Aprova o Regulamento de Implementação do Regime de Proteção de Dados Pessoais

Despacho 14005/2022

Sumário: Aprova o Regulamento de Implementação do Regime de Proteção de Dados Pessoais.

Ao abrigo do disposto na alínea n) do n.º 1 do artigo 23.º dos Estatutos da Universidade de Évora, publicados pelo Despacho Normativo 7/2021 (2.ª série), de 12 de fevereiro, por meu despacho de 11/11/2022 foi aprovado e posto em vigor o Regulamento de Implementação do Regime de Proteção de Dados Pessoais na Universidade de Évora, que se publica em anexo ao presente despacho.

14/11/2022. - A Reitora da Universidade de Évora, Hermínia Vasconcelos Vilar.

ANEXO

Regulamento de Implementação do Regime de Proteção de Dados Pessoais na Universidade de Évora

Preâmbulo

O Regulamento Geral sobre a Proteção de Dados | Reg (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril (RGPD), conjuntamente com a Lei de Execução (Lei de Proteção de Dados Pessoais, n.º 58/2019, de 8 de agosto: LE) estabelecem o quadro legal fundamental, a que acrescem as orientações administrativas pertinentes (ex. CNPD) quanto ao tratamento de dados pessoais e à sua livre circulação, garantindo todavia a defesa dos direitos e liberdades fundamentais das pessoas singulares.

§ 1.º O presente Regulamento de implementação do regime de proteção de dados pessoais da Universidade de Évora (adiante UÉvora) traduz a consciência de que os dados pessoais são, a um tempo, um mecanismo indispensável de circulação de bens culturais, económicos, etc., e, simultaneamente, um dos bens mais preciosos do planeta, gerando potenciais vulnerabilidades individuais, pelo que se justifica o presente compromisso de responsabilidade e envolvência da instituição em manter o patamar mais elevado de proteção de dados pessoais de acordo com o quadro legislativo vigente de proteção de dados, determinando o envolvimento de toda a comunidade da UÉvora e demais interessados com quem se relaciona, de forma a reforçar os deveres e a responsabilidade ética individual.

§ 2.º Ao abrigo do n.º 3 do artigo 100.º do Código de Procedimento Administrativo é dispensada a audiência dos interessados, verificando-se cada um dos requisitos previstos neste preceito, designadamente a urgência perante o início do atual ano letivo e estando em causa direitos, liberdades e garantias.

§ 3.º Foi ouvido o Conselho de Segurança da Informação e Proteção de Dados Pessoais da UÉvora.

CAPÍTULO I

Disposições gerais

Artigo 1.º

Finalidade

1 - A UÉvora recolhe e procede ao tratamento de dados pessoais para fins consequentes com a sua missão (cf. artigo 2.º RJIES), designadamente de gestão, administração, ensino e investigação, no exercício das suas funções de interesse público.

2 - A UÉvora compromete-se em zelar pela proteção de dados pessoais de cada um dos que integram a sua comunidade universitária tal como dos demais titulares de dados que com ela se relacionem, vg. fornecedores, parceiros.

3 - O presente Regulamento de implementação do regime de proteção de dados pessoais (adiante designada apenas por Regulamento) visa concretizar o respeito da UÉvora pelo quadro legal e ético da privacidade e pela segurança e proteção de dados pessoais.

Artigo 2.º

Conceitos

1 - Para efeitos de interpretação da presente Regulamento, utilizam-se os seguintes conceitos:

a) Dados Pessoais - Informação relativa a uma pessoa singular identificada ou identificável ("Titular dos Dados"), direta ou indiretamente, por referência a um identificador, como seja o nome, número de identificação, dados de localização, identificadores por via eletrónica ou elementos específicos da identidade física, fisiológica, económica, cultural, ou social;

b) Tratamento de Dados Pessoais - Operação ou conjunto de operações efetuadas sobre Dados Pessoais por meios automatizados ou não automatizados, tais como: recolha, registo, estruturação, conservação, alteração, recuperação, consulta, utilização, divulgação por qualquer forma de difusão, limitação, apagamento ou destruição;

c) Dados Pessoais Sensíveis - as categorias especiais de dados são aquelas que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos que identifiquem uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa;

d) Os dados de natureza altamente pessoal são aqueles ligados a atividades privadas ou familiares (tais como comunicações eletrónicas cuja confidencialidade deve ser protegida) ou porque afetam o exercício de um direito fundamental (tais como dados de localização cuja recolha põe em causa a liberdade de circulação) ou porque a sua violação implica claramente que a vida quotidiana do titular dos dados pode ser gravemente afetada (tais como dados que possam ser utilizados numa fraude de pagamentos);

e) Responsável pelo Tratamento - Na UÉvora é o dirigente máximo quem determina as finalidades e os meios de tratamento de dados pessoais, no quadro da legislação aplicável;

f) Responsável concreto pelo tratamento - A pessoa que material e responsavelmente processa os dados, independentemente de ter sido incumbida para o efeito;

g) Titular dos Dados - Qualquer pessoa singular identificada ou identificável que integre a comunidade da UÉvora ou que com ela se relacione;

h) Subcontratante - Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do Responsável pelo Tratamento destes;

i) Consentimento - A manifestação de vontade esclarecida, livre, específica e explícita, pela qual o titular dos dados aceita inequivocamente que os dados pessoais que lhe dizem respeito sejam objeto de tratamento, em vista de um benefício, dever ou risco que aceite;

j) Recusa - A manifestação de vontade, total ou parcial, de repúdio pelo tratamento dos seus dados pessoais, incluindo a revogação do consentimento prestado. A demonstração da recusa cabe ao Titular dos Dados, mas o respetivo registo deve ser viabilizado pela UÉvora;

k) Trabalhador(es) - Qualquer dirigente, docente, investigador, trabalhador contratado, aqui se incluindo o colaborador em regime de prestação de serviços;

l) Violação de dados - quando de forma não autorizada, acidental ou ilicitamente, se destruam ou difundam dados pessoais.

2 - Serão ainda utilizadas as seguintes abreviações ou acrónimos:

a) RGPD - O Regulamento Geral de Proteção de Dados, Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016;

b) LE - Lei de Execução do RGPD - A Lei 58/2019, de 8 de agosto (Lei de Proteção de Dados Pessoais: LPDP;

c) EPD-UÉvora - O Encarregado de Proteção de Dados da UÉvora;

d) CNPD - Comissão Nacional de Proteção de Dados;

e) CoSIPDP|UÉ - Conselho de Segurança da Informação e Proteção de Dados Pessoais da Universidade de Évora;

f) CÉt - Comissão de Ética da UÉvora;

g) RT - Responsável pelo Tratamento de Dados.

Artigo 3.º

Âmbito de aplicação

1 - O presente Regulamento aplica-se a todas as pessoas singulares da comunidade UÉvora (dirigentes, docentes, investigadores, trabalhadores, bem como estudantes de ciclos de estudos da UÉvora que, nesse âmbito, elaborem trabalhos ou tarefas) que possam vir a tratar ou ser submetidos ao tratamento de dados pessoais.

2 - Destina-se também a dar a conhecer a todos os estudantes, fornecedores/prestadores de serviços, parceiros da UÉvora e demais interessados, a necessidade de estabelecer um compromisso recíproco no sentido de se adotarem responsavelmente procedimentos de segurança no respetivo tratamento de dados pessoais.

3 - A UÉvora atualizará o presente Regulamento sempre que necessário.

Artigo 4.º

Objetivos

1 - O objetivo do Regulamento é contribuir para manter o mais elevado nível de proteção dos dados pessoais e de segurança da informação, designadamente na utilização das plataformas e dos arquivos, no recurso aos serviços determinando a necessidade de respeito pela estrita confidencialidade dos dados pessoais.

2 - A existência deste Regulamento pressupõe a sua consulta regular por parte de todos os que exerçam alguma atividade que implique o tratamento de dados pessoais, cumprindo-o e fazendo-o cumprir.

Artigo 5.º

Responsável pelo Tratamento e Responsável Concreto pelo Tratamento

1 - O cumprimento das regras de proteção de dados é uma atribuição do Responsável pelo Tratamento, que deverá institucionalmente assegurar e comprovar que o tratamento de dados pessoais é realizado em conformidade com a legislação de proteção de dados.

2 - O RT da UÉvora, é o dirigente máximo da instituição, com sede no Largo dos Colegiais, n.º 2, 7004-516 Évora, cabendo-lhe determinar a segurança de informação, as finalidades e os meios de tratamento de dados pessoais.

3 - Quando a UÉvora determinar em conjunto com outras entidades ou indivíduos as finalidades e meios de um tratamento, ambos são responsáveis conjuntos pelo tratamento, caso em que determinarão, por acordo entre si e de modo transparente, as respetivas responsabilidades em cumprimento do RGPD.

4 - A pessoa ou entidade que pratique materialmente atos ou atividades de tratamento é o Responsável Concreto pelo Tratamento, e deve proceder de acordo com o quadro das suas atribuições e competências ou no quadro da declaração de conformidade que obtenha, mercê solicitação fundamentada.

Artigo 6.º

Tratamento de dados pessoais de forma ética e lícita

A UÉvora trata os dados pessoais com respeito pelos princípios éticos e ponderando as orientações comuns oriundas da CNPD, tendo em vista o objetivo permanente de conformidade e adequação com os direitos individuais, nos limites dos melhores requisitos técnicos do suporte de informação disponíveis.

Artigo 7.º

Encarregado De Proteção De Dados

1 - A UÉvora designou um EPD-UÉvora a quem apoia e assegura as condições para que possa desempenhar as suas funções com autonomia e independência. O EPD-UÉvora não recebe instruções relativamente ao respetivo exercício funcional, reportando diretamente ao RT.

2 - A UÉvora fornece os recursos necessários ao desempenho das funções do EPD-UÉvora e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.

3 - Ao EPD-UÉvora cabe-lhe entre as funções previstas na legislação aplicável: i) Controlar a conformidade do tratamento de dados com o quadro legal vigente, suscitar auditorias, solicitar avaliações de impacto; ii) Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD, Lei de Execução do RGPD e demais legislação nacional ou orientações oficiais em matéria de proteção de dados; iii) Informar e aconselhar os membros da comunidade da UÉvora, ou as entidades subcontratadas, que tratem dados pessoais sobre o respeito pelas suas obrigações no âmbito da proteção de dados; iv) Cooperar com a CNPD e atuar como ponto de contacto dessa entidade sobre questões relacionadas com o tratamento de dados.

4 - A autonomia do EPD-UÉvora, incluindo o controlo da conformidade, é circunscrita às suas funções e decorre da lei; a UÉvora e os da sua comunidade permanecem responsáveis pelo cumprimento da regulamentação de proteção de dados, devendo todos comprovar esse cumprimento.

5 - Os titulares dos dados podem contactar o EPD-UÉvora sobre as questões relacionadas com o tratamento dos dados pessoais e com o exercício dos direitos e deveres que lhe são conferidos pelo RGPD.

6 - O EPD-UÉvora está vinculado a especiais obrigações de sigilo e de confidencialidade no exercício das suas funções, demonstrando que, exercendo outras, estas não resultam em conflito de interesses.

7 - A UÉvora criou um Conselho de Segurança da Informação e Proteção de Dados Pessoais onde estão representadas as várias Unidades Orgânicas e que, entre outras, avultam a de viabilizar uma difusão dos conteúdos do presente regulamento para os procedimentos materiais específicos das áreas das suas unidades, tal como monitorizar e de reportar os quadros de factos suscetíveis de merecerem a intervenção da Equipa de Segurança da Informação e Proteção de Dados (esclarecimentos, formação tópica, declarações de conformidade, etc.).

Artigo 8.º

Equipa de Segurança da Informação e de Proteção de Dados

1 - A UÉvora pode constituir uma equipa de apoio para a segurança da informação e proteção de dados.

2 - A equipa inclui, preferencialmente, os seguintes membros, entre outros que venham a ser necessários: i) O Encarregado de Proteção de Dados do UÉvora; ii) Um especialista em segurança da informação; iii) Um vogal com atribuições administrativas, designadamente ao nível do processamento da plataforma de SIPD; iv) Jurista e/ou informático com conhecimentos especializados em segurança da informação e proteção de dados.

3 - Os membros da equipa colaboram reciprocamente sob supervisão do RT na articulação e/ou consulta para a realização de tarefas no âmbito da proteção de dados, podendo solicitar esclarecimentos (e serem solicitados pelos) aos Conselheiros do CoSIPDP|UÉ.

Artigo 9.º

Fundamentos legais para o tratamento de dados pessoais

1 - A UÉvora trata dados pessoais para a prossecução das atividades inerentes à sua missão enquanto instituição de ensino superior. Assim ocorrerá, com respeito pela proporcionalidade e minimização: i) Sempre que for necessário para o cumprimento de uma obrigação jurídica, para o exercício de funções de interesse público ou da autoridade pública em que está investida; ii) Mercê da necessidade para a execução de um contrato no qual o titular dos dados é parte ou para diligências pré-contratuais a pedido do titular dos dados; iii) Quando o tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular; iv) Quando o titular dos dados tiver dado o seu consentimento com base numa inequívoca vontade esclarecida para o tratamento dos seus dados pessoais para uma ou mais finalidades.

2 - Sempre que o tratamento de dados tido por necessário puder entrar em conflito com os interesses legítimos, interesses, direitos e liberdades fundamentais do titular que suscitem complexidade interpretativa sobre a prevalência a atender, recomenda-se a consulta prévia ao EPD-UÉvora.

Artigo 10.º

Controlo rigoroso de dados sensíveis

1 - Quando a UÉvora proceder ao tratamento de dados sensíveis, incluindo categorias especiais de dados e dados de natureza altamente pessoal, fá-lo-á cumprindo estritamente o princípio da minimização de dados, de acordo com o quadro legal aplicável ao caso concreto.

2 - O tratamento de categorias especiais de dados pessoais, de dados sensíveis (ver conceito supra) é apenas possível no quadro excecional que resulta do artigo 9.º do RGPD, em que, ainda assim, opta-se pela utilização preferencial (concomitante) do consentimento esclarecido prévio dos seus titulares.

3 - Considerando riscos acrescidos no tratamento de categorias especiais de dados, os tratamentos de dados desta natureza, quando da iniciativa das unidades funcionais são previamente articulados (e ou reiterados) com a Reitoria e o EPD-UÉvora.

4 - Em contexto de investigação científica o(s) investigador(es) deve(m) submeter igualmente os seus projetos à Comissão de Ética da UÉvora, e, tendo dúvidas sobre as plataformas informáticas que vão utilizar ao técnico informático da SIPD.

CAPÍTULO II

Princípios que regem o tratamento de dados pessoais

Artigo 11.º

Licitude do tratamento e prestação de informação ao titular de dados

1 - Ao tratar dados pessoais a UÉvora garante que o tratamento respeita fundamentos legais (princípio da licitude).

§ único.- O Responsável Concreto pelo Tratamento de Dados deve providenciar a obtenção de uma declaração de Conformidade mediante projeto de tratamento fundamentado e mecanismos de esclarecimentos, eventual obtenção de consentimento e ainda de manifestação de recusa ulterior, para o tratamento pretendido.

2 - O Responsável pelo Tratamento deve facultar (ou determinar ao Responsável Concreto que o faça) aos titulares de dados informações sobre o tratamento a realizar (princípios da lealdade e transparência):

a) A informação aos titulares dos dados resulta de pedidos específicos, eventualmente, em termos gerais e abstratos, constará de "Avisos de Privacidade" ou, no caso de tratamento de dados em projetos de investigação científica, requer pareceres de conformidade através da apreciação de "Fichas de Informação ao Participante.", ou em qualquer circunstância em que se tratem dados de atividades avulsas;

b) A informação a facultar inclui a identificação da UÉvora como Responsável pelo Tratamento, a disponibilização de um contacto institucional do Responsável Concreto pelo Tratamento da UÉvora a quem incumbe a comunicação com os titulares de dados, os contactos do EPD-UÉvora, as finalidades e o fundamento legal do tratamento, a identificação dos direitos dos titulares de dados, o prazo de conservação dos dados pessoais ou os critérios usados para definir esse prazo, entre outras informações previstas nos artigos 13.º e 14.º do RGPD;

c) O dever de recolher informação sobre o regime de proteção de dados incumbe pessoalmente ao(aos) Responsável Concreto pelo Tratamento.

Artigo 12.º

Finalidade do Tratamento

1 - A UÉvora recolhe dados pessoais para finalidades determinadas, explícitas e legítimas; os dados recolhidos para uma finalidade específica não são utilizados posteriormente para uma finalidade incompatível com a inicial (princípio da limitação das finalidades), exceto nos casos em que obtenha o meta-consentimento do Titular dos Dados para esse objetivo colateral, informando-o e facultando o exercício da hipótese de recusa.

2 - O tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, devendo, em qualquer caso, respeitar os padrões éticos e de privacidade dos participantes em trabalhos de investigação e outras eventuais orientações da UÉvora relativas ao tratamento de dados em contexto de investigação científica.

Artigo 13.º

Minimização de Dados

Os dados pessoais tratados pela UÉvora são adequados, relevantes e limitados ao necessário em relação à finalidade para a qual são tratados.

Artigo 14.º

Exatidão

1 - Os dados pessoais devem ser exatos e atualizados (princípio da exatidão). Os titulares de dados devem notificar os Serviços da UÉvora de qualquer alteração, retificação ou atualização.

2 - Os contactos para pedidos de atualização estão contidos nos Avisos de Privacidade ou, no caso de atividades de investigação científica, nas Fichas de Informação ao Participante, podendo ainda serem facultados pelos Conselheiros do CoSIPDP|UÉ.

Artigo 15.º

Conservação de Dados Pessoais e Prazos de Retenção

1 - Os dados pessoais são mantidos apenas durante o tempo necessário para as finalidades do tratamento ou os que sirvam os propósitos de benefício do Titular dos Dados ou os objetivos da missão da UÉvora (princípio da limitação da conservação).

2 - O apagamento ou a destruição deve, na medida do possível, ser comunicada ao interessado ou a quem detenha interesse legítimo que fundamente a entrega dos dados.

3 - Os dados pessoais podem ser conservados durante períodos mais longos, desde que cumpram finalidades exclusivamente estatísticas, de investigação científica ou histórica, assegurados os padrões éticos e de privacidade dos participantes em trabalhos de investigação e outras eventuais orientações da UÉvora relativas ao tratamento de dados em contexto de investigação científica (ouvidos os interessados, CoSIPDP|UÉ, Comissão de Ética ou quem a RT entenda conveniente).

4 - Quando exista regulamento legal de retenção aplicável, os dados pessoais serão retidos pelo período legalmente previsto.

Artigo 16.º

Segurança e Confidencialidade

1 - A UÉvora trata os dados pessoais de maneira a garantir a sua segurança e confidencialidade, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando-se as medidas técnicas e organizativas adequadas ao risco de cada operação de tratamento (princípios da integridade e confidencialidade).

2 - Nessas medidas incluem-se, entre outras, aquelas que confiram a capacidade de assegurar a eficácia e a resiliência permanentes dos sistemas e dos serviços de tratamento e o acesso com respeito pela Lei de Acesso aos Documentos Administrativos.

3 - Os trabalhadores e os estudantes da UÉvora deverão respeitar a obrigação de sigilo e confidencialidade aqui prevista, não revelando os dados pessoais, de que tenham conhecimento (ex.: nos trabalhos académicos), a terceiros, sem a devida autorização.

4 - Os Registos manuais de dados pessoais são conservados a recato do acesso por pessoal não autorizado e não podem ser transportados para fora das instalações da UÉvora onde se encontram sem autorização escrita explícita, articulando-se os serviços na partilha pontual necessária com respeito pela confidencialidade, documentação e adequação.

5 - De uma forma geral, os dados pessoais são mantidos: i) Em sala fechada com acesso controlado; e/ou ii) Em gaveta ou em armário de arquivo fechados; iii) Quando disponibilizados a quem demonstre interesse legítimo na respetiva consulta serão barrados os dados pessoais de terceiros que neles estejam mencionados (consulta ao Conselheiro correspondente do CoSIPDP|UÉ); iv) Cautelas análogas serão adotadas para a Segurança da Informação em espaços físicos (ouvido o Conselheiro CoSIPDP|UÉ e/ou EPD).

6 - Quando informatizados, os dados pessoais são protegidos por medidas técnicas e organizativas adequadas a assegurar o maior nível de segurança possível adequado ao risco inerente de destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados.

7 - A identificação dos serviços ou colaboradores com acesso a dados pessoais é documentada no registo de atividades de tratamento (SIPD).

8 - A implementação de autorizações de acesso no sistema de informação realiza-se através de configuração das respetivas permissões, de acordo com a informação de acesso documentada no registo de atividades de tratamento.

9 - O acesso de terceiros a dados pessoais detidos pela UÉvora decorre de um interesse legítimo, previsão legal ou contratual e/ou consentimento, mercê da existência de compromisso (cláusula escrita) de confidencialidade prevenindo a garantia de proteção dos dados pessoais, eventualmente com respeito pela pseudonimização aludida no n.º 5, iii) do presente artigo e eventual autorização assente em declaração de conformidade.

10 - Em caso de dúvida sobre a legitimidade de terceiro para aceder a dados pessoais detidos pela UÉvora os serviços consultam previamente a Reitoria e/ou solicitam aconselhamento junto do EPD-UÉvora.

Artigo 17.º

Responsabilidade demonstrada

1 - Como Responsável pelo Tratamento, a UÉvora não é apenas responsável por garantir a conformidade com os princípios atrás enunciados, mas por demonstrar que cada operação de tratamento cumpre os referidos princípios (princípio da responsabilidade).

2 - Também os trabalhadores, fornecedores e parceiros da UÉvora que utilizem dados pessoais são individualmente responsáveis pelo cumprimento das disposições legais e regulamentares aplicáveis, enquanto Responsáveis Concretos pelo Tratamento.

3 - As dúvidas existentes a respeito da Segurança da Informação e da Proteção de Dados devem ser reportadas ao Conselheiro da CoSIPDP|UÉ e/ou SIPD para os esclarecimentos necessários ou adequados.

4 - O incumprimento das obrigações decorrentes dos deveres de SIPD deve ser reportado à Reitoria e ao EPD-UÉvora para fins de adoção das medidas corretivas e de alerta (notificação à CNPD), tal como para apuramento de responsabilidades: disciplinar, civil e penal.

Artigo 18.º

Proteção de dados pessoais desde a conceção e por defeito

1 - Na conceção de novos processos de tratamento, a UÉvora assume o compromisso de utilizar os princípios da proteção de dados desde a sua conceção e por defeito.

2 - Aos novos tratamentos aplicam-se, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas e eficazes à proteção de dados pessoais e ainda as medidas que assegurem, por defeito, que só sejam tratados os dados pessoais necessários para cada finalidade específica legitimamente pretendida.

Artigo 19.º

Consentimento

1 - O "consentimento" esclarecido do titular dos dados decorre subsidiariamente dos casos em que o tratamento dos dados não seja necessário à UÉvora (legal ou contratualmente), que, todavia, mesmo nestes casos, o encara como procedimento pedagógico cautelar para a salvaguarda dos direitos individuais.

2 - O consentimento obtido deficientemente é inválido e ilícito.

3 - A recusa, sempre que justificada, pode ser prévia ou revogatória, caso este em que a UÉvora suspende o tratamento dos dados, com as consequências inerentes (sem comprometer o tratamento e difusão já processada, o que será objeto de esclarecimento).

Artigo 20.º

Respeito pelos direitos dos Titulares de Dados

1 - Qualquer pessoa da Comunidade da UÉvora, ou colaborador, pode, em relação aos dados pessoais, pedir o respetivo acesso inteirando-se dos mesmos e sobre as divulgações (obrigatórias ou autorizadas); tem o dever de os atualizar ou pedir retificações; pode opor-se a tratamentos desproporcionais, limitar ou apagar os que sejam suscetíveis de o ser.

2 - Ser informado e prestar consentimento eficaz sobre os mecanismos de tomada de decisão e divulgação automatizados que o afetem concretamente, designadamente para a execução de contratos com a UÉvora ou apurar as autorizações decorrentes do direito nacional ou comunitário.

3 - O acesso aos dados pessoais é estruturado e a faculdade de transmitir esses dados a outra entidade decorre da lei, execução de contrato ou consentimento do titular.

4 - O titular pode solicitar esclarecimentos ou apresentar uma reclamação à UÉvora sobre o tratamento realizado sobre os seus dados pessoais diretamente ao EPD-UÉvora ou diretamente à CNPD.

§ único. - A consulta ao EPD-UÉvora é feita através dos seguintes contactos:

Encarregado de Proteção de Dados da UÉvora

Largo dos Colegiais, n.º 2, 7004-516 Évora

Endereço de e-mail: epd@uevora.pt

Artigo 21.º

Avaliação de impacto na Proteção de Dados (AIPD)

1 - Os novos tratamentos de dados que possam implicar um elevado risco - dada a sua natureza, âmbito, contexto e finalidades - para os direitos e liberdades dos titulares dos dados pessoais, são sujeitos a uma Avaliação de Impacto na Proteção de Dados Pessoais (AIPD), cf. artigo 35.º do RGPD.

2 - A AIPD visa identificar riscos e mitigá-los com garantias adequadas; a AIPD é particularmente importante quando se introduz uma nova tecnologia.

3 - Uma AIPD é obrigatória quando exista: i) uma avaliação sistemática de dados pessoais baseados em tratamento automatizado; ii) operações de tratamento em grande escala de categorias especiais de dados pessoais; iii) controlo sistemático de zonas acessíveis ao público; iv) quando conste na lista da CNPD de tratamentos de dados pessoais sujeitos a AIPD (Regulamento CNPD n.º 798/2018).

4 - A UÉvora assume o compromisso de: i) determinar a necessidade de se efetuar uma AIPD, e as medidas resultantes da avaliação, a adotar em cada caso face à natureza, contexto e finalidades de um novo tratamento quanto à segurança, confidencialidade e tempo de guarda dos dados pessoais; ii) considerar as orientações institucionais sobre as AIPDs e os critérios aí sugeridos, cf. CNPD e Grupo de Trabalho do artigo 29.º RGPD.

5 - Compete à UÉvora garantir a realização da AIPD, podendo ser efetuada pelo Responsável Concreto pelo Tratamento da UÉvora ou por subcontratação, envolvendo o EPD-UÉvora e documentando o respetivo parecer do EPD-UÉvora e as decisões tomadas pelo RT.

Artigo 22.º

Divulgação de dados pessoais

1 - A UÉvora, enquanto Responsável pelo Tratamento, pode divulgar os dados pessoais para finalidades legítimas às categorias específicas de destinatários, nomeadamente, autoridades públicas, subcontratantes, prestadores de serviços e parceiros, com legitimidade legal inequívoca.

2 - Ao transferir dados pessoais, a UÉvora exige o compromisso expresso de que os destinatários cumprem o RGPD (inserção de cláusula contratual), devendo pseudonomizar os dados pessoais que se mostrarem desadequados difundir.

3 - O tratamento de dados pessoais em subcontratação é regulado por contrato. A UÉvora recorrerá a subcontratantes que apresentem e assumam responsavelmente deter medidas técnicas e organizativas adequadas em conformidade com o quadro legal quanto a segurança da informação e proteção de dados, sob pena de a deficiência justificar por si a cessação do contrato.

Artigo 23.º

Transferência de dados pessoais para países terceiros

A transferência, arquivo ou tratamento de dados pessoais num país diferente é realizada de acordo com os requisitos do RGPD, pelo que a transferência dos dados pessoais para país fora do Espaço Económico Europeu (EEE), exige garantias legais ou contratuais adequadas sob tutela da Comissão Europeia e eventual comunicação à CNPD, e, claro, consentimentos esclarecidos dos visados.

Artigo 24.º

Utilização de imagens pessoais

1 - A UÉvora pode recolher e/ou publicar imagens nas seguintes situações e com as seguintes bases legais:

a) Consentimento do titular de dados [artigo 6.º, n.º 1, alínea a) do RGPD]:

i) Reportagens relativas a iniciativas ou eventos com inscrição prévia, tais como, conferências, acontecimentos sociais, Open Days, promoção dos vários cursos, escolas e departamentos, visitas a escolas, Futurália, feiras internacionais, entre outros;

ii) A recolha e divulgação de imagem e voz de oradores em eventos, quer sejam eventos abertos e com inscrição prévia ou não, requer consentimento dos titulares de dados;

b) Interesses legítimos [artigo 6.º, n.º 1, alínea f) do RGPD], sem prejuízo do direito de oposição:

i) Divulgação externa do corpo docente, equipas de investigação (sítio web);

ii) Identificação interna de trabalhadores e estudantes (SIIUE e outras plataformas internas);

iii) Reportagens em locais ou eventos sem inscrição prévia, de acesso público, desde que os participantes sejam previamente informados sobre a recolha e possibilidade de divulgação de imagens.

2 - O responsável de cada serviço, ouvido o Conselheiro do CoSIPDP|UÉ, presta esclarecimentos sobre os mecanismos inerentes à recolha e difusão, obterá consentimento e explicará os limites da recusa e apagamento, assegurando que o tratamento de imagem é efetuado de acordo com o princípio da minimização, de acordo com o quadro legal em referência.

Artigo 25.º

Correio eletrónico, listas institucionais e inquéritos

1 - Em regra, os trabalhadores e estudantes têm um endereço de correio eletrónico (e-mail) institucional, criado pela UÉvora (relativo a um domínio uevora), para a correspondência académica e divulgação de missão.

2 - A correspondência de correio eletrónico relativa a assuntos académicos, entre trabalhadores e entre trabalhadores e unidades funcionais, é realizada preferencialmente e sempre que solicitado, através dos endereços institucionais.

3 - A Comissão de Ética será ouvida sobre a criação de regras de conduta específicas no que concerne à utilização de correspondência eletrónica, utilização de plataformas informáticas, recurso a e-learning, cuidados na proteção da imagem e contexto na utilização zoom ou análogas.

Artigo 26.º

Aplicação de inquéritos à comunidade UÉvora

1 - A comunidade da UÉvora representa um universo relevante e útil para realizar inquéritos de interesse para a instituição, seja no âmbito da gestão e administração da instituição, ou de projetos de investigação científica, (ex. teses de doutoramento ou dissertações de mestrado).

2 - A distribuição de inquéritos por correspondência para os membros da comunidade é realizada com fundamento legal ou decisão de conformidade em vista do tratamento necessário ou útil para a prossecução de interesses legítimos, funções de interesse público, científico ou pedagógico ou exercício de autoridade em que está investida a UÉvora.

§ único.- De todo o modo, a recolha de dados pessoais ou informações sobre as pessoas, carecem sempre de esclarecimento sobre os procedimentos, finalidades, adequação, conservação e destruição dos dados, consentimento dos titulares de dados, recusa e apagamento. Em regra, estes requisitos integram o pedido da declaração de conformidade e/ou são objeto da fundamentação da sua desnecessidade.

3 - Os inquéritos são tutelados ou conduzidos por órgãos e serviços da UÉvora, tais como a Reitoria, Conselho Geral, Conselhos Pedagógicos ou Científicos, Serviços de Ação Social, Unidades Orgânicas, ouvidos os conselheiros do CoSIPDP|UÉ e a Comissão de Ética.

4 - Os critérios para a distribuição de inquéritos à população estudantil e comunidade UÉvora são definidos pela Reitoria que, entre o mais, aferirá um sistema para obtenção/retirada de consentimento dos visados e respetiva proteção da liberdade e privacidade.

Artigo 27.º

Comunicação de falha de segurança ou violação de dados pessoais

1 - Todos têm a obrigação de comunicar à Reitoria e ao EPD-UÉvora violações potenciais ou reais de dados pessoais, designadamente, incidentes de segurança que, acidental ou ilicitamente, arrisquem a destruição, perda, alteração, divulgação ou acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento que caibam nas relações com a UÉvora.

2 - Tal comunicação gera o dever de: i) Investigar a falha e tomar medidas corretivas, se necessário; ii) Manter um registo de falhas de cumprimento; iii) notificar, se necessário, a autoridade de controlo no prazo legalmente aplicável.

Artigo 28.º

Responsabilidades e competências

Os dirigentes dos serviços ficam incumbidos de zelar pela observância das disposições deste Regulamento, especialmente junto dos trabalhadores que devem igualmente inteirar-se e respeitar escrupulosamente os direitos e deveres que decorrem deste Regulamento.

Artigo 29.º

Formação

1 - A UÉvora promove sessões formativas sobre a matéria da segurança da informação e proteção de dados em articulação com SIPD | EPD-UÉvora.

2 - É prestada formação adicional sempre que houver uma alteração substancial na legislação aplicável ou neste Regulamento.

Artigo 30.º

Incumprimento

O incumprimento dos deveres decorrentes do presente Regulamento, ainda que negligente, acarreta consequências disciplinares aos trabalhadores nos termos da legislação laboral aplicável, ou a estudantes.

Artigo 31.º

Entrada em vigor

O presente Regulamento entra em vigor no dia seguinte à sua publicação no Diário da República.

315882524

Este documento liga aos seguintes documentos (apenas ligações para documentos da Serie I do DR):

• 2019-08-08 - Lei 58/2019 - Assembleia da República

  Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados