Em conformidade com o disposto na legislação aplicável relativa à proteção de dados pessoais, informamos o Cliente sobre:

1. Responsável pelo tratamento dos dados pessoais

CEPSA - PORTUGUESA PETRÓLEOS, S.A., (doravante, CPP ou Cepsa, indistintamente), com o NIF: 500 513 295, Sede Social: Avenida Columbano Bordalo Pinheiro n.º 108 – 3º andar, C.P. 1070-067 Lisboa (Portugal) Responsável pela Proteção de Dados: dpo@cepsa.com. 

2. Finalidade do tratamento dos dados

Os dados pessoais fornecidos no momento da contratação, bem como os fornecidos futuramente como consequência do seu desenvolvimento, serão incluídos num registo de tratamento de dados pertencente à Cepsa, para os seguintes fins:

1. a) Prestar, gerir, controlar e manter a relação contratual ou comercial solicitada;
2. b) Gerir a criação do ID de Cliente único dentro do Grupo Cepsa;
3. c) Manter uma relação direta com o cliente com fins publicitários, promocionais e/ou estatísticos (incluindo a realização de segmentação de perfis para adaptar as ofertas e atividades de marketing a cada Cliente) relacionados com as atividades realizadas pela Cepsa, através de meios convencionais e/ou eletrónicos (emails, SMS, recibo de compra...). Além disso, tais comunicações poderão fazer referência a vantagens ou benefícios próprios ou de empresas terceiras, sempre comunicadas através da Cepsa, que tenham como base acordos de parceria relacionados com os seguintes setores: Lazer, viagens, cultura, cartões e meios de pagamento, automóvel, transportes, seguros, distribuição e financiamento, presentes, moda, casa, tecnologia.
4. d) Realizar trabalhos de segmentação e obtenção de perfis através da análise da utilização dos serviços prestados, com o objetivo de adaptar as ofertas e atividades de marketing a cada Cliente, oferecendo produtos e serviços personalizados. 
5. e) Fornecer as informações e os serviços solicitados, quer seja pela Internet, por email ou por telefone. Proceder à gravação das chamadas telefónicas efetuadas para o Serviço de Apoio ao Cliente, com o fim de garantir uma melhor qualidade da prestação. Além disso, os emails poderão fornecer uma confirmação da respetiva receção e leitura.
6. f) Responder aos incidentes que possam ocorrer, bem como elaborar inquéritos de satisfação sobre o produto ou serviço contratado. Contactar o Cliente caso tenham sido detetadas ou existam suspeitas fundadas em relação a uma possível fraude ou roubo de identidade.
7. g) Analisar o risco e comparar ou confrontar os seus dados, para comprovar a exatidão e veracidade dos mesmos junto das entidades prestadoras de serviços de solvabilidade patrimonial, de crédito e de prevenção de fraude.
8. h) Conforme o caso, gerir o cumprimento das obrigações pecuniárias em relação aos incumprimentos que possam ocorrer por parte do Cliente. Para tal, estas informações financeiras podem ser incluídas num ficheiro de utilização partilhada pelas Empresas do Grupo Cepsa, empresas, estas do Grupo Cepsa, que podem ser consultadas em www.cepsa.com, para os mesmos fins. Neste sentido, a consulta de ficheiros relativos ao incumprimento de obrigações pecuniárias poderá levar a Cepsa, enquanto Empresa Comercializadora, a tomar decisões com efeitos jurídicos ou que o afetem, podendo, como consequência, impedir a entrada em vigor do contrato ou condicionar a sua vigência à constituição de uma garantia de pagamento. Não obstante, a Cepsa concederá sempre ao Cliente a possibilidade de alegar tudo o que considere pertinente a fim de defender os seus direitos ou interesses. 
9. i) Gerir os dados do Cliente como utilizador do Website.
10. j) Gerir e manter, caso seja aplicável, os dados do Cliente, através do sistema de benefícios “Porque EU Volto", bem como controlar, gerir e manter os serviços inerentes ao mesmo. (Para mais informações, veja as condições do “Porque EU Volto” em www.porqueeuvolto.com).
11. k) Nos casos em que o Cliente tenha acedido à página Web mediante o registo a partir de redes sociais, validar os seus dados de identificação, contactar o Cliente caso tenha sido detetada ou existam suspeitas fundadas em relação a uma possível fraude ou roubo da sua identidade ou atividade nas redes, contactá-lo e enviar-lhe comunicações e/ou ofertas comerciais personalizadas mediante a obtenção de perfis e trabalhos de segmentação, realizar estudos de publicidade comportamental ou obter amostras estatísticas que possam ajudar a empresa a melhorar a personalização das ofertas dos seus produtos e serviços.

Caso os dados pessoais fornecidos pertençam a terceiros, o Cliente garante que informou tais terceiros sobre a presente Política de Privacidade e que obteve a sua autorização expressa para fornecer os seus dados à Cepsa para os fins mencionados. Garante igualmente que os dados facultados são exatos e atualizados, sendo responsável por qualquer dano ou prejuízo, direto ou indireto, que possa ocorrer como consequência do incumprimento de tal obrigação.

Os dados pessoais fornecidos serão conservados durante a vigência da relação contratual, desde que não seja solicitada a sua eliminação por parte do interessado, sendo que manter-se-ão conservados na estrita medida do que seja necessário para dar cumprimento a obrigações legais ou para a elaboração, exercício e defesa de reclamações.

Se o Cliente revogar o seu consentimento ou exercer os direitos de cancelamento ou eliminação, os seus dados serão mantidos bloqueados e postos à disposição da das entidades públicas oficiais durante os prazos estabelecidos legalmente para responder a possíveis responsabilidades derivadas do tratamento dos mesmos.

A legitimidade para o tratamento realizado baseia-se:

1. a) No facto de o Cliente ter fornecido os seus dados pessoais no âmbito de relações pré-contratuais ou contratuais e, como tal, o seu tratamento ser necessário para a manutenção dessa relação.
2. b) Nas obrigações legais aplicáveis à Cepsa que exijam o tratamento dos dados pessoais para efeitos dos serviços prestados.
3. c) No interesse legítimo da Cepsa, relativamente aos tratamentos estritamente necessários para a prevenção da fraude durante a contratação, ou relativamente ao envio de comunicações comerciais diretamente relacionadas com os serviços contratados.
4. d) No consentimento do Cliente, para os restantes casos, entre os quais se encontra o envio de comunicações comerciais relativas a produtos, serviços, benefícios e/ou vantagens de terceiros, sempre através da Cepsa, para fins publicitários ou promocionais, para a instalação de sistemas de monitorização que informam sobre os hábitos de navegação, segundo a Política de Cookies, ou para a utilização de informações relacionadas com a sua localização geográfica. A retirada deste consentimento não condiciona, em caso algum, a execução do contrato principal.

Os dados pessoais tratados pela Cepsa para a prestação do serviço contratado foram fornecidos, em grande medida, de forma direta pelo próprio Cliente durante o processo de contratação, tais como o nome, apelidos, morada, dados de contacto, dados sobre os meios de pagamento. O Cliente responsabiliza-se pela sua veracidade e atualização.

Além disso, a Cepsa poderá obter informações recolhidas através da Internet, bem como através da utilização do serviço contratado, tais como dados estatísticos ou de navegação, ou, conforme o caso, informação relativa a interesses e consumo, através do Programa “Porque EU Volto” da Cepsa.

Caso o Cliente tenha acedido à página Web através do seu registo em redes sociais, a Cepsa poderá obter as suas informações públicas disponíveis na Internet, tais como o nome de utilizador, nome, sexo, data de nascimento, cliques em “gosto”, tweets publicados, número de seguidores, número de utilizadores seguidos, e informações do perfil, tais como a sua biografia e informações de localização (se indicadas pelo utilizador). No caso do Facebook, o Cliente poderá selecionar, de entre as permissões que lhe são solicitadas, aquelas que não deseja fornecer.

A Cepsa utilizará um sistema de autentificação por token (chave codificada de segurança fornecida pela rede social) para a identificação ou o registo do utilizador e para lhe poder disponibilizar, desta forma, o acesso à área privada do Cliente.

Não serão recolhidos, em caso algum, dados de pessoas singulares terceiras alheias ao próprio utilizador. Os dados do Cliente serão os registados por si na rede social e as análises comportamentais e segmentações levadas a cabo a partir dos comentários ou tweets serão realizadas de forma completamente automática e sem intervenção humana. O Cliente é informado sobre a possibilidade de editar as informações que deseja partilhar com a Cepsa, podendo permitir um acesso mais amplo ou restrito às suas informações, conforme desejar, bem como sobre a possibilidade de poder de revogar a qualquer momento o consentimento outorgado.

Além disso, poderão ser recolhidos dados de localização geográfica do dispositivo ou terminal do Cliente, sempre e quando tenha outorgado o seu consentimento para tal, com o objetivo de facilitar a prestação de serviços, realizar ações publicitárias e fornecer informações personalizadas e adequadas à sua localização. O Cliente poderá, a qualquer momento, desativar o acesso aos dados de geolocalização, bem como revogar o consentimento dado para a sua geolocalização, mediante a configuração das definições do seu dispositivo ou terminal. 

Todas as transferências de dados serão realizadas pela Cepsa por serem necessárias para o cumprimento das finalidades referidas, ou serão realizadas para cumprir uma obrigação legal em relação às seguintes Empresas e Organismos Públicos:

1. a) Empresas do Grupo Cepsa, que podem ser consultadas em cepsa.com.
2. b) As Entidades Públicas Oficiais, Administrativas ou Judiciais. 
3. c) Empresas prestadoras de serviços de solvabilidade patrimonial, de crédito e de prevenção de fraude, para a análise de riscos e a comparação ou o confronto dos seus dados de forma a comprovar a exatidão e veracidade dos mesmos, e a empresas fornecedoras de Serviços de Pagamento.
4. d) Companhias de seguros, de resseguros, sociedades de fundos de garantia ou quaisquer outros terceiros que atuem como garante do risco ou das transações que o Cliente efetue com meios de pagamento Cepsa, caso o emissor do meio de pagamento tenha acordos com as Empresas indicadas e com a única finalidade de identificar o seu registo como Titular de um cartão ou meio de pagamento Cepsa.
5. e) Conforme o caso, empresas distribuidoras, com o objetivo de gerir o acesso à rede, a identidade do Cliente, a morada, o consumo e situações de incumprimento, ficando tais dados registados no ficheiro do Sistema de informação de pontos de fornecimento, cujo responsável é a Empresa Distribuidora.
6. f) Empresas e entidades parceiras das empresas do Grupo Cepsa, para a organização, gestão e/ou promoção de concursos, eventos, promoções ou sorteios, caso o Participante tenha decidido inscrever-se e/ou participar nos mesmos.
7. g) Fornecedores da Cepsa: a Cepsa contratou a respetiva infraestrutura informática e gestão de clientes, sob o modelo de “Ambiente na Nuvem (“Cloud”)” da Amazon Web Services, Inc., para o que fundamentará as transferências internacionais em Normas Corporativas Vinculantes (BCRs), em Cláusulas Contratuais Gerais ou Tipo ou ainda em algumas das excepções previstas na normativa aplicável.
8. h) O Grupo Cepsa contratou como Fornecedores a Google, a Initiative Media, LLC, Hotjar, Ltd ou a Salesforce.com Inc., a fim de medir o tráfego do website e o comportamento dos Clientes. Informações disponibilizadas ao Cliente na Política de Cookies da Cepsa, no Website, e na Política de Cookies dos seus Fornecedores, nos respetivos websites:

• Initiative Media, LLC -  https://initiative.com/es/privacidad/
• Hotjar, Ltd. - https://www.hotjar.com/legal
• Google Analytics -  https://support.google.com/analytics/answer/181881?hl=es
• Salesforce.com, Inc. - https://www.salesforce.com/company/privacy/full_privacy.jsp#nav_info

O Cliente poderá exercer, junto da Cepsa Comercial Petróleo, S.A.U., caso seja aplicável, os seus direitos de acesso, retificação ou eliminação, limitação do seu tratamento, oposição, portabilidade e de se opor a decisões individuais automatizadas. Além disso, poderá revogar o seu consentimento, caso o tenha outorgado para alguma finalidade específica, podendo alterar as suas preferências a qualquer momento.

O Cliente poderá exercer os seus direitos enviando uma comunicação escrita para o endereço de email derechos.arco@cepsa.com, ou para a sede social da Cepsa Portuguesa Petróleos, S.A. (Ref.: Proteção de Dados), na Avenida Columbano Bordalo Pinheiro, n.º 108 – 3º andar, C.P. 1070-067 Lisboa (Portugal). O Cliente poderá dirigir qualquer tipo de reclamação em matéria de proteção de dados pessoais à Comissão Nacional de Proteção de Dados (www.cnpd.pt), a Autoridade de Supervisão em Portugal.