9. Os alunos têm perguntado para que é que o IPB necessita de saber toda a informação que lhes pede, o que lhes devo responder?
1. O que são dados pessoais?
De acordo com o n.º 1 do art. 4.º do RGPD, dados pessoais são "informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular".
[↑ Topo]
2. O que são categorias especiais de dados pessoais?
O art. 9.º do RGPD aplica restrições ainda mais severas ao tratamento de categorias especiais de dados pessoais, definidas como: "dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. ". Todos estes dados têm restrições adicionais de tratamento.
Dados biométricos são definidos como "Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos" (art. 4.º, n.º 14 do RGPD).
Dados relativos à saúde são definidos como "Dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde" (art. 4.º, n.º 15 do RGPD).
[↑ Topo]
3. Quem é o titular dos dados?
É a pessoa a quem os dados pessoais dizem respeito.
[↑ Topo]
4. O que é o tratamento dos dados?
São todas as operações realizadas sobre os dados que são confiados pelo titular. O acesso aos dados é um tratamento. A sua salvaguarda em ficheiro, a criação de cópias, consulta, divulgação, etc. também são tratamentos de dados.
[↑ Topo]
5. O que é a minimização dos dados?
Significa que os dados pessoais recolhidos devem ser limitados ao que é necessário relativamente às finalidades para as quais são tratados.
[↑ Topo]
6. O que é a "pseudonimização" dos dados?
É a ação pela qual deixa de existir uma ligação entre o titular e os dados. De uma forma mais simples pode dizer-se que consiste na remoção, modificação ou substituição das características individuais por representações codificadas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.
[↑ Topo]
7. Em que situações é lícito tratar dados pessoais?
Para que o tratamento seja lícito, os dados pessoais deverão ser tratados com base no consentimento da titular dos dados em causa ou noutro fundamento legítimo, previsto por lei, quer no presente regulamento quer noutro ato de direito da União ou de um Estado-Membro referido no presente regulamento, incluindo a necessidade de serem cumpridas as obrigações legais a que o responsável pelo tratamento se encontre sujeito ou a necessidade de serem executados contratos em que o titular dos dados seja parte ou a fim de serem efetuadas as diligências pré-contratuais que o titular dos dados solicitar.
[↑ Topo]
8. Qual a função do Encarregado de Proteção de Dados?
É a pessoa a quem incumbe informar e aconselhar todos os atores a respeito das respetivas obrigações ao abrigo da legislação aplicável, controlar a conformidade com o regulamento ou outras disposições de proteção de dados comunitárias ou nacionais, bem como com a política de privacidade da organização, prestar aconselhamento na matéria e controlar a realização no que respeita à avaliação de impacto sobre a proteção de dados, assim como cooperar com a autoridade de controlo. Passa igualmente a ser o ponto de contacto, não só para a autoridade de controlo, sobre questões relacionadas com o tratamento, mas também para os próprios titulares dos dados, em particular para efeitos do exercício dos seus direitos, devendo os respetivos contatos ser divulgados publicamente e comunicados à autoridade de controlo.
[↑ Topo]
9. Os alunos têm perguntado para que é que o IPB necessita de saber toda a informação que lhes pede, o que lhes devo responder?
A maioria desses dados são necessário para responder a inquéritos oficiais como o RAIDES. De forma a cumprir este desiderato as instituições de ensino mantêm esta informação durante todo o tempo de permanência do aluno e por mais dois anos após a sua última inscrição.
[↑ Topo]
10. Os candidatos a CTESP, mestrados e outros programas (e.g. formações não conferentes de grau) perguntam o que fazemos com os dados pessoais deles caso a sua candidatura não seja aceite, o que devo responder?
Os candidatos que não se transformam em alunos, seja porque não foram aceites, seja porque desistem antes de iniciar, seja porque o procedimento se esgota no final da candidatura, têm os seus dados pessoais eliminados ao fim do período necessário para garantir os prazos de reclamação, com exceção dos dados de faturação, caso tenha existido um pagamento, que só são eliminados findo o prazo legal.
[↑ Topo]
11. Os funcionários docentes e não docentes têm perguntado qual a necessidade de recolher os seus dados pessoais?
Todos os dados pessoais recolhidos pelas unidades orgânicas do IPB são obrigatórios no âmbito do emprego na função pública.
[↑ Topo]
12. Qual o procedimento quando se tomar conhecimento de que os dados que foram recolhidos e tratados estão na posse de terceiros?
O RGPD tem medidas muito claras relativamente a estes casos. Existem prazos para comunicar ao Encarregado da Proteção de Dados, que terá que informar a Comissão Nacional de Proteção de Dados num máximo de 72h após a tomada de conhecimento de que os dados foram comprometidos. Se a quebra poder afetar significativamente o titular dos dados, poderá ser necessário informá-lo(s).
[↑ Topo]
13. Que dados é legítimo tratar?
O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
c) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
d) O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros.
O pedido de consentimento deve ser entendido como o último recurso. Ou seja, devem ser sempre solicitados apenas e só os dados estritamente necessários para os tratamentos legítimos sem um pedido de consentimento.
[↑ Topo]
O consentimento terá que ser dado individualmente para cada tratamento de forma explícita e afirmativa.
[↑ Topo]
Sim, mas apenas nos locais indicados para o efeito e com as restrições adequadas. As classificações dos alunos são dados pessoais e por isso não são públicos. No entanto, a bem da transparência, as avaliações podem ser conhecidas pelos colegas de avaliação.
[↑ Topo]
16. Envio regularmente dados pessoais, de alunos, funcionários ou candidatos para entidades exteriores ao IPB, posso continuar a fazê-lo?
Em regra, todas as trocas de dados pessoais com entidades terceiras ao IPB devem ser comunicadas ao Encarregado de Proteção de Dados da Instituição. Há que ter em conta que essa transmissão de dados pessoais é legítima desde que exista uma obrigação legal para o fazer ou tenha obtido autorização dos titulares dos dados para tal. De forma geral os dados pessoais enviados no âmbito de procedimentos de inquérito para fins estatísticos de âmbito nacional (e.g. RAIDES, REBIDES) são obrigatórios por lei, pelo que devem continuar.
[↑ Topo]
17. Posso enviar e-mails para listas de docentes, funcionários e alunos através do e-mail institucional?
Pode. O contrato que possui com alunos, funcionários e docentes permite o seu uso para fins profissionais ou académicos. Tal não é verdade para fins de divulgação de eventos não profissionais ou não académicos.
[↑ Topo]
18. Posso enviar e-mails para listas de e-mail genéricas que possuo na minha instituição?
Pode, mas apenas se tiver o consentimento informado do titular do e-mail.
[↑ Topo]
19. O que fazer para os e-mails que já existem nas listas de e-mails?
Existem várias formas de obter o consentimento informado. Uma das mais comuns é o envio de e-mails solicitando ao titular que confirme que quer receber e-mails para os fins específicos indicados no e-mail. Note-se que devem ser indicados os fins específicos a que se destinam os e-mails a enviar, e.g. divulgação de eventos culturais promovidos pela Instituição, ou divulgação de notícias. Deve também indicar explicitamente que a ausência de resposta deve ser considerada uma não autorização.
[↑ Topo]
20. Posso ter dados pessoais de alunos, funcionários e candidatos no meu computador pessoal?
Sim, desde que seja para o estrito cumprimento das suas funções profissionais. Os dados pessoais dos alunos, funcionários ou candidatos devem permanecer nos computadores pessoais o tempo indispensável à realização da tarefa legítima, após o qual devem ser apagados. Durante o tempo em que permanecem no computador pessoal, o funcionário deve assegurar-se que o seu computador cumpre todas as regras básicas de segurança. Opcionalmente, o utilizador poderá cifrar os ficheiros com dados pessoais.
[↑ Topo]
21. Quais as regras básicas de segurança que devo seguir para assegurar a proteção dos dados pessoais temporariamente armazenados no meu computador pessoal?
Sem prejuízo de outras, devem ser asseguradas as seguintes regras:
A senha de acesso ao computador deve possuir uma dimensão mínima de 8 caracteres, deve ser memorizável, para que não tenha que ser escrita noutro local, mas não deve resultar de uma palavra ou de um conjunto de palavras.
O computador deve possuir todas as atualizações de segurança mais recentes.
Se o computador tiver dados pessoais a sua utilização deve ser restrita a terceiros.
[↑ Topo]