(1)(c)): Tratamento exigido pela lei portuguesa de imigração, regulamentos AML/KYC (Lei n.º 83/2017), obrigações de reporte fiscal e regulamentos de serviços financeiros. • Interesse Legítimo (Art. 6.º(1)(f)): Segurança da plataforma, prevenção de fraudes, melhoria do serviço e análises internas. Realizamos testes de proporcionalidade para garantir que os nossos interesses não prevalecem sobre os seus direitos fundamentais. • Consentimento (Art. 6.º(1)(a)): Comunicações de marketing e rastreamento analítico opcional, que pode retirar a qualquer momento sem afetar a licitude do tratamento anterior.

Quando os dados pessoais são transferidos para fora do Espaço Económico Europeu (EEE), asseguramos proteção adequada através de: • Cláusulas Contratuais-Tipo (CCT) da UE aprovadas pela Comissão Europeia • Avaliações de Impacto de Transferência para avaliar o panorama de proteção de dados do país destinatário • Medidas técnicas suplementares incluindo encriptação em trânsito e em repouso • Acordos de tratamento de dados com todos os subcontratantes que cumprem os requisitos do RGPD Mantemos um registo de todas as transferências internacionais de dados disponível mediante pedido.

Em caso de violação de dados pessoais, a LusoPass irá: • Notificar a Comissão Nacional de Proteção de Dados (CNPD) no prazo de 72 horas após tomar conhecimento da violação, conforme exigido pelo Artigo 33.º do RGPD • Notificar os titulares de dados afetados sem demora injustificada quando a violação possa resultar num risco elevado para os seus direitos e liberdades, conforme exigido pelo Artigo 34.º do RGPD • Documentar todas as violações incluindo os seus efeitos e medidas corretivas tomadas • Implementar medidas corretivas para prevenir recorrência

Utilizamos as seguintes categorias de subcontratantes para prestar os nossos serviços: • Infraestrutura Cloud: Centros de dados na UE para alojamento e armazenamento • Processamento de Pagamentos: Fornecedores de pagamento em conformidade com PCI DSS • Serviços de Email: Entrega de emails transacionais • Análises: Plataformas de análise focadas na privacidade Todos os subcontratantes estão vinculados por acordos de tratamento de dados que cumprem os requisitos do RGPD. Uma lista completa de subcontratantes está disponível mediante pedido.

Para exercer qualquer um dos seus direitos ao abrigo do RGPD, pode: • Enviar email ao nosso Encarregado de Proteção de Dados em [email protected] • Utilizar as ferramentas de gestão de dados disponíveis nas definições da sua conta • Submeter um pedido escrito para o nosso endereço postal Responderemos ao seu pedido no prazo de 30 dias. Se o seu pedido for complexo, poderemos prolongar este prazo por mais 60 dias, e notificá-lo-emos de qualquer extensão. Se não estiver satisfeito com a nossa resposta, tem o direito de apresentar uma reclamação junto da Autoridade Portuguesa de Proteção de Dados: Comissão Nacional de Proteção de Dados (CNPD) Rua de São Bento, 148-3° 1200-821 Lisboa, Portugal https://www.cnpd.pt