Aprovação do Código de Conduta para o Tratamento de Dados Pessoais da Escola Superior Náutica Infante D. Henrique.

Despacho 5316/2024



A Escola Superior Náutica Infante D. Henrique (ENIDH), é uma instituição pública de ensino superior politécnico, com autonomia estatutária, científica, pedagógica, administrativa, financeira, patrimonial e disciplinar. Consciente das suas atribuições, é reconhecida a necessidade de garantir a segurança dos dados pessoais que trata, garantindo-se a proteção da privacidade dos respetivos titulares.

Com o início da produção de efeitos no ordenamento jurídico português do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho datado de 27 de abril de 2016 (doravante RGPD), ­relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre ­circulação desses dados, e da Lei 58/2019, de 8 de agosto, que assegura a execução deste Regulamento na ordem jurídica interna, foi necessário rever procedimentos.

Para além dos diplomas referidos, importa também atender às Orientações e Diretrizes da ­Comissão Nacional de Proteção de Dados (CNPD), na implementação das melhores práticas no tratamento de dados pessoais.

O Código de Conduta para o Tratamento de Dados Pessoais da Escola Superior Náutica Infante D. Henrique, elaborado ao abrigo do disposto no artigo 40.º do RGPD, aplica-se a todos os Colaboradores, aqui se integrando o pessoal docente e não docente.

As disposições deste Código aplicam-se ainda às relações mantidas com todas as entidades ­terceiras e subcontratantes, que de alguma forma tratem dados pessoais em nome e por conta da ENIDH, que será sempre a Responsável pelo tratamento.

O Código de Conduta aplica-se a todos os tratamentos de dados pessoais, sejam estes automatizados ou não automatizados.

Assim, e depois de realizada a Consulta Pública a que alude o artigo 110.º , n.º 3, do Regime Jurídico das Instituições de Ensino Superior, aprovado pela Lei 62/2007, de 10 de setembro, determino, ao abrigo do disposto na alínea l) do n.º 1 do artigo 39.º dos Estatutos da Escola Superior Náutica Infante D. Henrique, aprovados pelo Despacho Normativo 16/2021, de 17 de junho, de Suas Ex.^as, os Ministros da Ciência, Tecnologia e Ensino Superior a 28 de abril de 2021, das Infraestruturas e da Habitação a 4 de maio de 2021 e do Mar a 3 de maio de 2021, publicado no Jornal Oficial, o Diário da República, 2.ª série, n.º 116 de 17 de junho, o seguinte:

1 - É aprovado o Código de Conduta para o Tratamento de Dados Pessoais da Escola Superior Náutica Infante D. Henrique, constante do anexo ao presente despacho e que dele passa a fazer parte integrante;

2 - O presente Código entra em vigor no dia seguinte ao da sua publicação no Diário da República.

ANEXO

Código de Conduta para o Tratamento de Dados Pessoais da Escola Superior Náutica Infante D. Henrique

PARTE I

DISPOSIÇÕES GERAIS

Artigo 1.º

Fontes e hierarquia

1 - De forma não exaustiva, enumeram-se os diplomas legais e institucionais que regulam a matéria do tratamento de dados pessoais, considerados na criação e interpretação do presente Código:

a) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 - relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados - RGPD);

b) Lei 58/2019, de 8 de agosto - Lei que assegura a execução, na ordem jurídica nacional, do RGPD;

c) Lei 46/2012 de 29 de agosto - Regula a proteção de dados pessoais no sector das Comunicações Eletrónicas;

d) Diretriz/2023/1 da CNPD - sobre medidas organizativas e de segurança aplicáveis aos tratamentos de dados pessoais;

e) Diretriz n.º 1/2018 da CNPD - Disponibilização de dados pessoais dos estudantes, dos docentes e demais trabalhadores no sítio da Internet dos estabelecimentos de educação e ensino;

f) Despacho 40/ 2008, de 7 de agosto - Estatutos da Escola Superior Náutica Infante D. Henrique, publicados no Diário da República, 2.ª série, n.º 158, de 18 de agosto de 2008, na sua redação atual dada pelo Despacho Normativo 16/2021, de 17 de junho;

g) Despacho 7792/2022, Regulamento do Funcionamento dos Serviços da Escola Superior Náutica Infante D. Henrique, publicado no Diário da República, 2.ª série, n.º 121, de 24 de junho de 2022;

h) Regulamento 188/2014, de 24 de abril - Prestação de Serviço dos Docentes da Escola Superior Náutica Infante D. Henrique, publicado no Diário da República, 2.ª série, n.º 91, de 13 de maio de 2014;

i) Código de Ética e de Conduta da Escola Superior Náutica Infante D. Henrique - Despacho ­Normativo n.º 1578/2024, de 8 de fevereiro.

2 - Em qualquer operação de tratamento de dados pessoais, em caso de dúvida, deverá ser dada primazia ao RGPD e à Lei de execução nacional, sendo que os restantes instrumentos legislativos ou institucionais apenas se mantêm em vigor em tudo o que não contrarie as regras legais de tratamento de dados pessoais em vigor.

Artigo 2.º

Conceitos

Para efeitos do presente Código e no âmbito do Regulamento Geral de Proteção de Dados e demais legislação, entende-se por:

a) Dados Pessoais: Toda e qualquer informação relacionada com uma pessoa (o titular dos dados), que a identifique ou torne identificável, direta ou indiretamente, em particular, com referência a identificadores como nome, um número de identificação, dados de localização, identificadores online como logins e outras credenciais de acesso, ou, outros fatores, nomeadamente, físicos, psicológicos, genéticos, económicos, culturais ou sociais;

b) Titular de dados pessoais: Pessoa singular cujos dados pessoais são objeto de tratamento pela ENIDH, nomeadamente, ex-Colaboradores, Colaboradores, alunos, ex-alunos, pais/encarregados de educação, associados, comunidade escolar, fornecedores e parceiros;

c) Colaborador: Pessoa singular que se encontra vinculada à ENIDH ao abrigo de contrato de mandato (membros do Conselho de Administração e dos outros órgãos sociais), de contrato de trabalho por tempo indeterminado ou a termo, ou ainda, qualquer prestador de serviços cujo exercício de funções implique uma subordinação, ainda que meramente funcional, com a estrutura organizativa da ENIDH;

d) Tratamento de Dados: A operação ou um conjunto de operações efetuadas sobre dados ­pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a ­recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a ­recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de ­disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

e) Consentimento: Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que determinados dados pessoais que lhe dizem respeito sejam objeto de tratamento;

f) Responsável pelo Tratamento: A pessoa singular ou coletiva, autoridade pública, serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais;

g) Subcontratante: Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais em nome e por conta do responsável pelo tratamento destes;

h) Terceiro: A pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;

i) Dados Sensíveis: Dados pessoais que revelam a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa;

j) Encarregado de Proteção de Dados: Entidade independente e sujeita ao dever de sigilo, nomeada pelo responsável pelo tratamento de dados e cuja função consiste em zelar pelo cumprimento das regras de tratamento de dados pessoais, e garantir a conformidade da atuação da entidade que o nomeou, com as mesmas. O encarregado de proteção de dados relaciona-se com a autoridade nacional de proteção de dados e garante o exercício dos direitos dos titulares dos dados pessoais;

k) Autoridade de Proteção de Dados: A autoridade pública independente com a responsabilidade de controlar e fiscalizar a aplicação e cumprimento da legislação de tratamento e proteção de dados pessoais, assumindo esta função em Portugal a Comissão Nacional de Proteção de Dados (CNPD);

l) Política de Proteção de Dados: Conjunto de ações e medidas fixadas pelo responsável pelo ­tratamento de dados, com o objetivo de avaliar e aplicar as medidas técnicas e organizativas ­necessárias para conferir ao tratamento de dados pessoais um nível de segurança adequado ao risco, incluindo a capacidade para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência dos ­sistemas e serviços de tratamento;

m) Código de conduta: documento destinado a contribuir para a correta aplicação do RGPD, explicitando as medidas técnicas e organizativas adotadas pelo responsável pelo tratamento de dados pessoais;

n) Violação de Dados: Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Artigo 3.º

Princípios

Os princípios que deverão nortear todas as operações de tratamento de dados pessoais são:

a) Princípio do Tratamento Lícito: O tratamento dos dados pessoais é lícito se tiver como fundamento qualquer das situações elencadas no artigo 6.º ou artigo 9.º do RGPD:

i) Se o titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

ii) Se o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;

iii) Se o tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

iv) Se o tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

v) Se o tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

vi) Se o tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança;

vii) Se o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido pelo direito da União ou dos Estados-Membros ou ainda por uma convenção coletiva nos termos do direito dos Estados-Membros que preveja garantias adequadas dos direitos fundamentais e dos interesses do titular dos dados;

viii) Se o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso de o titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento;

ix) Se o tratamento for efetuado, no âmbito das suas atividades legítimas e mediante garantias ­adequadas, por uma fundação, associação ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos, religiosos ou sindicais, e desde que esse tratamento se refira exclusivamente aos membros ou antigos membros desse organismo ou a pessoas que com ele tenham mantido contactos regulares relacionados com os seus objetivos, e que os dados pessoais não sejam divulgados a terceiros sem o consentimento dos seus titulares;

x) Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;

xi) Se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício da sua função jurisdicional;

xii) Se o tratamento for necessário por motivos de interesse público importante, com base no direito da União ou de um Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados;

xiii) Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base no direito da União ou dos Estados-Membros ou por força de um contrato com um profissional de saúde, nos termos da lei;

xiv) Se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou para assegurar um elevado nível de qualidade e de segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos, com base no direito da União ou dos Estados-Membros que preveja medidas adequadas e específicas que salvaguardem os direitos e liberdades do titular dos dados, em particular o sigilo profissional;

xv) Se o tratamento for necessário para fins de arquivo de interesse público, para fins de ­investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.º, n.º 1, com base no direito da União ou de um Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas para a defesa dos direitos fundamentais e dos interesses do titular dos dados;

b) Princípio da Especificação e Limitação da Finalidade: Os dados pessoais apenas podem ser objeto de tratamento para as finalidades que estiveram na base da sua recolha, não podendo ser posteriormente tratados de forma incompatível com essas finalidades, sem consentimento do titular dos dados;

c) Princípio do Tratamento Leal/Transparência: Os titulares dos dados devem ser informados de que os seus dados pessoais são objeto de um tratamento leal e transparente, para finalidades ­determinadas, explícitas e legítimas, de uma forma que garanta a sua segurança. No momento da recolha o titular dos dados deve conhecer ou deve ser informado, entre outros aspetos, da identidade do responsável pelo tratamento dos dados, da finalidade do tratamento, dos fundamentos do tratamento, dos terceiros a quem os dados podem ser transmitidos, ou comunicados, do prazo de conservação dos dados e da forma como poderá exercer os seus direitos;

d) Princípio da Minimização dos Dados: Antes de se proceder ao tratamento dos dados, deve determinar-se quais os dados adequados e pertinentes relativamente às exclusivas finalidades para as quais são tratados. Os dados pessoais não devem ser recolhidos antecipadamente ou armazenados para uso futuro;

e) Princípio da Exatidão dos Dados: Os dados pessoais contidos em ficheiros devem estar ­corretos, completos e atualizados. Devem ser tomadas medidas para assegurar que os dados que estejam desatualizados, incompletos ou incorretos são apagados, corrigidos ou atualizados;

f) Princípio Relativo à Conservação dos Dados: Os dados pessoais devem ser conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados, devendo ser apagados quando essas finalidades são atingidas.

Os dados poderão ser conservados por períodos mais longos, exclusivamente no cumprimento de obrigações legais, de arquivo ou de interesse público.

g) Princípio da Segurança e da Confidencialidade: Atendendo à estrutura técnica, aos custos de implementação, à natureza, ao alcance, ao contexto e às finalidades do tratamento, bem como ao risco para os direitos dos titulares dos dados pessoais, devem ser implementadas as medidas técnicas e organizativas adequadas a garantir a sua segurança, incluindo a proteção contra o tratamento de dados não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental.

Este princípio aplica-se à quantidade de dados recolhidos, à extensão do seu tratamento, ao seu período de armazenamento e à sua acessibilidade.

As medidas implementadas asseguram que, por defeito, os dados pessoais não são acessíveis sem intervenção humana.

O tratamento de dados pessoais encontra-se sujeito a deveres de confidencialidade e de sigilo. O acesso pelos Colaboradores aos dados pessoais tratados pela organização é limitado, sendo concedido acesso apenas na medida em que tal se revele necessário ao desempenho das respetivas funções.

São tomadas medidas de forma a assegurar que os Colaboradores a quem seja dado acesso aos dados pessoais se abstenham de os utilizar para fins diversos, em benefício próprio ou alheio, sob risco de responsabilização disciplinar e/ou criminal.

SECÇÃO I

OBRIGAÇÕES GERAIS RELATIVAS AO TRATAMENTO DOS DADOS PESSOAIS

Artigo 4.º

Direitos dos titulares dos dados

1 - É garantido aos titulares dos dados o exercício dos direitos que estão previstos na ­legislação, nomeadamente o direito de acesso, limitação do tratamento, retificação, oposição, portabilidade e ­apagamento.

2 - O exercício destes direitos não terá custos para os titulares dos dados.

Artigo 5.º

Direito de acesso

1 - É garantido aos titulares dos dados o direito a saber se estão, ou não, a ser tratados dados pessoais que lhes digam respeito.

2 - Sempre que se proceda ao tratamento de dados pessoais, em resposta ao exercício do direito de acesso deverão ser disponibilizadas as seguintes informações:

a) Identidade e contactos do responsável pelo tratamento de dados e do encarregado de proteção de dados;

b) As finalidades do tratamento, bem como o fundamento jurídico;

c) As categorias de dados pessoais em causa;

d) Os destinatários ou categorias de destinatários a quem os dados são divulgados;

e) Os destinatários em países terceiros e quais as salvaguardas implementadas;

f) O período previsto de conservação dos dados pessoais;

g) Quando os dados pessoais não são recolhidos a partir do titular dos dados, todas as informações disponíveis sobre a sua origem;

h) A existência do direito de solicitar acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento, ou do direito de se opor ao tratamento, bem como o direito à portabilidade dos dados;

i) A existência de decisões automatizadas, incluindo a definição de perfis, referida no n.º 1 e n.º 4 do artigo 22.º do RGPD, e pelo menos nesses casos informações úteis quanto à lógica subjacente;

j) O direito de apresentar reclamação à Comissão Nacional de Proteção de Dados.

Artigo 6.º

Dados sensíveis

No âmbito da atividade que desenvolve, a ENIDH está legitimada a tratar dados pessoais sensíveis (origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual) das pessoas singulares com quem se relaciona, nos termos da lei, e sempre garantindo o reforço do dever de sigilo.

Artigo 7.º

Segurança da informação que contenha dados pessoais

1 - Os dados pessoais, comuns ou sensíveis, são protegidos através de medidas técnicas e organizativas adequadas à sua resguarda, nos termos do RGPD.

2 - A informação que contenha dados pessoais deverá ser de acesso limitado, dentro de cada área, aos Colaboradores que necessitam dela ter conhecimento para o adequado desempenho das suas funções.

3 - Os Colaboradores que acedem a informação de dados pessoais deverão abster-se de efetuar quaisquer comentários relativos a essa informação, de modo a não revelar direta ou indiretamente a sua existência ou conteúdo.

4 - A informação deve ser exclusivamente usada para cumprimento das finalidades específicas, legítimas e previamente determinadas pela ENIDH, em respeito das medidas que permitam o adequado controlo do acesso à informação, aos documentos e a outros suportes em que a mesma esteja contida.

5 - Qualquer transmissão de dados pessoais, comuns ou sensíveis, a entidades terceiras, deve ter a garantia de confidencialidade.

6 - Quem tomar conhecimento do facto de alguém não autorizado ter acedido, por qualquer forma, a informação que contenha dados pessoais, deverá imediatamente reportar esse facto ao superior hierárquico ou diretamente ao encarregado de proteção de dados.

Artigo 8.º

Transferência de dados

1 - Qualquer transferência de dados pessoais para um país não pertencente à União Europeia ou organização internacional aí estabelecida, só terá lugar se:

a) O país ou organização em questão assegurar um adequado nível de proteção, nos termos do artigo 45.º do RGPD;

b) Forem adotadas as medidas ou contratos com as salvaguardas necessárias, nos termos do artigo 47.º do RGPD.

2 - O titular dos dados terá conhecimento das transferências de dados pessoais que lhe digam diretamente respeito, no momento da recolha dos dados ou, quando tal não seja possível, antes da realização da transferência.

Artigo 9.º

Uso de imagem

Não é necessário o consentimento da pessoa que seja retratada, quando assim o justifiquem a sua notoriedade, o cargo que desempenhe, exigências de polícia ou de justiça, finalidades científicas, didáticas ou culturais, ou quando a reprodução da imagem vier enquadrada na de lugares públicos, ou na de factos de interesse público ou que hajam decorrido publicamente na ENIDH ou sob a sua organização.

Artigo 10.º

Subcontratação

1 - Sempre que o tratamento de dados pessoais deva ser realizado por um subcontratante, em nome e por conta da ENIDH, apenas se recorrerá a subcontratantes que ofereçam suficientes garantias quanto à implementação as medidas técnicas e organizativas adequadas que assegurem o cumprimento da legislação e garantam a proteção dos dados pessoais.

2 - O recurso a subcontratantes que processem dados pessoais ocorrerá apenas mediante a celebração de contrato que deverá prever, nomeadamente:

a) O objeto e duração do tratamento;

b) A natureza e a finalidade do tratamento;

c) As categorias de dados pessoais;

d) As obrigações do subcontratante;

e) O dever de sigilo do subcontratante e das pessoas que autoriza a tratar os dados pessoais;

f) As medidas de segurança necessárias ao tratamento;

g) As condições em que deverão ser devolvidos ou destruídos os dados em caso de cessação do contrato, por qualquer forma.

3 - O subcontratante apenas poderá recorrer a outro subcontratante com o consentimento prévio e específico por parte da ENIDH.

Artigo 11.º

Responsabilidade pelo cumprimento das regras de tratamento de dados pessoais

1 - Todos os Colaboradores são responsáveis pelo cumprimento das regras de tratamento de dados pessoais, às quais estão obrigatoriamente vinculados e que não podem desconhecer.

2 - Caso um Colaborador, por ação ou omissão, em violação das regras de tratamento de dados pessoais, divulgue, ceda, venda ou exponha, por qualquer meio, qualquer dado pessoal, terá imputada responsabilidade disciplinar.

3 - Para além do previsto no número anterior, o Colaborador será responsabilizado civilmente por coimas ou outras sanções que sejam aplicadas à ENIDH, em resultado da violação das regras de tratamento de dados por si praticada.

Artigo 12.º

Comunicações obrigatórias em caso de violação das regras de tratamento dos dados

1 - Em caso de violação das regras fixadas para o tratamento de dados pessoais, a Comissão Nacional de Proteção de Dados deverá ser notificada, sem demora injustificada e sempre que possível até 72 horas, após a ENIDH ter tido conhecimento da mesma, a menos que a violação de dados não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares.

2 - De igual modo e nos mesmos termos serão notificados os titulares dos dados, sem demora injustificada, e será aberto um processo de averiguações interno para apurar o responsável.

3 - As violações de dados pessoais são documentadas, incluindo os factos relacionados com as mesmas, os respetivos efeitos e as medidas de reparação adotadas.

PARTE II

TRATAMENTO DOS DADOS EM PARTICULAR

SECÇÃO I

PESSOAS SINGULARES EM RELAÇÃO DIRETA COM A ENIDH

Artigo 13.º

Tratamento de dados de candidatos, alunos e ex-alunos (ALUMNI)

1 - No âmbito dos processos de recrutamento e seleção de candidatos, e/ou comunicações relativas a iniciativas de formação ou estágios, estabelecido entre os Candidatos e a ENIDH, por qualquer via, são tratados dados pessoais, tais como: curriculum vitae, nome, idade, data de nascimento, telefone, telemóvel, morada, correio eletrónico, estado civil, habilitações literárias, experiência profissional, certificados de habilitações e de idoneidade, sem prejuízo de outros que venham a revelar-se necessários.

2 - No âmbito da relação contratual estabelecida entre os Alunos e a ENIDH, para a prestação de serviços Educativos, no âmbito da gestão da relação contratual, cumprimento de requisitos legais e regulatórios, e para efeitos de comunicação da ENIDH, para além dos dados da candidatura, são tratados dados pessoais tais como: nacionalidade, documentos de identificação, número de identificação fiscal, número de passaporte ou de autorização de residência (se for caso disso), fotografia, nome dos ascendentes e habilitações literárias, sem prejuízo de outros que venham a revelar-se necessários.

3 - A prestação de serviços educativos impõe o tratamento de dados pessoais necessários à gestão e processamento do percurso académico do aluno/a; gestão de programas de apoio social; gestão do Programa Erasmus +; publicação no website e afixação nas instalações da ENIDH dos horários e pautas de avaliação; agenda de contactos; gestão da Biblioteca; seguro escolar e seguro de acidentes pessoais; envio de newsletters; gravação e uso de imagem e de voz no processo de avaliação; pagamento de propinas e faturação, entre outros que se venham a revelar necessários.

4 - Todos os Ex-alunos (ALUMNI) integram uma base de dados de onde constam: nome, morada, endereço de e-mail, profissão. A finalidade do tratamento destes dados é o envio de newsletters; a informação sobre a vida académica; e finalidades de arquivo histórico.

Artigo 14.º

Tratamento de dados de colaboradores

1 - No âmbito de diligências pré-contratuais, e da gestão da relação contratual estabelecida entre os Colaboradores e a ENIDH, são tratados dados pessoais, tais como: nome, sexo, número de identificação fiscal, número de segurança social ou equivalente, IBAN, número de dependentes, benefícios sociais e outros equivalentes, dados relativos à idoneidade, dados relacionados com medicina e saúde no trabalho, dados derivados de controlos da utilização de equipamentos e sistemas de informação, dados de controlo de assiduidade e pontualidade, fotografia do Colaborador para o cartão de acesso às instalações, sem prejuízo de quaisquer outros que venham a revelar-se necessários.

2 - Na legítima gestão da relação contratual e cumprimento de obrigações legais, atendendo à sua qualidade de entidade empregadora e/ou entidade contratante, a ENIDH procederá à comunicação de dados pessoais dos Colaboradores a entidades terceiras.

SECÇÃO II

REGRAS DE SEGURANÇA DOS MEIOS DE INFORMAÇÃO E COMUNICAÇÃO NA ENIDH

Artigo 15.º

Boas práticas gerais na utilização de meios informáticos

O trabalho com recurso a computadores e a quaisquer outros dispositivos eletrónicos, comporta uma série de riscos que serão minimizados, através do cumprimento de práticas diligentes e zelosas que se impõem a todos os Colaboradores, em permanente atualização, designadamente:

a) Utilizar sempre a rede informática para criação das suas pastas de trabalho, guardando apenas os documentos necessários pelo tempo que for imprescindível;

b) Evitar a utilização de pastas locais;

c) Não utilizar discos externos, nem pens para o trabalho regular, ambos sujeitos a avarias e que podem levar a perda irreversível dos dados;

d) Documentos com dados pessoais devem ser encriptados ou protegidos com pelo menos ­password;

e) O transporte de dados deve ser feito de modo seguro (p. ex. com pens encriptadas);

f) Usar sempre palavras-passe fortes, isto é, imunes a ataques informáticos destinados a descodificá-las, mas fáceis de memorizar:

i) Não ter apenas letras ou apenas números (combinar maiúsculas e minúsculas);

ii) Não ter menos que 8 caracteres;

iii) Não ser um nome ou palavra;

iv) Alterar imediatamente a palavra-passe caso se suspeite ou se saiba que a palavra-passe tenha sido divulgada a terceiros;

v) Manter a palavra-passe confidencial;

vi) Não permitir que terceiros executem qualquer atividade com o Login de um utilizador, bem como, não realizar qualquer atividade com o Login pertencente a outro utilizador;

vii) Alterar a palavra-passe com regularidade;

g) O posto de trabalho só deve ter software licenciado pela ENIDH e autorizado pelo departamento de informática;

h) O uso de equipamentos pessoais só pode ser usado para acesso à internet;

i) O equipamento pessoal utilizado deve ter um antivírus instalado e com atualizações automáticas e o sistema operativo (Windows, Mac OS, Linux, Android, iOS) ter atualizações automáticas - a ENIDH não é responsável legalmente nem tecnicamente por esses equipamentos;

j) Sempre que se ausentar do seu posto de trabalho fazer Logoff ou Lock no Windows;

k) Nunca deixar equipamento próprio (portáteis, telemóveis, pens, documentos, etc.) em locais de acesso público, tais como salas de computadores, biblioteca, cafetaria, nas máquinas fotocopiadoras e outros;

l) Em caso de suspeita de infeção desligar imediatamente o equipamento da corrente (nunca fazer Shutdown) e contactar o departamento de IT;

m) Sair sempre das aplicações ou websites no fim de uma sessão de trabalho em que tenha feito login, no botão "Sair" ou "Logout";

n) Nunca guardar automaticamente login e password nos sistemas e aplicações.

Artigo 16.º

E-mail e Internet

A utilização do e-mail e acesso à Internet, ou outros recursos tecnológicos da ENIDH, postos à disposição dos Colaboradores, tem como objetivo o cumprimento das funções profissionais atribuídas, podendo, com caráter limitado e ocasional, ter uso para fins pessoais, e que não poderá interferir em qualquer circunstância com a atividade da ENIDH, ou com o bom funcionamento dos seus recursos tecnológicos, devendo ser respeitado o estabelecido neste Código no que respeita à segurança de informação, nomeadamente:

a) Garantir a inserção dos endereços de correio eletrónico dos destinatários no campo ‘Bcc’, nos casos de múltiplos destinatários;

b) Assegurar que os ficheiros enviados em anexo contêm apenas os dados pessoais que se pretendem comunicar;

c) Em caso de dúvida, confirmar com o destinatário, antes de envio de e-mail contendo dados pessoais, o endereço de e-mail preferencial para contacto;

d) Nunca abrir sites desconhecidos ou de origem duvidosa;

e) Duvidar sempre de perguntas invasivas e pessoais;

f) Duvidar sempre de websites com ofertas financeiras ou a pedir dados pessoais;

g) Nunca abrir anexos de mensagens de e-mail, a não ser que se identifique claramente a fonte e o conteúdo da mensagem, nem clicar em hiperligações contidas na mensagem de e-mail, exceto se de fonte identificada; se se tratar de um e-mail mal-intencionado e clicar numa hiperligação pode ser executado um programa no seu computador com consequências imprevisíveis;

h) Verificar sempre os endereços de origem e de destino;

i) Nunca enviar palavras-passe, ou outros dados pessoais, em resposta a mensagens de e-mail pedindo dado (prática conhecida por "phishing").

Artigo 17.º

Casos especiais de acesso ao e-mail

1 - Na ausência temporária do Colaborador, a ENIDH poderá, no legítimo exercício das suas atribuições, aceder à sua caixa de correio eletrónico, ou às diretorias de rede.

2 - O Encarregado de Proteção de Dados tem a responsabilidade de garantir que o acesso é efetuado nos termos da lei e de acautelar que não existe violação de qualquer direito do Colaborador, nomeadamente, reserva e confidencialidade das mensagens de natureza pessoal ou acesso a informação de caráter não profissional.

3 - Findo o vínculo contratual, o acesso do utilizador ao E-mail e à rede terminará, exceto se o contrário for previamente acordado com a ENIDH.

Artigo 18.º

Armazenamento de documentos em papel que contenham dados pessoais

O registo de dados pessoais em papel exige a adoção das seguintes medidas:

a) Utilizar papel e impressão que seja durável;

b) Conservar documentação em local com controlo de humidade e temperatura;

c) Armazenar, devidamente organizados, os documentos que contêm dados pessoais sensíveis em local fechado, resistente ao fogo e inundação;

d) Controlar os acessos, permitindo-o apenas a quem tem razão para aceder à informação;

e) Destruir os documentos através de equipamento específico que garanta a destruição segura.

PARTE III

MEDIDAS E PROCEDIMENTOS

Artigo 19.º

Sensibilização e formação em matérias de proteção de dados

A ENIDH acredita que a sensibilização e formação dos seus Colaboradores é essencial para o bom cumprimento das regras e princípios da proteção de dados pessoais, pelo que promoverá periodicamente ações de formação nestas matérias.

As principais práticas ilegais que colocam em causa a segurança tecnológica, são identificadas seguinte forma:

a) Malware são programas informáticos criados com o objetivo de roubar dados, modificar ­programas ou causar danos nos sistemas informáticos afetados. Além dos vírus, incluem muitos outros tipos de ameaças como o ransomware. Trata-se de software criado para tornar ilegível informação guardada em bases de dados ou servidores;

b) Phishing é um crime informático baseado no envio de um e-mail fraudulento com o objetivo de obter dados pessoais ou de negócio. É um e-mail falso, normalmente emitido em nome de uma entidade credível, mas que na realidade só pretende recolher dados ou infetar os sistemas;

c) Vírus são programas maliciosos - malware - que se espalham a outros computadores com o objetivo de permitir acessos ou danificar dados e serviços. Existem diferentes tipos de vírus:

i) O spyware que regista a atividade do utilizador e envia para o atacante;

ii) O adware que ataca o utilizador com publicidade;

iii) O scareware que é um falso alerta de vírus ou problemas informáticos que levam o utilizador a fazer o que lhe pedem, por como exemplo instalar um programa;

d) Ransomware é uma estratégia de resgate suportada por um software de encriptação que ­bloqueia o acesso aos ficheiros ou aos computadores, até que se pague o resgate. Este software encripta os dados com uma chave secreta.

Artigo 20.º

Encarregado de proteção de dados

1 - A ENIDH nomeou um Encarregado de Proteção de Dados, que garante a conformidade da sua atuação com as regras de Proteção de Dados, o exercício dos direitos dos titulares dos dados e a relação com a Comissão Nacional de Proteção de Dados.

2 - Qualquer dúvida quanto às regras de tratamento de dados pessoais deverá ser esclarecida pelos Colaboradores junto do superior hierárquico ou do Encarregado de Proteção de Dados.

PARTE IV

DISPOSIÇÕES FINAIS

Artigo 21.º

Aplicação da política e incumprimento

1 - Todos os Colaboradores da ENIDH têm a obrigação de conhecer o conteúdo do presente Código e das suas atualizações posteriores, sendo que o seu desconhecimento não justifica qualquer tipo de incumprimento.

2 - Os Colaboradores estão obrigados a cumprir o presente Código de Conduta e a colaborar na sua aplicação.

3 - O não cumprimento das regras do tratamento de dados pessoais pode conduzir à instauração de ação disciplinar.

4 - Quaisquer dúvidas que possam subsistir quanto às regras de tratamento de dados pessoais, devem ser prontamente esclarecidas junto do superior hierárquico, ou do Encarregado de Proteção de dados.

Artigo 22.º

Revisão e acompanhamento da política

O presente Código será revisto periodicamente ou sempre que, por força das necessidades decorrentes da atividade da ENIDH, factos, ou alterações legislativas, assim o obriguem.

Artigo 23.º

Comunicação e entrada em vigor

O presente Código entra em vigor no dia seguinte ao da sua publicação no Diário da República. Será divulgado a todos os Colaboradores da ENIDH e publicado na página da internet da instituição.

22 de abril de 2024. - O Presidente da Escola Superior Náutica Infante D. Henrique, Prof. Doutor Vítor Manuel dos Reis Franco Correia.

317633825

Este documento liga aos seguintes documentos (apenas ligações para documentos da Serie I do DR):

• 2007-09-10 - Lei 62/2007 - Assembleia da República

  Estabelece o regime jurídico das instituições de ensino superior, regulando designadamente a sua constituição, atribuições e organização, o funcionamento e competência dos seus órgãos e ainda a tutela e fiscalização pública do Estado sobre as mesmas, no quadro da sua autonomia.

• 2012-08-29 - Lei 46/2012 - Assembleia da República

  Transpõe a Diretiva n.º 2009/136/CE, na parte que altera a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, altera (primeira alteração) e republica a Lei n.º 41/2004, de 18 de agosto, e altera (segunda alteração) o Decreto-Lei n.º 7/2004, de 7 de janeiro.

• 2019-08-08 - Lei 58/2019 - Assembleia da República

  Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados