Aprova o Código de Conduta para a Proteção de Dados Pessoais nos Serviços de Ação Social da Universidade de Évora em Processos de Atribuição de Bolsas de Estudo.

Despacho 14377/2024



Ao abrigo do disposto na alínea n) do n.º 1 do artigo 23.º dos Estatutos da Universidade de Évora, publicados pelo Despacho Normativo 7/2021 (2.ª série), de 12 de fevereiro, ouvido o Conselho de Ação Social, por meu despacho de 12/11/2024 é aprovado e posto em vigor o Código de Conduta para a Proteção de Dados Pessoais nos Serviços de Ação Social da Universidade de Évora em Processos de Atribuição de Bolsas de Estudo, que se anexa ao presente despacho.

ANEXO

Código de Conduta para a Proteção de Dados Pessoais nos Serviços de Ação Social da Universidade de Évora em Processos de Atribuição de Bolsas de Estudo

Preâmbulo

A proteção das pessoas singulares, relativamente ao tratamento dos seus dados pessoais, é um direito fundamental, estabelecido pela Constituição da República Portuguesa e pela Carta dos Direitos Fundamentais da União Europeia.

Os Serviços de Ação Social da Universidade de Évora asseguram e estão fortemente empenhados com o cumprimento das obrigações legais decorrentes do Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (RGPD) e demais legislação vigente e conexa à matéria de proteção de dados pessoais, no tratamento dos mesmos que venha a efetuar, pretendendo assim estabelecer diretrizes para uniformizar o comportamento dos Serviços de Ação Social da Universidade de Évora no que concerne ao tratamento de dados pessoais, à privacidade e à proteção destes dados, além de assumir os compromissos de segurança no tratamento de informações que contêm dados pessoais, em consonância com os princípios de legalidade, lealdade, transparência, integridade e confidencialidade.

CAPÍTULO I

OBJETO E ÂMBITO

Artigo 1.º

Objeto

O presente Código consagra os princípios de atuação e as normas de ética e conduta profissional que devem ser observadas por todos os trabalhadores dos Serviços de Ação Social da Universidade de Évora, no exercício das suas funções, cuja atividade envolva a recolha, consulta, utilização e qualquer outra forma de tratamento, incluída no n.º 2 do artigo 4.º do Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, doravante designado por RGPD, bem como de toda a legislação aprovada neste âmbito.

Artigo 2.º

Âmbito

O presente Código aplica-se:

a) A todos os trabalhadores dos Serviços de Ação Social da Universidade de Évora, independentemente da natureza do seu vínculo laboral, no âmbito da recolha, do tratamento e utilização de dados pessoais;

b) Às relações entre os Serviços de Ação Social da Universidade de Évora e os seus trabalhadores, os fornecedores externos, as empresas subcontratadas e outras partes interessadas.

CAPÍTULO II

CONCEITOS

Artigo 3.º

Conceitos gerais

As palavras e expressões utilizadas no presente Código têm o seguinte significado:

a) “Dados pessoais”: toda e qualquer informação relacionada com uma pessoa (o titular dos dados), que a identifique ou torne identificável. Uma pessoa pode ser identificável direta ou indiretamente, em particular, com referência a identificadores como nome, um número de identificação, dados de localização, identificadores online como logins e outras credenciais de acesso, ou, outros fatores, nomeadamente, físicos, psicológicos, genéticos, económicos, culturais ou sociais;

b) “Categorias especiais de dados”: dados de saúde (incluindo genéticos), origem racial ou étnica, vida privada, perfil, convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa e dados de crédito e solvabilidade;

c) “Titular dos dados”: a pessoa singular identificada ou identificável a quem os dados dizem respeito;

d) “Tratamento”: qualquer operação ou conjunto de operações efetuada com os dados pessoais, independentemente de ser realizada de forma manual, lógica ou automatizada. Assim, operações como a recolha, registo, organização, estruturação, conservação, adaptação, alteração, recuperação, consulta, utilização, transmissão, disponibilização, comparação ou interconexão, limitação, apagamento ou destruição, são sempre tratamento de dados;

e) “Consentimento do titular dos dados”: manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

f) Recusa: a manifestação de vontade esclarecida pela qual o titular dos dados não autoriza o tratamento proposto dos seus dados pessoais; aqui incluindo a revogação, isto é, a declaração de vontade unilateral e eficaz, mediante a qual o titular dos dados retira a autorização anteriormente facultada ou a modifica;

g) “Pseudonimização”: tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

h) “Responsável”: pessoa singular ou coletiva, autoridade pública, serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais;

i) Responsável concreto pelo tratamento dos dados, a pessoa responsabilizada pelas operações de tratamentos dos dados que lida de facto e procede ao tratamento das informações que constituem dados pessoais;

j) “Subcontratante”: pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do Responsável pelo tratamento;

k) “Comunicação de dados pessoais”: qualquer divulgação, cópia ou transmissão de dados através de uma rede, ou qualquer divulgação, cópia ou transmissão de dados de um suporte para outro, independentemente do tipo de suporte, desde que os referidos dados se destinem a ser tratados pelo destinatário;

l) “Violação de dados pessoais”: violação da segurança que provoque de modo acidental ou ilícito, a destruição, a perda, alteração, divulgação ou acesso não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

m) “Autoridade de Controlo”: autoridade pública independente criada por um Estado-Membro. No caso do Estado Português deve ser entendida como sendo a Comissão Nacional de Proteção de Dados.

Artigo 4.º

Conceitos para efeitos do Código de Conduta

1 - Para efeitos do presente Código de Conduta considera-se:

a) Responsável: Os Serviços de Ação Social da Universidade de Évora, doravante apenas designado por “SASUE”, é considerado o Responsável pelo tratamento dos dados pessoais na medida que determina as finalidades e os meios pelos quais os dados pessoais são tratados. Portanto, os SASUE é o Responsável pelo tratamento nas situações em que decide “porquê” e “como” os dados pessoais devem ser tratados;

b) Os trabalhadores que efetuam o tratamento de dados pessoais na Organização fazem-no para cumprir as suas tarefas enquanto trabalhadores do Responsável pelo tratamento, pelo que assumem a qualidade de Responsáveis concretos pelo tratamento dos dados sempre que lidarem com os procedimentos ou com as informações que resultam das suas atribuições e competências;

c) Titulares dos dados: os visados pelo tratamento dos dados, desde logo os alunos beneficiários, tal como os próprios trabalhadores, prestadores de serviços, subcontratantes e todos aqueles que com os SASUE interajam (entre outros) são considerados titular dos dados, ou seja, a pessoa singular a quem os dados dizem respeito;

d) Dados Pessoais: toda a informação relativa a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa. Note-se que dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para re-identificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do RGPD.

2 - Os dados pessoais são objeto de proteção independentemente da tecnologia utilizada para o tratamento desses dados, ou seja, a proteção é neutra em termos tecnológicos e aplica-se tanto ao tratamento automatizado como ao tratamento manual, desde que os dados sejam organizados de acordo com critérios predefinidos (por exemplo, por ordem alfabética). Também é irrelevante o modo como os dados são armazenados - num sistema informático, através de videovigilância, ou em papel. Em todos estes casos, os dados pessoais estão sujeitos aos requisitos de proteção previstos no RGPD.

CAPÍTULO III

OBJETIVOS E NATUREZA

Artigo 5.º

Objetivos

O presente Código de Conduta tem por objetivos:

a) Clarificar e harmonizar os padrões de referência no exercício da atividade de tratamento de dados pessoais;

b) Harmonizar valores, princípios de atuação e normas de conduta que balizem o relacionamento entre os SASUE e os seus trabalhadores, fornecedores externos, empresas subcontratadas e outras partes interessadas;

c) Promover a cultura organizacional do cumprimento da Lei e de conformidade com os valores e procedimentos de avaliação adotados, bem como a implementação das práticas de conduta ética.

Artigo 6.º

Natureza

1 - O presente Código é parte integrante dos procedimentos internos dos SASUE.

2 - A observância das regras do presente Código não dispensa os trabalhadores dos SASUE do conhecimento e do cumprimento das restantes normas internas, das disposições legais e dos regulamentos em vigor.

3 - Em matéria de Segurança da Informação e de Proteção de Dados os trabalhadores dos SASUE podem e devem, após autorização hierárquica, recorrer aos Serviços da Segurança da Informação e da Proteção de Dados para sanar dúvidas ou solicitar formação específica sobre o tratamento dos dados pessoais com que lidam.

CAPÍTULO IV

PRINCÍPIOS GERAIS

Artigo 7.º

Princípios Gerais

1 - Os trabalhadores dos SASUE, no exercício das suas funções, devem observar os princípios relativos ao tratamento de dados pessoais constantes do RGPD e legislação conexa, nomeadamente os princípios da confidencialidade e do cumprimento dos deveres legais estabelecidos em matéria de tratamento de dados pessoais.

2 - O dever de confidencialidade e de sigilo que impende sobre todos os trabalhadores dos SASUE não cessa com o termo das funções ou dos serviços prestados.

Artigo 8.º

Deveres dos Trabalhadores

Os trabalhadores dos SASUE estão sujeitos aos seguintes deveres, no exercício das suas funções:

a) Não podem praticar qualquer tipo de discriminação baseada em critérios de raça, género, deficiência, convicções políticas ou ideológicas, ou outros consagrados na Constituição da República Portuguesa como direitos fundamentais;

b) Devem garantir uma resposta rigorosa e em tempo útil às solicitações apresentadas;

c) Devem atuar de boa-fé, com isenção, responsabilidade e rigor;

d) Devem guardar, proteger e conservar sob rigoroso sigilo todos os dados pessoais de terceiros a que tenham tido acesso no desempenho das suas funções em particular no que diz respeito a dados pessoais sensíveis.

Artigo 9.º

Diligência no Tratamento de Orientações e de Reclamações

Os SASUE devem garantir que todas as reclamações recebidas, referentes a qualquer operação de recolha, tratamento e arquivo de dados pessoais, efetuado pelos seus trabalhadores são imediatamente encaminhadas para o Encarregado de Proteção de Dados para apreciação e proposta de decisão, que aceite, será comunicada ao reclamante.

CAPÍTULO V

REGRAS ESPECÍFICAS

Artigo 10.º

Princípios Fundamentais do Tratamento

O tratamento dos dados pessoais deve obedecer aos seguintes princípios:

a) Licitude, Lealdade e Transparência;

b) Limitação das finalidades: são recolhidos para finalidades determinadas, explícitas e legítimas e não podem ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais;

c) Minimização dos dados: são recolhidos os dados adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são recolhidos;

d) Exatidão: os dados recolhidos devem ser exatos e atualizados sempre que necessário, devendo ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;

e) Limitação da conservação: os dados devem ser conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são necessários; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, sujeitos sempre à aplicação das medidas técnicas e organizativas adequadas exigidas pelo RGPD, a fim de salvaguardar os direitos e liberdades do titular dos dados;

f) Integridade e Confidencialidade: os dados devem ser tratados de uma forma que garanta a segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas e organizativas adequadas;

g) Responsabilidade: o Responsável ou especificamente o Responsável Concreto pelo tratamento é responsável pelo cumprimento do regulamento de tratamento de dados e tem de poder comprová-lo.

Artigo 11.º

Licitude do Tratamento

Para que o tratamento de dados seja lícito deve obedecer a uma das seguintes condições:

a) O titular de dados deu e mantém atualizado o seu consentimento esclarecido para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b) O tratamento é necessário para o cumprimento de uma obrigação jurídica a que o Responsável pelo tratamento esteja sujeito;

c) O tratamento é necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

d) O tratamento é necessário ao exercício de funções de interesse público;

e) O tratamento é necessário para efeito dos interesses legítimos prosseguidos pelo Responsável pelo tratamento, desde que garantidos os interesses, diretos e liberdades fundamentais do titular, que exijam a proteção de dados pessoais, em especial se o titular for vulnerável.

Artigo 12.º

Licitude do Tratamento de Categorias Especiais de Dados (Dados Sensíveis)

1 - Os SASUE asseguram que qualquer tratamento que possa envolver estes dados será sempre sujeito às condições legalmente estabelecidas, pelo que só efetuará o respetivo tratamento quando:

a) Exista consentimento explícito (demonstrável inequivocamente) do titular dos dados, para uma finalidade de tratamento específico;

b) Exista disposição normativa e/ou contratualmente admissível que obrigue a esse tratamento;

c) Seja necessário para proteger interesses vitais do titular dos dados;

d) Sejam dados manifestamente tornados públicos pelo seu titular;

e) Seja necessário à declaração, exercício ou defesa de um direito em processo judicial e efetuado exclusivamente com essa finalidade.

2 - Os trabalhadores estão obrigados a um dever de sigilo absoluto e reforçado quanto à informação a que tenham acesso que possa conter dados sensíveis.

3 - Quem disponha de informação que saiba ou, segundo as circunstâncias, deveria saber que contêm dados sensíveis, deve abster-se de utilizar a informação para quaisquer ações que não aquelas instruídas pelos SASUE.

Artigo 13.º

Consentimento

1 - Quando a base de licitude do tratamento é o consentimento, o pedido para o mesmo deverá ser apresentado ao titular de forma clara e concisa, utilizando uma linguagem fácil de compreender, e de uma forma que o distinga claramente de outras informações (como por exemplo de termos e condições), tendo de especificar qual a utilização que será dada aos dados pessoais e incluir os contactos do Responsável pelo tratamento dos dados.

2 - O consentimento tem de ser dado de livre vontade, tem de ser específico e informado e refletir os seus desejos de forma inequívoca. Consentimento informado significa que o titular dos dados tem de receber, pelo menos, as seguintes informações sobre o tratamento:

a) A identidade da organização que efetua o tratamento dos dados;

b) Os fins para os quais os dados estão a ser tratados;

c) O tipo de dados que serão tratados;

d) A possibilidade de retirar o consentimento dado;

e) Se aplicável, o facto de os dados irem ser utilizados para decisões exclusivamente automatizadas, incluindo a definição de perfis;

f) Se aplicável, o uso da informação em transferências internacionais de dados e os possíveis riscos associados se tais transferências de dados forem efetuadas para países fora da UE não sujeitos a uma decisão de adequação da Comissão e se não existirem garantias adequadas.

Artigo 14.º

Finalidade do Tratamento

1 - Os dados pessoais que sejam objeto de recolha pelos SASUE, dependem da existência de um conjunto relevante de finalidades específicas, explícitas e legítimas para o tratamento dos dados pessoais.

2 - Qualquer alteração na finalidade que motivou a recolha dos dados pelos SASUE terá de ser objeto de avaliação prévia por parte do Encarregado de Proteção de Dados.

Artigo 15.º

Utilização de Dados para outras Finalidades

1 - Caso os SASUE pretendam utilizar os dados pessoais para outras finalidades que não aquelas que motivaram a sua recolha, terão de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos.

2 - O tratamento de dados pessoais pelos SASUE para finalidades diferentes das determinadas pela recolha tem natureza excecional e deve ser devidamente fundamentado com vista a assegurar a prossecução do interesse público que de outra forma não possa ser acautelado nos termos do RGPD.

3 - Caso o tratamento se baseie no consentimento, os SASUE não poderão efetuar o tratamento subsequente para além do que se encontra abrangido pelo consentimento original. Qualquer tratamento subsequente exigirá a obtenção de um novo consentimento. Os titulares dos dados terão sempre garantida a possibilidade de exercício dos seus direitos, nomeadamente, de oposição ao tratamento dos seus dados pessoais para finalidades não previstas no momento da recolha.

4 - Qualquer alteração na finalidade que motivou a recolha dos dados pelos SASUE terão de ser objeto de avaliação prévia por parte do Encarregado de Proteção de Dados.

Artigo 16.º

Período de Conservação

1 - O período de tempo durante o qual os dados pessoais são armazenados e conservados varia de acordo com a finalidade para a qual a informação é tratada.

2 - Sempre que não exista uma exigência legal específica, os dados serão armazenados e conservados apenas pelo período mínimo necessário para a prossecução das finalidades que motivaram a sua recolha ou o seu posterior tratamento, nos termos definidos na lei.

3 - Quando, pela natureza e finalidade do tratamento, designadamente para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos, não seja possível determinar antecipadamente o momento em que o mesmo deixa de ser necessário, é lícita a conservação dos dados pessoais, desde que sejam adotadas medidas técnicas e organizativas adequadas a garantir os direitos do titular dos dados, designadamente a informação da sua conservação, pseudonimização ou anonimização (vg. para finalidades científicas).

4 - Quando os dados deixarem de ser necessários para a respetiva finalidade, ou quando os fins que motivaram o seu armazenamento tiverem sido cumpridos, os dados serão anonimizados de forma a não poderem ser objeto de tratamento, ou em alternativa, destruídos de forma segura.

CAPÍTULO VI

PROTEÇÃO DE DADOS PESSOAIS

Artigo 17.º

Privacidade desde a Conceção (“Privacy By Design”)

Define a obrigatoriedade de determinar de raiz (logo no momento da sua conceção), tanto no momento da definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas destinadas a aplicar aos princípios da proteção de dados e a incluir nas garantias necessárias ao tratamento, garantindo a finalidade do tratamento dos dados e o respeito pelos direitos do titular dos dados. A avaliação do risco de privacidade é tida em conta em todo o processo de conceção de um novo produto, serviço ou operação através de medidas e procedimentos técnicos e organizacionais adequados para garantir, desde o início, que o tratamento está em conformidade com o RGPD e protege os direitos dos titulares dos dados em causa.

Artigo 18.º

Privacidade por Defeito (“Privacy By Default”)

Define a obrigatoriedade de encontrar medidas técnicas e organizativas adequadas que “por defeito”, assegurem que apenas sejam tratados os dados pessoais que forem estritamente necessários a cada finalidade específica de tratamento dos dados. Significa assegurar que são colocados em prática, dentro de uma organização, mecanismos para garantir que, por defeito, apenas será recolhida, utilizada e conservada para cada atividade de tratamento, a quantidade necessária de dados pessoais face à respetiva finalidade. Esta obrigação aplica-se, nomeadamente, em termos de extensão do seu tratamento, ao prazo de conservação e à sua acessibilidade em consonância com o definido pelo RGPD.

Artigo 19.º

Avaliação de Impacto sobre a Proteção de Dados

1 - Nas situações em que o tratamento de dados seja suscetível de implicar um elevado risco para os direitos e liberdades dos titulares, os SASUE devem proceder, antes de iniciar o tratamento, a uma Avaliação de Impacto sobre a Proteção de Dados (AIPD).

2 - Sem prejuízo das especificações aprovadas pela Comissão Nacional de Proteção de Dados através do Regulamento 1/2018, a realização da AIPD é obrigatória nas seguintes situações:

a) Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;

b) Operações de tratamento em grande escala de categorias especiais de dados ou de dados pessoais relacionados com condenações penais e infrações;

c) Controlo sistemático de zonas acessíveis ao público em grande escala.

3 - A metodologia a adotar pelos SASUE na AIPD inclui, pelo menos:

a) Descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do Responsável pelo tratamento;

b) Avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;

c) Avaliação dos riscos para os direitos e liberdades dos titulares dos Dados Pessoais;

d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos Dados Pessoais e a demonstrar a conformidade com o presente Código de Conduta, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.

CAPÍTULO VII

DIREITOS DOS TITULARES

Artigo 20.º

Direito de Informação

1 - Quando recolher dados pessoais diretamente do seu titular, os SASUE devem prestar-lhe, salvo se já dele forem conhecidas, as seguintes informações:

a) A Identidade do Responsável e do Responsável Concreto pelo tratamento dos dados pessoais;

b) As Finalidades do tratamento;

c) A Licitude do tratamento;

d) Os destinatários ou categorias de destinatários dos dados;

e) Os prazos de conservação dos dados;

f) A existência e as condições de exercício dos direitos do titular, nomeadamente direito de acesso, de retificação, de apagamento, de limitação, de oposição e de portabilidade;

g) A existência de decisões automatizadas, incluindo a definição de perfis.

2 - Os documentos que sirvam de base à recolha de dados pessoais devem conter as informações constantes do número anterior.

3 - Se os dados não forem recolhidos junto do seu titular, e salvo se dele já forem conhecidas, o Responsável Concreto pelo tratamento (o interlocutor), deve prestar-lhe as informações previstas no n.º 1 no momento do registo dos dados ou, se estiver prevista a comunicação a terceiros, o mais tardar aquando da primeira comunicação desses dados.

Artigo 21.º

Direito de Acesso

1 - O titular dos dados tem o direito de obter do Responsável pelo tratamento (que poderá delegar no Responsável Concreto), livremente e sem restrições, com periodicidade razoável e sem demoras ou custos excessivos:

a) A confirmação de serem ou não tratados dados que lhe digam respeito, bem como informação sobre as finalidades desse tratamento, as categorias de dados sobre que incide e os destinatários ou categorias de destinatários a quem são comunicados os dados;

b) A comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem desses dados;

c) O conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito;

d) A retificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na lei, nomeadamente devido ao caráter incompleto ou inexato desses dados;

e) A notificação aos terceiros a quem os dados tenham sido comunicados na sequência de qualquer retificação, apagamento ou bloqueio efetuado nos termos da alínea d), salvo se isso for comprovadamente impossível.

2 - No caso de tratamento de dados pessoais relativos à segurança do Estado e à prevenção ou investigação criminal, o direito de acesso é exercido através da CNPD ou de outra autoridade independente a quem a lei atribua a verificação do cumprimento da legislação de proteção de dados pessoais.

3 - No caso de os dados não serem utilizados para tomar medidas ou decisões em relação a pessoas determinadas, a lei pode restringir o direito de acesso nos casos em que manifestamente não exista qualquer perigo de violação dos direitos, liberdades e garantias do titular dos dados, designadamente do direito à vida privada, e os referidos dados (vg. anonimizados e agregados) forem exclusivamente utilizados para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.

Artigo 22.º

Direito à Retificação e Atualização de Dados

Sempre que solicitado (sujeito a certificação pelo Responsável Concreto) pelo titular dos dados, os SASUE comprometem-se a retificar, atualizar e disponibilizar, eventualmente minimizar, os dados constantes dos seus ficheiros, bases de dados e plataformas, quando legalmente permitido e sem demora injustificada.

Artigo 23.º

Direito de Portabilidade

1 - O titular dos dados tem o direito de receber e transmitir a terceiros os dados pessoais que lhe digam respeito e que tenha fornecido aos SASUE, num formato estruturado, de uso corrente e de leitura automática. Os dados pessoais que se encontram no âmbito da portabilidade são apenas aqueles que tenham sido fornecidos diretamente pelo titular e cujas operações de tratamento se baseiam:

a) No consentimento do titular dos dados;

b) Num contrato no qual o titular dos dados é parte;

c) Em meios automatizados.

2 - O titular dos dados tem o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja tecnicamente possível. Este direito é aplicável “sem prejuízo” dos restantes direitos e não prejudica os direitos e liberdades de terceiros; nomeadamente, não determina o posterior esquecimento ou alteração ao tratamento dos dados que se encontre em curso, nem a obrigação dos SASUE reter informação se tal se mostrar necessário.

3 - No contexto da resposta ao direito de portabilidade do titular, pode ser transmitida informação recolhida que garanta a possibilidade de o titular, ou outro Responsável, utilizarem novamente essa informação. O direito do titular dos dados a transmitir ou receber dados pessoais que lhe digam respeito não implica para os SASUE a obrigação de adotar ou manter sistemas de tratamento que sejam tecnicamente compatíveis.

Artigo 24.º

Direito à Limitação do Tratamento

1 - O titular dos dados tem o direito de obter dos SASUE a limitação do tratamento quando se aplicar uma das seguintes situações:

a) O titular contestar a exatidão dos dados pessoais, durante um período que permita aos SASUE verificar a sua exatidão;

b) O tratamento for ilícito e o titular dos dados se opuser ao apagamento e solicitar em contrapartida a limitação;

c) Os SASUE já não precisarem dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;

d) Se o titular se tiver oposto ao tratamento para uma finalidade decorrente das atribuições e competências dos SASUE até se verificar que os motivos legítimos dos SASUE prevalecem sobre os do titular.

2 - Quando o tratamento tiver sido limitado, os SASUE apenas podem tratar os mesmos dados nos seguintes casos: perante consentimento do titular; para efeitos de declaração, exercício ou defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva; por força de determinação normativa.

3 - Os SASUE devem informar o titular antes de anular a limitação ao tratamento acima apresentada.

Artigo 25.º

Direito ao Apagamento

O titular dos dados tem o direito de obter dos SASUE o apagamento dos dados pessoais (“ser esquecido”), sem demora injustificada, quando ocorra um dos seguintes motivos:

a) Os dados pessoais deixaram de ser necessários para as finalidades que motivaram a sua recolha;

b) O titular revogar o consentimento ou recusar legitimamente a manutenção dos dados e não exista fundamento legal para o tratamento dos dados;

c) O titular opõe-se ao tratamento automatizado, incluindo perfis, dos seus dados pessoais;

d) Os dados pessoais tenham sido ou estejam a ser tratados de forma ilícita.

Artigo 26.º

Direito de Oposição do Titular dos Dados

O titular dos dados tem o direito de, salvo disposição legal em contrário, se opor em qualquer altura, a que os dados que lhe digam respeito sejam objeto de tratamento, devendo, em caso de oposição justificada, o tratamento efetuado pelo Responsável deixar de poder incidir sobre esses dados.

Artigo 27.º

Decisões Individuais Automatizadas e Definição de Perfis

1 - O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo perfis, que produzam efeitos na sua esfera jurídica ou que o afete significativamente de forma similar, exceto se for:

a) Necessária para a celebração ou a execução de um contrato entre o titular dos dados e os SASUE;

b) Baseada no consentimento explícito do titular dos dados;

c) Decorrente de norma relevante e eficaz.

2 - Os SASUE devem aplicar medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados.

3 - Nas situações em que o tratamento de dados pessoais tiver por base de licitude o consentimento, o titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito.

Artigo 28.º

Direito a Reclamar Junto de Autoridade Competente

O titular dos dados tem direito a apresentar uma reclamação à Comissão Nacional de Proteção de Dados (CNPD) ou a outra autoridade de controlo competente nos termos da lei, caso considere que os seus dados não estão a ser objeto de tratamento legítimo por parte dos SASUE, nos termos da legislação aplicável e da presente Política.

Artigo 29.º

Resposta aos Pedidos dos Titulares

1 - Os pedidos de exercício de direitos dos titulares dos dados devem ser imediatamente encaminhados para o Encarregado de Proteção de Dados e respondidos em prazo razoável não devendo ultrapassar os 30 (trinta) dias.

2 - Esse prazo pode ser prorrogado até dois meses, quando for necessário, tendo em conta a complexidade do pedido e o número de pedidos. Os SASUE informam o titular dos dados de alguma prorrogação e dos motivos da demora no prazo de um mês a contar da data de receção do pedido.

3 - Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida por meios eletrónicos, salvo pedido em contrário do titular.

CAPÍTULO VIII

COMUNICAÇÃO DE DADOS A TERCEIROS

Artigo 30.º

Comunicação de Dados a Terceiros

1 - A transmissão de dados pessoais entre entidades públicas para finalidades diferentes das determinadas pela recolha tem natureza excecional, deve ser devidamente fundamentada com vista a assegurar a prossecução do interesse público que de outra forma não possa ser acautelado nos termos do RGPD, e deve ser objeto de protocolo que estabeleça as responsabilidades de cada entidade interveniente, quer no ato de transmissão, quer em outros tratamentos a efetuar.

2 - Os SASUE não podem transmitir nem comunicar dados pessoais a terceiras entidades, salvo nos casos previstos na legislação aplicável:

a) No caso de o titular dos dados o consentir expressamente;

b) No caso de a transmissão ou comunicação ser necessária para a execução de contrato estabelecido entre o titular dos dados e os SASUE;

c) Para diligências pré-contratuais a pedido do titular dos dados;

d) Cumprimento de uma obrigação jurídica a que os SASUE estejam sujeitos;

e) Ser necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

f) No caso de ser necessária para efeitos da prossecução de interesses legítimos dos SASUE.

3 - Previamente à prestação/comunicação de qualquer informação deverá ser assegurada a adequada identificação do requerente da informação mediante confirmação e validação de dados pessoais específicos, sendo informado que os mesmos configuram uma medida de proteção.

4 - Em caso de exigência de dados pessoais solicitados em sede de auditoria ou autoridades externas, a partilha desta informação obedecerá aos princípios e limites decorrentes do RGPD e limitado ao estritamente necessário para que essas entidades possam executar adequadamente as tarefas e funções que por via da lei ou de contrato lhes estão cometidas.

5 - No caso de dúvida sobre o direito de aceder à informação, o Encarregado de Proteção de Dados deverá ser consultado.

Artigo 31.º

Subcontratantes

Sempre que o tratamento de dados pessoais deva ser realizado por um subcontratante em nome dos SASUE este tem de garantir o recurso apenas a empresas que ofereçam suficientes garantias quanto à implementação das medidas técnicas e organizativas adequadas, de modo a assegurar o cumprimento da legislação e a garantir a proteção dos direitos dos titulares.

Artigo 32.º

Contrato com Subcontratantes

Os SASUE têm de garantir que o recurso a subcontratantes ocorrerá apenas por contrato, estabelecendo, nomeadamente:

a) Objeto e duração do tratamento;

b) Natureza e a finalidade do processamento;

c) Categorias de dados pessoais em causa e dos titulares;

d) Obrigações do subcontratante;

e) Obrigação de o tratamento ser efetuado apenas mediante instruções documentadas dos SASUE;

f) Que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade;

g) Adoção de medidas de segurança adequadas ao tratamento;

h) Possibilidade de recorrer a outro subcontratante apenas com o consentimento específico, prévio e por escrito dos SASUE;

i) Auxiliar os SASUE para que este cumpra as obrigações que tem perante os titulares dos dados;

j) Auxiliar os SASUE para que este cumpra as obrigações referentes à implementação de medidas de segurança, notificações de incidente de segurança e realização de avaliação de impacto sobre a proteção de dados (AIPDs);

k) Destino final dos dados findo o contrato e de acordo com as instruções dos SASUE: apagamento ou devolução de todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento;

l) Disponibilização de todas as informações necessárias para que os SASUE possam demonstrar o cumprimento das obrigações, bem como facilitar e contribuir para as auditorias, inclusive as inspeções, conduzidas pelo Responsável pelo tratamento ou por outro auditor por este mandatado.

Artigo 33.º

Transferências Internacionais de Dados

A transferência de dados para fora da União Europeia só é lícita mediante o cumprimento de requisitos admissíveis legalmente ou o recurso à utilização de diferentes instrumentos legais:

a) Em certos casos, pode declarar-se que um país terceiro oferece um nível adequado de proteção através de uma decisão da Comissão Europeia («decisão de adequação»), o que significa que é possível transferir dados para uma entidade situada no país terceiro sem que o exportador dos dados tenha de apresentar garantias suplementares e sem que esteja sujeito a condições adicionais. Por outras palavras, as transferências para um país terceiro “adequado” serão semelhantes a uma transmissão de dados no interior da EU;

b) Na falta de uma decisão de adequação, a transferência pode ser efetuada mediante a apresentação de garantias adequadas e na condição de as pessoas gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes. Estas garantias adequadas incluem, nomeadamente, as seguintes:

i) Existência de regras vinculativas aplicáveis a um grupo de organizações envolvidos numa atividade conjunta;

ii) Disposições contratuais com o destinatário dos dados pessoais, utilizando, por exemplo, as cláusulas-tipo de proteção de dados adotadas pela Comissão Europeia;

iii) Adesão a um código de conduta ou um procedimento de certificação, acompanhado de compromissos vinculativos e com força executiva assumidos pelos destinatários no sentido de aplicarem as garantias adequadas para proteger os dados transferidos;

iv) Por último, se estiver prevista uma transferência de dados pessoais para um país terceiro que não esteja sujeito a uma decisão de adequação e na ausência de garantias adequadas, a transferência pode ser efetuada com base num conjunto de derrogações aplicáveis em situações específicas, por exemplo se uma pessoa tiver consentido expressamente na transferência proposta após ter recebido todas as informações necessárias sobre os riscos associados à mesma.

CAPÍTULO IX

SEGURANÇA DOS DADOS PESSOAIS

Artigo 34.º

Segurança dos Dados Pessoais

No exercício das suas atividades os SASUE observam um conjunto de procedimentos de segurança adequados à proteção de dados pessoais no intuito de preservar o acesso ou divulgação não autorizados mercê de um conjunto de medidas e tecnologias partilhadas, com os Serviços de Informação e Proteção de Dados da Universidade de Évora, das quais se destacam:

a) Controlo de acesso físico de trabalhadores, de clientes, de fornecedores externos, de empresas subcontratadas e de visitantes às diversas instalações;

b) Mecanismos de acesso e de combate à intrusão no centro de dados;

c) Medidas de segurança contra incêndios e outros eventos físicos;

d) Medidas de pseudonimização, anonimização, armazenamento, recuperação e disponibilidade de dados;

e) Alojamento de equipamentos informáticos em nuvem ou centro de processamento de dados com monitorização permanente associado a política de controlo de acessos físicos;

f) Medidas de segurança de acessos lógicos a sistemas e postos de trabalho através de mecanismos de rastreamento, gestão de identidade, autenticação, privilégios e políticas de temporização de acessos;

g) Usos de soluções de proteção de dados, como firewalls, sistemas de deteção de intrusão e de segregação de redes;

h) Existência de cláusulas de garantia de sigilo e de proteção de dados em relação a eventuais consultas de dados pessoais na gestão de contratos em cujo âmbito possa, de forma direta ou indireta, ter acesso aos referidos dados no computo das suas atividades de manutenção corretiva e/ou evolutiva aplicacional ou de infraestruturas, ou de gestão de outros recursos e ativos tangíveis e intangíveis.

Artigo 35.º

Violações de Dados Pessoais

Uma Violação de Dados Pessoais é definida como uma violação/incidente de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Artigo 36.º

Notificação da Violação de Dados Pessoais à Autoridade Reguladora

1 - Em caso de Violação de Dados Pessoais, o Encarregado de Proteção de Dados deve notificar desse facto a autoridade reguladora, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a Violação dos Dados Pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares.

2 - Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, deve ser acompanhada dos motivos do atraso.

3 - Os SASUE devem seguir o procedimento de gestão de incidentes de forma que a Equipa identificada possa estar munida da informação necessária ao reporte, nomeadamente:

a) Descrição da natureza da Violação de Dados Pessoais, incluindo, se possível, as categorias e número aproximado de titulares de dados pessoais, bem como as categorias e o número aproximado de registos de dados pessoais em causa;

b) Descrição das consequências da violação;

c) Descrição das medidas adotadas ou propostas pelo Encarregado de Proteção de Dados tendo em vista o tratamento e resolução da violação de Dados Pessoais, inclusive, medidas para atenuar os seus eventos negativos.

Artigo 37.º

Comunicação da Violação de Dados ao Titular

Quando a Violação dos Dados Pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o Encarregado de Proteção de Dados deve ser alertado e monitorizar a comunicação da Violação de Dados Pessoais ao titular dos dados sem demora injustificada de acordo com a informação descrita anteriormente.

CAPÍTULO X

ENCARREGADO DE PROTEÇÃO DE DADOS

Artigo 38.º

Encarregado de Proteção de Dados (EPD)

1 - É garantido ao EPD um estatuto de independência e a sujeição ao dever de confidencialidade.

2 - Cada Unidade Orgânica (UO) deve garantir o envolvimento do EPD desde o início em todas as questões relacionadas com a proteção de dados pessoais, estando incumbido de velar pela conformidade do RGPD.

3 - O EPD pode, no âmbito das suas funções, determinar a implementação de medidas de proteção de dados pessoais em qualquer Unidade Orgânica dos SASUE, devendo para este fim, serem-lhe disponibilizados os meios e acessos adequados.

4 - Ao EPD incumbe, em primeiro plano, zelar pelo cumprimento da regulamentação de proteção de dados, através do fornecimento de informação a todos os colaboradores dos SASUE, pronunciar-se sobre os riscos identificados pelos Responsáveis Concretos pelo tratamento dos dados propondo o que se mostrar adequado à proteção e incremento dos procedimentos. Todas as falhas detetadas em sede de proteção de dados, devem ser reportadas ao EPD, através dos contactos definidos para o efeito.

Artigo 39.º

Competências do Encarregado de Proteção de Dados

1 - São competências do Encarregado de Proteção de Dados, em relação ao que deve ser solicitado, as que decorrem do quadro legal vigente, designadamente:

a) Controlar a conformidade das políticas dos SASUE referentes a proteção de dados, incluindo a repartição de responsabilidades, sensibilização e formação das pessoas implicadas nas operações de tratamentos de dados e auditorias correspondentes;

b) Informar e aconselhar os SASUE, bem como quaisquer trabalhadores que tratem dados pessoais, sobre as obrigações em sede de RGPD ou de outras disposições de proteção de dados da União ou dos Estados-Membros;

c) Prestar aconselhamento sobre a avaliação de impacto sobre a proteção de dados e controlar os requisitos estabelecidos para a sua realização;

d) Cooperar com a autoridade de controlo (CNDP);

e) Representar o ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo nas situações em que deva existir consulta prévia;

f) Participar em discussões e grupos de trabalho com impacto em sede de dados pessoais;

g) Reunir periodicamente com o Executivo e Diretores de primeira linha;

h) Participar na tomada de decisão sobre as medidas a adotar em matéria de proteção de dados;

i) Aconselhar de forma imediata em situações de violação de dados pessoais e, quando aplicável, orientar o cumprimento dos protocolos internos de comunicação à CNPD e/ou titulares dos dados;

j) Pronunciar-se sobre as medidas de mitigação dos riscos sobre os dados pessoais, recomendando boas práticas e emitindo pareceres, quando justificadamente requerido;

k) Assegurar as atividades de funções de verificação de cumprimento em sede de proteção de dados e auditoria (interna e externa) quando realizadas sobre processos de elevada volumetria ou risco para os titulares dos dados pessoais.

2 - Sem prejuízo do exposto, o EPD poderá assumir outras responsabilidades que possam representar, em função dos riscos dos titulares com quem os SASUE, por qualquer meio, se relacionam, algum grau de criticidade em sede de gestão de proteção de dados (nomeadamente nas situações de violação da privacidade de dados) e na medida em que as mesmas não impliquem conflito de interesses.

3 - Os SASUE devem disponibilizar todos os meios e recursos necessários para a adequada formação e apoios humanos técnicos necessários ou adequados às competências do EPD. Da mesma sorte em matéria de Segurança da Informação.

CAPÍTULO XI

Responsabilidade

Artigo 40.º

Regras Gerais

Para além dos Princípios definidos no Capítulo IV, o modelo de governo que conforma o Código de Conduta assenta nos seguintes princípios que visam garantir o exercício dos direitos dos titulares dos dados e o cumprimento das regras associadas ao seu tratamento:

a) Princípio da Conformidade: Atendendo ao objetivo específico da recolha, é expressamente vedado utilizar os dados pessoais para fins diferentes dos que motivaram a sua recolha e relativamente aos quais o titular dos dados foi devidamente esclarecido;

b) Princípio da Informação: Consiste na disponibilização integral da informação ao titular dos dados sobre o armazenamento, respetivo conteúdo e o seu direito à consulta e correção da informação, certificando-se o Responsável Concreto do respetivo esclarecimento;

c) Princípio da Atualização: Visa a constante e permanente retificação, eliminação, congelamento ou bloqueio de dados, bem como os procedimentos gerais de adesão à formação contínua sobre Segurança da Informação e Proteção de Dados;

d) Princípio da Oposição: Significa a possibilidade de o titular se opor, sempre com fundamento em razões ponderosas e legítimas relacionadas com a sua situação particular, ao tratamento dos dados de que seja titular.

Artigo 41.º

Incumprimento das Regras de Proteção de Dados

O incumprimento das regras estabelecidas no RGPD, vertidas no presente Código de Conduta, pode implicar para os SASUE:

a) A aplicação das coimas previstas na legislação aplicável;

b) Atribuição de indemnização pelo Responsável pelo tratamento ou subcontratante a qualquer pessoa que tenha sofrido danos materiais ou imateriais em virtude de violação do RGPD;

c) Responsabilidade civil, pessoal, administrativa disciplinar, laboral, civil e criminal (autónomas e concorrentes entre si).

Artigo 42.º

Responsabilidades

1 - Os trabalhadores dos SASUE são responsáveis disciplinarmente pela violação ou transmissão ilegal dos dados pessoais a que tenham acesso, devido ou indevido, bem como do presente código de conduta.

2 - Os restantes colaboradores, fornecedores ou prestadores de serviços são responsáveis nos termos contratuais e legalmente estabelecidos.

CAPÍTULO XII

DISPOSIÇÕES FINAIS

Artigo 43.º

Esclarecimentos e Aplicação do Código de Conduta

Os pedidos de esclarecimento, dúvidas de interpretação ou de aplicação do presente Código de Conduta deverão ser dirigidos ao Encarregado de Proteção de Dados, através das vias identificadas no n.º 4 do artigo 38.º do presente, que responderá diretamente ou após consulta à Unidade Orgânica visada.

Artigo 44.º

Preenchimento de Lacunas

A todas as omissões, ao previsto no presente Código de Conduta, será aplicado o estipulado no RGPD, bem como a legislação nacional em vigor sobre este assunto.

Artigo 45.º

Vigência

1 - O presente Código de Conduta vai ser disponibilizado para esclarecimento individual ao pessoal, pelo prazo de cinco dias úteis, após o que será objeto de esclarecimentos em formação inicial e contínua, ficando então vigente.

2 - Quaisquer dúvidas sobre o presente Código de Conduta podem ser dirigidas ao EPD.

22/11/2024. - A Reitora da Universidade de Évora, Hermínia Vasconcelos Vilar.

318388024

Este documento liga aos seguintes documentos (apenas ligações para documentos da Serie I do DR):