Aprova o Regulamento de Implementação do Regime Jurídico de Proteção de Dados Pessoais do Instituto Politécnico de Setúbal.

Regulamento 4/2025



Regulamento de Implementação do Regime Jurídico de Proteção de Dados Pessoais do Instituto Politécnico de Setúbal

Nota Justificativa

A proteção das pessoas singulares, relativamente ao tratamento dos seus dados pessoais, é um direito fundamental consagrado entre vasta legislação e tratados, nomeadamente no n.º 1 do artigo 8.º da Carta dos Direitos Fundamentais da União Europeia. São os princípios de licitude, lealdade, transparência, finalidade, bem como os princípios de adequação, pertinência e razoabilidade, integridade e funcionalidade da informação e do seu conhecimento, previstos no Regulamento Geral Sobre a Proteção de Dados da União Europeia (Regulamento UE n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril) doravante designado por RGPD, que podemos reconhecer como instrumentos de uma administração pública leal e transparente. O RGPD é um regulamento de cumprimento obrigatório que oferece ao cidadão um conjunto de direitos e deveres sobre os seus dados pessoais que podem ser exercidos junto das organizações que os tratam e guardam, e consequentemente, do lado das organizações, implica a existência de um conjunto de medidas técnicas e organizativas para garantir o cumprimento dos direitos do cidadão.

É a necessidade de garantir a adequada implementação do RGPD no Instituto Politécnico de Setúbal (IPS), no atual paradigma de evolução tecnológica, bem como a sua articulação com outros diplomas legais, nomeadamente com a Lei 58/2019, de 08 de agosto e com a Lei 26/2016, de 22 de agosto, na sua versão atual, (LADA), por forma a encontrar soluções para o exercício de direitos e deveres dos/as interessados/as e das atividades dos serviços, que justifica a elaboração do presente regulamento. Tal implica necessariamente a recolha e o tratamento de determinados dados pessoais da comunidade com quem mantém as mais diversas relações, formada principalmente por estudantes e trabalhadores/as docentes e não docentes e investigadores/as entre outros/as, nos quais se moldam responsabilidades e obrigações nas relações internas e externas, em particular com fornecedores, na prossecução do interesse público que pauta a atividade do IPS. Visa não só o reconhecimento à comunidade IPS do direito à proteção dos dados pessoais, bem como os direitos que lhes assistem na forma de exercício dos mesmos.

A elaboração de qualquer regulamento deverá sempre estar subordinado a uma ponderação dos custos e benefícios das medidas projetadas, sendo imprescindível para desenhar uma administração transparente, e em consonância com a lei, sistematizar as regras que irão nortear e delimitar a atuação do IPS em todas as suas relações, e em observância das linhas orientadoras emanadas em pareceres e circulares, incluindo os pareceres da Comissão de Ética do IPS. O presente regulamento aplica-se aos Serviços Centrais do IPS, às Unidades Orgânicas de Ensino e Investigação e aos Serviços de Ação Social.

No uso da competência que me é conferida pela alínea n) do n.º 1 do artigo 25.º dos Estatutos do IPS, e ao abrigo do disposto no n.º 3 do artigo 110.º da Lei 62/2007 de 10 de setembro, Regime Jurídico das Instituições de Ensino Superior, tendo sido realizada audiência de interessados, nos termos do artigo 100.º do Código do Procedimento Administrativo (CPA), aprovo o Regulamento de Implementação do Regime Jurídico de Proteção de Dados Pessoais do Instituto Politécnico de Setúbal (IPS) anexo ao presente despacho.

18 de dezembro de 2024. - A Presidente, Prof.ª Doutora Ângela Maria Gomes Teles de Matos Cremon de Lemos.

ANEXO

Regulamento de Implementação do Regime Jurídico de Proteção de Dados Pessoais do Instituto Politécnico de Setúbal

CAPÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1.º

Objeto e Destinatários

1 - O presente Regulamento visa:

a) Implementar no IPS as regras de proteção, segurança e integridade de dados pessoais, estabelecidas no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (RGPD), e na Lei 58/2019, de 08 de agosto, aplicando o respetivo teor às Unidades Orgânicas de Ensino e Investigação, Serviços Centrais do IPS, e Serviços de Ação Social.

b) Promover, defender e garantir, de forma complementar ao regime legal vigente nesta área, o exercício dos direitos, e liberdades fundamentais dos/as estudantes, trabalhadores/as, membros dos órgãos de gestão, e a todas as pessoas singulares que se relacionem com o IPS, nomeadamente no que diz respeito aos seus direitos enquanto titulares dos dados, aquando da sua interação com o IPS.

c) Definir a atuação dos Serviços Centrais do IPS, Unidades Orgânicas de Ensino e Investigação e Serviços de Ação Social, no âmbito da recolha e do tratamento de dados pessoais.

2 - São destinatários do presente Regulamento:

a) Os Serviços Centrais do IPS, as Unidades Orgânicas de Ensino e Investigação e os Serviços de Ação Social;

b) Os/As trabalhadores/as do IPS, os/as estudantes e outros/as colaboradores/as;

c) Os contraentes de aquisições de bens e serviços, empreitadas ou detentores de concessão;

d) Todas as pessoas singulares que, a qualquer título, se relacionem com o IPS.

3 - O presente regulamento não se aplica aos tratamentos realizados pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

Artigo 2.º

Definições

Para efeitos do presente regulamento, entende-se por:

a) «Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

b) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

c) «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

d) «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

e) «Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um/a titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

f) «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

g) «Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;

h) «Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;

i) «Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;

j) «Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o/a titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;

k) «Consentimento» do/a titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o/a titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

l) «Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;

m) «Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;

n) «Titular», inclui (mas não se limita a): estudantes, colaboradores/as e ex-colaboradores/as, trabalhadores/as, bolseiros/as, parceiros, candidatos/as a um emprego, fornecedores e prestadores de serviços, requerentes e reclamantes, e todas aquelas pessoas individuais que forneçam dados pessoais ao IPS e a quem os dados pessoais dizem respeito;

o) «RGPD»: Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

p) «Violação de dados pessoais»: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

q) «Encarregado de Proteção de Dados»: Trabalhador em funções públicas ou consultor externo que tem como função principal informar e aconselhar quanto ao cumprimento das obrigações relevantes em matéria de proteção de dados.

Artigo 3.º

Princípios Gerais

Em consonância com o estabelecido no artigo 5.º do RGPD, os dados pessoais são:

a) Objeto de um tratamento lícito, leal e transparente em relação ao/à titular dos dados (princípio da licitude, lealdade e transparência);

b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.º n.º 1 do RGPD (princípio da limitação das finalidades);

c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados (princípio da minimização dos dados);

d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora (princípio da exatidão);

e) Conservados de uma forma que permita a identificação dos/as titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o n.º 1 do artigo 89.º do RGPD, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo Regulamento, a fim de salvaguardar os direitos e liberdades do/a titular dos dados (princípio da limitação da conservação);

f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (princípio da integridade e confidencialidade).

Artigo 4.º

Informações sobre o tratamento e os direitos dos/as titulares no momento da recolha dos dados pessoais

1 - No momento da recolha dos dados pessoais, o IPS, enquanto responsável pelo tratamento, faculta informações sobre o tratamento dos dados pessoais e sobre os direitos dos/as titulares.

2 - Para que a prestação das referidas informações ocorra no momento da recolha dos dados e fique devidamente documentada e comprovada, estas são prestadas nos requerimentos dos diversos procedimentos.

Artigo 5.º

Licitude do tratamento

O IPS só procede ao tratamento dos dados pessoais, em cumprimento do princípio da licitude, na medida em que se verifique pelo menos uma das seguintes situações:

a) Tiver obtido o consentimento livre, específico, informado e explícito do/a titular para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b) O tratamento for necessário para a execução de um contrato no qual o/a titular dos dados é parte, ou para diligências pré-contratuais a pedido do/a titular dos dados;

c) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o IPS esteja sujeito;

d) O tratamento for necessário para a defesa de interesses vitais do/a titular dos dados ou de outra pessoa singular;

e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o IPS;

f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo IPS ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do/a titular que exijam a proteção dos dados pessoais, em especial se o/a titular for uma criança.

Artigo 6.º

Exercício dos direitos conferidos pelo RGPD

1 - O/A titular dos dados tem o direito de obter informações claras, transparentes, inteligíveis e de fácil acesso, utilizando uma linguagem clara e simples, sobre como é que o IPS utiliza os seus dados e quais são os seus direitos.

2 - O IPS poderá, contudo, recusar a prestação da informação solicitada sempre que, para o fazer, tenha de revelar dados de outra pessoa ou se a informação solicitada prejudicar os direitos de outra pessoa.

3 - O/A titular dos dados tem o direito de obter do/a responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:

a) As finalidades do tratamento dos dados;

b) As categorias dos dados pessoais em questão;

c) Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados, nomeadamente os destinatários estabelecidos em países terceiros ou pertencentes a organizações internacionais;

d) Se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios usados para fixar esse prazo;

e) A existência do direito de solicitar ao/à responsável pelo tratamento a retificação, o apagamento ou a limitação do tratamento dos dados pessoais no que diz respeito ao/à titular dos dados, ou do direito de se opor a esse tratamento;

f) A possibilidade de apresentar reclamação a uma autoridade de controlo;

g) Se os dados não tiverem sido recolhidos junto do/a titular, as informações disponíveis sobre a origem desses dados;

h) A existência de decisões automatizadas.

4 - O/A titular pode solicitar:

a) O apagamento dos seus dados, desde que não existam fundamentos válidos para que o IPS os conserve ou continue a usá-los ou, quando, o seu uso seja ilícito;

b) A tomada de medidas razoáveis para corrigir os seus dados que estejam incorretos ou incompletos.

5 - O/A titular dos dados tem o direito de obter do/a responsável pelo tratamento, a limitação do tratamento, se se aplicar uma das seguintes situações:

a) Pretende contestar a exatidão dos dados pessoais, durante um período que permita ao/à responsável pelo tratamento verificar a sua exatidão;

b) O tratamento for ilícito e o/a titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização;

c) O/A responsável pelo tratamento já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo/a titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;

d) Se tiver oposto ao tratamento, até se verificar que os motivos legítimos do/a responsável pelo tratamento prevalecem sobre os do/a titular dos dados.

6 - O/A responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer retificação ou apagamento dos dados pessoais ou limitação do tratamento a que se tenha procedido.

7 - O/A titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um/a responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro/a responsável pelo/a tratamento sem que o/a responsável a quem os dados pessoais foram fornecidos o possa impedir, se:

a) O tratamento se basear no consentimento; e

b) O tratamento for realizado por meios automatizados.

8 - O/A titular tem o direito de se opor a determinados tipos de tratamento, por motivos relacionados com a sua situação particular, a qualquer altura em que decorra esse tratamento, nos termos do artigo 21.º do RGPD.

9 - O/A titular dos dados tem direito a ser informado sobre qualquer violação de dados pessoais e apresentar queixa à autoridade de controlo, no caso, a Comissão Nacional de Proteção de Dados (CNPD), cujos contactos se encontram disponíveis em www.cnpd.pt.

10 - O exercício dos direitos é efetuado mediante comunicação dirigida ao/à Encarregado/a de Proteção de Dados para o email protecaodados@ips.pt

11 - O/A requerente deve identificar-se com rigor e poder comprovar a sua identidade quando exerce os seus direitos, mas não tem de fornecer mais dados pessoais do que aqueles que são tratados pelo/a responsável pelo tratamento, devendo conservar prova de que apresentou um pedido de exercício dos seus direitos.

12 - O/A titular deve obter uma resposta no prazo de 15 dias a contar da data em que o seu pedido é recebido.

13 - O/A responsável pelo tratamento pode recusar-se a dar seguimento a um pedido quando este se revelar manifestamente ilegítimo, infundado ou excessivo, designadamente devido ao seu caráter repetitivo.

Artigo 7.º

Deveres gerais dos/as titulares dos dados e punições

1 - Os/As titulares dos dados devem exercer os seus direitos com respeito pelo princípio da boa-fé, prestando informações adequadas, claras, corretas e precisas ao responsável pelo tratamento de dados, por forma a viabilizar um tratamento lícito, leal e transparente dos dados pessoais.

2 - Quem inserir ou facilitar a inserção de dados pessoais falsos, com a intenção de obter vantagem indevida para si ou para terceiro, ou para causar prejuízo, é punido com pena de prisão até 2 anos ou com pena de multa até 240 dias, nos termos do disposto no artigo 60.º da Lei 59/2019, de 8 de agosto, ou outra que lhe venha a suceder.

CAPÍTULO II

RESPONSÁVEL PELO TRATAMENTO DE DADOS

Artigo 8.º

Responsabilidade

1 - O/A responsável pelo tratamento dos dados é o IPS, o qual, nos termos da lei, é representado pelo/a Presidente do IPS, em juízo e fora dele.

2 - O/A responsável pelo tratamento determina a aplicação das medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o RGPD e o presente Regulamento.

3 - As medidas referidas no número anterior são revistas e atualizadas consoante as necessidades, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis.

4 - As medidas devem incluir a adoção e o modo de aplicação das políticas adequadas em matéria de proteção de dados, códigos de conduta, políticas de privacidade, os quais constituem evidências do cumprimento das obrigações por parte do/a responsável pelo tratamento.

Artigo 9.º

Encarregado de Proteção de Dados do IPS

1 - O IPS designa um/a Encarregado/a de Proteção de Dados (EPD), com base nas suas qualificações profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito nacional e europeu de proteção de dados, no conhecimento das operações de processamento realizadas, das tecnologias de informação, das práticas de segurança de dados, bem como da estrutura organizacional do IPS.

2 - Sem prejuízo do disposto no RGPD, e da Lei 58/2019, de 8 de agosto, são funções do/a Encarregado/a de Proteção de Dados:

a) Organizar e promover as obrigações de divulgação ativa de informação a que o IPS está vinculado, informando e aconselhando através do/a responsável pelo tratamento ou o/a subcontratante, bem como os/as trabalhadores e estudantes que tratem os dados, a respeito das suas obrigações nos termos da legislação em vigor;

b) Apreciar os pedidos de acesso e de reutilização de informação administrativa produzida ou na posse do IPS, que sejam feitos por pessoas singulares e por pessoas coletivas de direito público ou de direito privado;

c) Controlar a conformidade com a legislação em vigor e com as políticas do/a responsável pelo tratamento ou do/a subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;

d) Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controlo da sua realização;

e) Cooperar com a CNPD;

f) Assegurar a realização de auditorias, quer periódicas, quer não programadas;

g) Sensibilizar os/as utilizadores/as para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o/a responsável pela segurança desses dados;

h) Assegurar as relações com os/as titulares de dados nas matérias abrangidas pelo RGPD, pela legislação nacional e pelo presente Regulamento, em matéria de proteção de dados.

3 - Nos termos do n.º 2 do artigo 39.º do RGPD, no desempenho das suas funções, o/a Encarregado/a de Proteção de Dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

4 - Nos termos do n.º 5 do artigo 38.º do RGPD e do artigo 10.º da Lei 58/2019, de 8 de agosto, o/a Encarregado/a de Proteção de Dados, bem como os/as responsáveis pelo tratamento de dados, incluindo os/as subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados/as a um dever de confidencialidade, que se mantém após o termo das funções que lhes deram origem, que acresce aos deveres de sigilo profissional legalmente previstos.

5 - No sentido da promoção de boas práticas e do alinhamento do tratamento de dados no IPS com a legislação em vigor, o/a Encarregado/a de Proteção de Dados informa e aconselha, os/as Responsáveis pelo tratamento de dados, sejam eles/as trabalhadores/as docentes ou não docentes, investigadores/as ou estudantes que tratem os dados pessoais, a respeito das suas obrigações nos termos do RGPD.

Artigo 10.º

Direitos do/a Encarregado/a de Proteção de Dados

1 - No âmbito e na prossecução das suas funções, de forma célere e independente, o/a Encarregado/a de Proteção de Dados do IPS tem acesso ilimitado ao sistema, à documentação e à informação da organização.

2 - O IPS deve providenciar ao/à Encarregado/a de Proteção de Dados os meios de ordem logística e tecnológica necessários ao desempenho da sua função e das suas competências.

CAPÍTULO III

PROTEÇÃO DE DADOS

Artigo 11.º

Categorias de Dados

1 - Os dados que o IPS recolhe e trata dependem sempre da natureza da interação, mas podem incluir, entre outros:

a) Dados pessoais e curriculares/académicos de estudantes e diplomados;

b) Dados pessoais e curriculares/académicos de candidatos a estudantes;

c) Dados pessoais de trabalhadores/as e bolseiros/as;

d) Dados pessoais de candidatos/as a concursos de recrutamento de pessoal docente, investigador e não docente;

e) Contactos para efeitos de partilha de eventos no IPS;

f) Dados pessoais de clientes ou fornecedores do IPS no âmbito de prestação de serviços;

g) Dados pessoais no âmbito de estudos e projetos de I&D;

h) Dados pessoais de Conselheiros/as Externos/as;

i) Dados pessoais de outros/as interessados/as;

j) Dados de saúde.

Artigo 12.º

Finalidades do Tratamento de Dados

1 - O desenvolvimento e a realização das atividades por parte do IPS têm subjacente um conjunto de órgãos de Gestão, Serviços, entre outros, com finalidades específicas e legítimas para o Tratamento de Dados, designadamente:

a) Unidades Orgânicas de Ensino e Investigação e Secretariados;

b) Conselho Geral;

c) Conselhos de Representantes;

d) Conselho Académico;

e) Conselho Técnico-científico de cada Unidade Orgânica de Ensino e Investigação;

f) Conselho Pedagógico de cada Unidade Orgânica de Ensino e Investigação;

g) Provedor/a do Estudante;

h) Conselho de Gestão;

i) Divisão de Gestão de Pessoas;

j) Divisão Financeira, de Aprovisionamento e Património;

k) Divisão de Comunicação e Relações Externas;

l) Divisão Informática;

m) Divisão Académica;

n) Divisão do Edificado e Infraestruturas;

o) Divisão para a Investigação e Cooperação Internacional;

p) Divisão de Bibliotecas, Arquivo e Documentação;

q) Unidade para a Inovação Pedagógica e Promoção do Sucesso Académico;

r) Serviço de Assessoria Jurídica;

s) Gabinete de Apoio à Presidência;

t) Prossecução das atribuições dos Serviços de Ação Social, nomeadamente, atribuições de bolsas de estudo e promoção do desenvolvimento, bem-estar e saúde;

2 - As menções referentes aos serviços, nomeadamente departamentos, divisões, Unidades Orgânicas de ensino e investigação e gabinetes, constantes do presente Regulamento reportam-se, em caso de alteração da estrutura orgânica do IPS, àquelas que as sucederem nas respetivas funções.

3 - A título meramente exemplificativo e não exaustivo, identificam-se como integrantes nos grupos de finalidades referidos no n.º 1:

a) Preenchimento da ficha do estudante, registo de assiduidade, notas de avaliação;

b) Atribuição do estatuto de estudante com Necessidades Educativas Específicas (NEE);

c) Aulas e avaliação à distância;

d) Celebração e execução do Contrato de Trabalho;

e) Processamento salarial, no qual se incluem pagamentos, descontos e retenções na fonte de impostos e contribuições a que o Empregador esteja obrigado ou que lhe sejam permitidos por lei;

f) Cumprimento das obrigações de saúde e segurança no trabalho do IPS;

g) Cumprimento dos deveres de comunicação no âmbito de acidentes de trabalho;

h) Formação profissional e avaliação de desempenho dos/as trabalhadores/as;

i) Processos disciplinares dos/as trabalhadores/as;

j) Processos Disciplinares dos/as estudantes;

k) Controlo de assiduidade e pontualidade;

l) Penhora de salários regularmente notificadas por agente de execução;

m) Cumprimento de outros normativos legais aplicáveis ao IPS ou de decisão judicial de que esta seja notificada;

n) Reuniões por via telemática.

4 - O tratamento de dados abrange o armazenamento, pela duração estritamente necessária.

Artigo 13.º

Proteção de dados pessoais e o direito de acesso aos documentos administrativos

1 - Nos termos do artigo 86.º do RGPD, do artigo 26.º da Lei 58/2019, de 8 de agosto, e da Lei 26/2016, de 22 de agosto, os dados pessoais que constem de documentos oficiais na posse do IPS, para a prossecução de atribuições de interesse público, podem ser divulgados nos termos da legislação de acesso a documentos administrativos (LADA), com o intuito de conciliar o acesso do público a documentos oficiais com o direito à proteção dos dados pessoais.

2 - O deferimento do requerimento de constituição como interessado/a, pelo/a responsável com competência para o efeito, para efeitos do disposto nos artigos 82.º e 83.º do CPA deverá, em conformidade com os princípios da proporcionalidade e da minimização dos dados pessoais, fazer menção ao expurgo dos dados pessoais, que não sejam relevantes no procedimento.

3 - Em relação aos dados pessoais dos/as trabalhadores/as, dos/as candidatos, estudantes, ou concorrentes, a minimização dos dados pessoais cumpre-se através da ocultação ou expurgo de dados relativos à morada, aos contactos e aos números de identificação civil e fiscal, podendo a identificação dos nomes ser substituída por pseudonimização.

4 - Sempre que os procedimentos administrativos se desenvolvam em plataformas digitais, devem estas ser desenhadas de raiz ou parametrizadas em termos que permitam a ocultação automática dos dados pessoais não pertinentes, nem necessários, no contexto da consulta pelos/as interessados/as no procedimento.

5 - Um terceiro só tem direito de acesso a documentos nominativos:

a) Se estiver munido de autorização escrita do/a titular dos dados que seja explícita e específica quanto à sua finalidade e quanto ao tipo de dados a que quer aceder;

b) Se demonstrar fundamentadamente através de requerimento dirigido aos Serviços ser titular de um interesse direto, pessoal, legítimo e constitucionalmente protegido suficientemente relevante, após ponderação, no quadro do princípio da proporcionalidade, de todos os direitos fundamentais em presença e do princípio da administração aberta, que justifique o acesso à informação.

6 - O terceiro a quem tenha sido concedido o acesso a documentos administrativos nominativos será responsável por qualquer posterior comunicação ou divulgação de dados pessoais.

7 - Nos termos do disposto na alínea e) do n.º 1 do artigo 13.º do RGPD, está o IPS vinculado a informar o/a titular dos dados da identidade daquele/a a quem em concreto disponibilizou os dados.

8 - O RGPD não se aplica ao tratamento de dados de pessoas coletivas, nem de pessoas falecidas, com salvaguarda das disposições previstas no Código Civil e no artigo 17.º da Lei 58/2019.

9 - A troca de informação sensível, nomeadamente a que contenha dados pessoais, através de canais como o e-mail, aplicação Microsoft Teams, ou outros, deve ser limitada, obedecendo aos princípios da adequação, pertinência, e minimização, sendo em todo o caso informação confidencial, sem prejuízo do disposto na alínea c) do artigo 5.º

10 - A partilha de dados entre serviços do IPS para cumprimento de exigências legais e de financiamentos de projetos de interesse público, deve ser requerida pelo serviço competente para o efeito, com indicação da obrigação específica que visa responder, ao abrigo do disposto no artigo 22.º e 23.º da Lei 58/2019, de 8 de agosto, que assegura a execução do RGPD, e nos termos do disposto no n.º 4 do artigo 49.º do RGPD, sendo da competência do serviço transmissor de dados, respeitar o cumprimento da minimização de dados na transmissão interna.

Artigo 14.º

Comunicação de dados pessoais

1 - Na prossecução das suas atribuições e em cumprimento de obrigações legais e/ou contratuais, e mediante a devida fundamentação, o IPS procede à comunicação de dados pessoais a outros destinatários, nomeadamente:

a) Serviços e organismos da Administração direta e indireta do Estado, designadamente:

i) Autoridade Tributária e Aduaneira;

ii) Autoridade para as Condições de Trabalho;

iii) Caixa Geral de Aposentações, I. P.;

iv) Órgãos e serviços com poderes e competências de fiscalização e inspeção, nomeadamente a Inspeção-Geral da Educação e Ciência;

v) Instituto da Segurança Social;

b) Entidades administrativas independentes;

c) Entidades financiadoras de projetos e Entidades gestoras de programas de financiamento nacionais, comunitários ou internacionais, designadamente:

i) Agências da União Europeia;

ii) Fundação para a Ciência e a Tecnologia;

iii) Organizações nacionais ou internacionais que financiem investigação e desenvolvimento de tecnologia;

d) Organismos de certificação, de inspeção e de auditoria, nacionais ou europeus;

e) Advogados e outros mandatários, no âmbito da gestão de contencioso;

f) Empresas prestadoras de serviços ao IPS;

g) Instituições financeiras;

h) Órgãos de polícia criminal;

i) Tribunais;

j) Seguradoras;

l) Quaisquer interessados que se encontrem munidos de autorização escrita do titular dos dados, explícita e específica quanto à finalidade e tipo de dados, ou demonstrem possuir um interesse legítimo, pessoal e direto, constitucionalmente protegido e suficientemente relevante que justifique o acesso pretendido, nos termos da legislação em vigor.

2 - A pedido do respetivo titular, ou com o seu consentimento, os dados poderão ser partilhados com outras entidades identificadas pelo próprio.

3 - Qualquer outro reporte de informação do IPS que implique a divulgação de dados pessoais relativos a docentes, investigadores, não docentes, outros/as colaboradores/as e estudantes, em ambiente de internet ou noutros circuitos de comunicação, que não decorra de uma obrigação jurídica, tem de ser previamente visado pelo/a Encarregado/a de Proteção de Dados.

Artigo 15.º

Prazos de conservação dos dados

1 - Os prazos de conservação dos dados pessoais são definidos de acordo com o artigo 21.º da Lei 58/2019, de 8 de agosto, ou por norma que lhe vier a suceder.

2 - Quando, pela natureza e finalidade do tratamento, designadamente para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos, não seja possível determinar antecipadamente o momento em que o mesmo deixa de ser necessário, é lícita a conservação dos dados pessoais, desde que sejam adotadas medidas técnicas e organizativas adequadas a garantir os direitos do/a titular dos dados, designadamente a informação da sua conservação.

3 - Quando os dados pessoais sejam necessários para o/a responsável pelo tratamento, ou o/a subcontratante, comprovar o cumprimento de obrigações legais, contratuais ou de outra natureza, os mesmos podem ser conservados enquanto não decorrer o prazo de prescrição dos direitos respetivos.

4 - No que diz respeito a alguns prazos na área dos Recursos Humanos, o prazo para a conservação de documentos referentes à formação profissional ocorre durante a vigência do contrato e 5 anos após a cessação deste, o prazo para processos disciplinares ocorre durante vigência do contrato e 1 ano após a cessação deste, o prazo de conservação de fotografias do trabalhador reporta-se ao período da vigência do contrato, e os dados biométricos devem ser conservados até à transferência do trabalhador para outro local de trabalho ou até à cessação do contrato.

5 - Quando cesse a finalidade que motivou o tratamento, inicial ou posterior, de dados pessoais, o/a responsável pelo tratamento deve proceder à sua destruição ou anonimização, nos termos do disposto no artigo 21.º da Lei 58/2019, de 8 de agosto, ou outra que vier a suceder.

6 - Nos casos em que existe um prazo de conservação de dados imposto por lei, só pode ser exercido o direito ao apagamento previsto no artigo 17.º do RGPD findo esse prazo.

7 - Os dados relativos a declarações contributivas para efeitos de aposentação ou reforma devem ser conservados sem limite de prazo, a fim de auxiliar o/a titular na reconstituição das carreiras contributivas, desde que sejam adotadas medidas técnicas e organizativas adequadas a garantir os direitos do/a titular dos dados.

Artigo 16.º

Reuniões dos órgãos do IPS

1 - As reuniões dos órgãos do IPS podem ser realizadas presencialmente, através de meios telemáticos ou em formato híbrido.

2 - Os/As titulares dos dados pessoais, na qualidade de participantes em reuniões telemáticas, devem prestar o seu consentimento prévio, livre, expresso e informado, para a captação, tratamento e respetiva difusão da imagem.

Artigo 17.º

Consentimento no contexto das atividades académicas

1 - No momento da inscrição/matrícula das formações ministradas pelo IPS, os/as estudantes deverão prestar o seu consentimento expresso para tratamento dos seus dados de imagem, por meios fotográficos ou de vídeo, no contexto das atividades académicas, designadamente, aulas e provas à distância, nas quais participem por via telemática.

2 - No documento aludido no número anterior, deverá ser feita menção ao alargamento do consentimento às situações em que as aulas e provas sejam realizadas em modo híbrido, existindo participantes fisicamente presentes e outros por via telemática.

3 - Nos mesmos termos previstos no n.º 1, deverá também ser recolhido o consentimento expresso dos/as estudantes para a transmissão dos dados pessoais necessários para efeitos de contratação de seguro escolar, nos termos da lei vigente.

Artigo 18.º

Subcontratantes

1 - O IPS recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de forma que o tratamento satisfaça os requisitos do RGPD e assegure a defesa dos direitos do/a titular dos dados.

2 - O tratamento em subcontratação é regulado por contrato ou outro ato normativo, que vincule o subcontratante ao IPS, estabeleça o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos/as titulares dos dados, e as obrigações e direitos do/a responsável pelo tratamento.

3 - O contrato ou outro ato normativo estipulam, designadamente, que o subcontratante:

a) Trata os dados pessoais apenas mediante instruções documentadas pelo IPS, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União ou do Estado-Membro a que está sujeito, informando nesse caso o IPS desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;

b) Assegura que as pessoas autorizadas a tratar os dados pessoais assumem um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;

c) Adota todas as medidas exigidas nos termos do artigo 32.º do RGPD;

d) Respeita as condições do RGPD para contratar outro subcontratante;

e) Toma em conta a natureza do tratamento, e na medida do possível, presta assistência ao IPS através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos/as titulares dos dados;

f) Presta assistência ao IPS no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.º a 36.º do RGPD, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante;

g) Consoante a escolha, o IPS apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo do direito da União ou dos Estados-Membros;

h) Disponibiliza ao/à responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo/a responsável pelo tratamento ou por outro/a auditor/a por este mandatado.

Artigo 19.º

Confidencialidade

No âmbito da sua atividade, o IPS não vende, aluga, distribui, nem disponibiliza comercialmente ou de outra forma os dados pessoais a nenhuma entidade terceira, exceto nos casos em que necessita de partilhar tal informação com entidades prestadoras de serviços para os fins estabelecidos no presente Regulamento ou com Terceiros para a finalidade de cumprimento das suas obrigações legais, assim como com os órgãos de tutela no âmbito das suas atribuições.

Artigo 20.º

Transferência de dados pessoais no âmbito de acordos ou protocolos

1 - A transferência, por parte do IPS, de dados pessoais para países terceiros ou organizações internacionais deve, em todas as circunstâncias, assegurar que as pessoas a quem os dados respeitam beneficiam de um nível de proteção substancialmente equivalente ao garantido pelo regime de proteção de dados da União Europeia.

2 - Para o efeito, os protocolos/acordos/convénios celebrados entre o IPS e instituições de países terceiros ou organizações internacionais deverão conter cláusula que preveja expressamente o(s) regime(s) aplicável/aplicáveis em matéria de proteção de dados pessoais.

3 - Os protocolos/acordos/convénios a celebrar, tanto ao nível nacional como internacional, devem incluir cláusulas específicas de proteção de dados que limitem o tratamento dos dados à execução do contrato e às instruções do IPS, que proíbam expressamente o tratamento, direta ou indiretamente, para qualquer outra finalidade, bem como para proveito próprio ou de terceiros e, ainda, prever medidas de proteção dos dados por parte da entidade outorgante.

Artigo 21.º

Aprovação de orientações práticas e formação

1 - O IPS compromete-se a aprovar orientações práticas necessárias a garantir a conformidade dos diferentes serviços com o RGPD, atendendo às especificidades respetivas, definindo em concreto para cada área quais as categorias de dados tratadas, as finalidades de tratamento, os prazos de conservação, assim como as medidas organizativas adequadas.

2 - O IPS aprovará, nos seus planos anuais de formação, ações que visem a melhoria de competências e a aquisição de conhecimentos práticos dos direitos e deveres do IPS, dos/as trabalhadores/as e dos/as titulares de dados.

Artigo 22.º

Acesso e arquivamento

1 - O acesso aos dados pessoais recolhidos deve estar devidamente acautelado, no sentido de apenas poderem aceder aos mesmos os/as trabalhadores/as que em determinado momento processual estejam a desenvolver algum procedimento que os/as legitime.

2 - Sempre que os dados pessoais se encontrem disponíveis fisicamente, estes devem estar devidamente arquivados em locais fechados, sendo que as chaves ou códigos devem igualmente estar na posse de trabalhadores determinados pelos respetivos dirigentes e/ou responsáveis das Unidades Orgânicas, devendo ser cumpridas as orientações internas para acesso aos dados.

Artigo 23.º

Sigilo profissional

Os/As responsáveis pelo tratamento, os/as subcontratantes, bem como qualquer outra pessoa que, no exercício das suas funções, tenha acesso a dados pessoais, ficam obrigados/as a sigilo profissional, mesmo após o termo das suas funções.

Artigo 24.º

Segurança das redes e sistemas de informação

1 - A recolha, tratamento e salvaguarda dos dados pessoais, deve estar assente numa conceção que tenha a segurança como principal objetivo do seu desenho, por forma a garantir, nomeadamente, o seguinte:

a) Devem ser cumpridos, em todas as aplicações e sistemas de informação do IPS, os requisitos técnicos constantes na Resolução do Conselho de Ministros n.º 41/2018, de 28 de março, ou outra que lhe suceder, que define as orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais;

b) É da competência dos/as dirigentes determinar os requisitos gerais indicados no número anterior, nomeadamente, quem tem permissões para recolher e tratar dados pessoais, no âmbito dos processos que coordenam, e o momento em que cada um/a o pode fazer e solicitar ao/à responsável dos serviços competentes em Tecnologia da Informação a implementação das medidas especificas adequadas para o efeito;

c) É da responsabilidade dos serviços competentes em Tecnologia da Informação definir e implementar os requisitos específicos indicados na alínea a) do presente artigo;

d) Adicionalmente, podem ser acauteladas e desenvolvidas medidas tecnológicas e procedimentais tendentes a aumentar e garantir os níveis de segurança de todos os dados pessoais e restante informação à sua guarda.

Artigo 25.º

Atendimento

1 - A comunicação de informação que envolva dados pessoais via telefone, serviços eletrónicos ou correio eletrónico só pode ser realizada se o/a titular dos dados tiver dado previamente o consentimento escrito nesse sentido.

2 - No atendimento presencial ao público deve ser salvaguardada a proteção da privacidade no tratamento dos dados pessoais das pessoas singulares.

Artigo 26.º

Política de privacidade e proteção de dados pessoais

O IPS compromete-se e manter atualizado e disponível ao público, na sua página oficial na Internet, um documento sobre política de privacidade e proteção de dados pessoais.

Artigo 27.º

Cooperação com a autoridade de controlo

Nos termos do artigo 8.º da Lei 58/2019, de 8 de agosto, o IPS enquanto responsável pelo tratamento, coopera e colabora com a autoridade de controlo, a pedido desta, na prossecução das suas atribuições e competências.

Artigo 28.º

Utilização e reprodução de documentos de identificação

A utilização e reprodução dos documentos de identificação dos/as titulares dos dados só pode ser realizada mediante consentimento escrito dos/as mesmos/as e nos termos legalmente em vigor.

Artigo 29.º

Consentimento de menores

1 - O tratamento dos dados pessoais de menores é lícito quando os mesmos transmitam formalmente o consentimento e já tenham completado 13 (treze) anos de idade.

2 - Caso a criança tenha idade inferior a 13 (treze) anos, o tratamento só é lícito se for consentido pelos representantes legais desta e, de preferência, com recurso a meios de autenticação segura.

Artigo 30.º

Recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos

1 - A recolha, tratamento e divulgação de imagens, fotografias ou vídeos captados no decurso de eventos que decorram nas instalações do IPS encontra-se subordinada ao consentimento do/a titular sempre que as imagens ou vídeos identifiquem pessoas individuais.

2 - Sempre que nesses eventos, ocorra recolha de imagens, som e vídeo, tal informação deve ser afixada ou disponibilizada de forma geral ao público.

3 - Quando a recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos por parte do IPS disser respeito a menores, deve ser obtido o prévio consentimento dos seus representantes legais, privilegiando-se, no entanto, os direitos dos menores optando por captação de imagem de longe e de ângulos em que os mesmos não sejam facilmente identificáveis.

4 - Os retratos ou vídeos que permitam identificar a pessoa não podem ser expostos publicamente, reproduzidos, ou utilizados para fim comercial, sem o consentimento expresso do/a titular dos direitos de imagem.

CAPÍTULO IV

ESPECIFICIDADES NO TRATAMENTO DE DADOS

Artigo 31.º

Divisão Académica e Sistema de Gestão Académica

1 - Os resultados das avaliações dos/as estudantes devem ser disponibilizados por unidade curricular (UC) indicando o nome, o número de estudante, a nota atribuída, a turma e o ano letivo, em formato digital, em área de acesso restrito aos/às estudantes inscritos na respetiva UC, bem como a outras pessoas dos serviços/Unidades Orgânicas que pelas suas funções tenham legitimidade para aceder a estes dados.

2 - Para além dos casos especialmente previstos na lei, um terceiro só tem acesso a certidões ou diplomas, mediante autorização escrita do/a titular dos dados que seja explícita e específica quanto à sua finalidade e quanto ao tipo de dados a que quer aceder, ou se demonstrar através de requerimento fundamentado ser titular de um interesse direto, pessoal, legítimo e constitucionalmente protegido suficientemente relevante.

3 - Para apreciar a legitimidade do/a requerente para levantar presencialmente documentos com informação pessoal, o/a interessado/a deve apresentar-se com o original do documento de identificação, ou em alternativa, original da carta de condução ou passaporte, ou os documentos em formato digital exibidos através de meios legalmente aprovados para consulta pelos serviços.

4 - O acesso a outros documentos deve ser objeto de análise individual, na expetativa de que cada caso exige sempre um juízo de ponderação dos aspetos relevantes, dos valores ou interesses em jogo, numa determinada situação em concreto.

Artigo 32.º

Acesso a informação sensível de estudante do IPS com Necessidades Educativas Específicas

1 - O tratamento de dados de saúde do/a estudante, por parte da Divisão Académica, e da Comissão de Análise das Necessidades Educativas Específicas para efeitos de atribuição de estatuto, conforme previsto no Regulamento das Atividades Académicas e Linhas Orientadoras de Avaliação de Desempenho Escolar dos/as Estudantes do Instituto Politécnico de Setúbal (RAA-IPS), e definição e implementação de medidas de apoio suplementar, encontra licitude nas alíneas b), c) e alínea e) do 6.º/1, e respeita a condição imposta pelo 9.º/2/h, do RGPD.

2 - Para efeitos das prerrogativas a conceder, em função das especificidades apresentadas pelo/a requerente do estatuto de estudante com NEE o/a estudante pode, mediante um ato positivo claro, que indique uma manifestação de vontade livre, específica, informada e inequívoca, autorizar a partilha dos seus dados pessoais, para efeitos de informação aos/às docentes, sempre que se mostrar pertinente à adequação das mesmas ao seu desempenho académico e pedagógico.

3 - A cedência de relatórios médicos aos/às docentes dos/as estudantes só será licita, quando for necessária à prossecução dos fins para que foram recolhidos, isto é, quando se enquadre na articulação prevista no RAA-IPS, sempre no pressuposto de que a cedência beneficia a adequação do processo de ensino e aprendizagem, promove a equidade e a não discriminação, for precedida de consentimento explicito, livre, específico, informado e inequívoco do/a titular dos dados, para esta finalidade específica.

4 - Relativamente aos pedidos apresentados para gravação áudio de aulas por parte de Estudantes cabe ao/à docente autorizar tal pretensão, desde que não ocorra oposição fundamentada na violação clara de direitos fundamentais.

5 - Quando ficar demonstrada essa oposição, o/a docente poderá sobrepor o direito à proteção de dados, desde que garanta alternativa à gravação, através de meios técnicos concretos colocados à disposição do estudante com NEE, que igualizem as vantagens oferecidas pela gravação da aula.

Artigo 33.º

Contratação Pública

1 - Como condição de disponibilização de documentos no âmbito da contratação pública que contenham dados pessoais, em conformidade com os princípios da proporcionalidade e da minimização, devem ser expurgados os dados pessoais não pertinentes no âmbito do procedimento.

2 - No âmbito da contratação pública, e caso seja necessária a publicação de dados pessoais, não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do contraente público e do cocontratante.

3 - O nome do contraente público e do cocontratante devem ser considerados como dados a manter, bem como a assinatura.

4 - Devem ser retirados os dados dos números de contribuinte e cartão do cidadão, bem como o nome do gestor de contrato e códigos de acesso à Certidão Permanente.

5 - Nos termos do disposto no artigo 66.º do Código dos Contratos Públicos (CCP), por motivos de segredo comercial, industrial, militar ou outro, os interessados podem requerer, até ao termo do primeiro terço do prazo fixado para a apresentação das propostas, a classificação, nos termos da lei, de documentos que constituem a proposta, para efeitos da restrição ou da limitação do acesso aos mesmos na medida do estritamente necessário.

Artigo 34.º

Tratamento de dados pessoais no contexto laboral

1 - Nos termos do artigo 88.º do RGPD e do artigo 28.º da Lei 58/2019, de 8 de agosto, o IPS pode tratar os dados pessoais dos/as seus/suas trabalhadores/as para as finalidades, e com os limites, definidos na LGTFP e no Código do Trabalho e respetiva legislação complementar, ou noutros regimes setoriais, bem como nos termos do clausulado do contrato de trabalho em funções públicas.

2 - O IPS tratará os dados pessoais dos trabalhadores, ainda, para efeitos de contratação de seguros, nos termos da lei em vigor, obedecendo a transmissão desses dados às regras gerais previstas pelo RGPD.

3 - No acesso aos dados relativos aos processos de avaliação dos/as trabalhadores/as, deve ser dado acesso ao nome, sendo expurgados os demais dados de identificação.

Artigo 35.º

Comunicação e Relações exteriores

1 - No caso de registo de imagem de grupos, quem recolhe as imagens deve comunicar antecipadamente essa intenção, preferencialmente por escrito, em sinalética informativa, visível, à entrada dos espaços sujeitos a captação de imagens.

2 - Noutros casos, a utilização de imagens deve ser precedida de consentimento válido dos/as titulares.

3 - Em qualquer caso, a intenção de utilização de imagens em páginas de internet ou de redes sociais deve ser comunicada previamente e de forma inequívoca aos/às titulares dos dados, aquando da sua recolha.

Artigo 36.º

RGPD na investigação

1 - No momento da recolha dos dados, os titulares devem ser informados da finalidade do tratamento dos dados (que deve incluir a eventual participação em estudos científicos de carácter curricular), da identificação do responsável pelo tratamento dos dados, as categorias de dados pessoais recolhidos e tratados, a forma de recolha e tratamento dos dados pessoais, as entidades a quem possam os dados ser comunicados, sobre a possibilidade da transferência de dados para países terceiros, o prazo de conservação dos dados, as formas de exercício do direito de acesso, de retificação ou esquecimento e o contacto do/a Encarregado/a de Proteção de Dados do IPS.

2 - O processo de recolha e tratamento de dados subsequente para efeitos da investigação, deve iniciar-se com a obtenção do consentimento dos titulares dos dados e ser leal, lícito, transparente e respeitador das normas de minimização de dados e os direitos individuais.

3 - No caso de projetos de investigação, incumbe ao coordenador do projeto assegurar a execução do projeto de acordo com a legislação e as orientações em vigor no IPS sobre proteção de dados pessoais.

4 - No caso de orientação de trabalhos académicos, tais como trabalhos em unidades curriculares, projetos, relatórios de estágio, dissertações de mestrado ou teses de doutoramento, incumbe ao(s)/à(às) orientador(es)/a(as), com a colaboração do estudante, assegurarem a execução dos trabalhos de acordo com o presente regulamento e outras orientações em vigor.

5 - Se o IPS for parceiro de outra instituição num projeto de investigação deve ser realizado um acordo entre as partes, que determine de modo transparente as respetivas responsabilidades no projeto pela conformidade do tratamento de dados com a legislação.

6 - Concluído o trabalho académico e de investigação, os dados cedidos devem ser destruídos ou anonimizados.

CAPÍTULO V

RESPONSABILIDADES E FISCALIZAÇÃO

Artigo 37.º

Responsabilidade civil, criminal ou disciplinar

1 - A violação das normas do RGPD, legislação nacional, orientações das autoridades de controlo e do presente Regulamento, pode gerar responsabilidade civil, criminal, contraordenacional e disciplinar.

2 - Os trabalhadores que, no desempenho das suas funções, estejam nomeados ou equiparados a responsáveis pelo tratamento, ou sejam intervenientes no tratamento dos dados, apesar de agirem por conta do órgão ou do serviço, são responsabilizados por eventuais incumprimentos, quando tal resultar inequivocamente da sua ação.

Artigo 38.º

Cumprimento do dever omitido

Sempre que a contraordenação resulte de omissão de um dever, o pagamento da coima não dispensa o/a infrator/a de dar cumprimento ao dever omitido, se este ainda for possível.

Artigo 39.º

Fiscalização

1 - Sem prejuízo das competências atribuídas por lei a outras entidades, a fiscalização do cumprimento do disposto no presente Regulamento compete ao/à EPD do IPS.

2 - Sem prejuízo do cumprimento do disposto nos artigos 33.º e 34.º do RGPD, as violações ao presente Regulamento são comunicadas pelo/a EPD ao/à Presidente do IPS o/a qual pode determinar a instauração de processo disciplinar ou inquérito, ou comunicar às autoridades competentes as violações contraordenacionais, criminais ou cíveis.

CAPÍTULO VI

DISPOSIÇÕES FINAIS

Artigo 40.º

Legislação subsidiária

A tudo o que não esteja especialmente previsto no presente Regulamento aplica-se, subsidiariamente, o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril, de 2016, a Lei 58/2019, de 8 de agosto, e as demais disposições legais que sejam aplicáveis em razão da matéria.

Artigo 41.º

Interpretação e casos omissos

As lacunas, as dúvidas interpretativas e os casos omissos suscitados na aplicação do presente Regulamento são preenchidos ou resolvidos mediante despacho fundamentado do/a Presidente do IPS.

Artigo 42.º

Entrada em vigor

O presente Regulamento entra em vigor no dia seguinte após a sua publicação no Diário da República.

318503505

Este documento liga aos seguintes documentos (apenas ligações para documentos da Serie I do DR):

• 2007-09-10 - Lei 62/2007 - Assembleia da República

  Estabelece o regime jurídico das instituições de ensino superior, regulando designadamente a sua constituição, atribuições e organização, o funcionamento e competência dos seus órgãos e ainda a tutela e fiscalização pública do Estado sobre as mesmas, no quadro da sua autonomia.

• 2016-08-22 - Lei 26/2016 - Assembleia da República

  Aprova o regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos, transpondo a Diretiva 2003/4/CE, do Parlamento Europeu e do Conselho, de 28 de janeiro, e a Diretiva 2003/98/CE, do Parlamento Europeu e do Conselho, de 17 de novembro

• 2019-08-08 - Lei 58/2019 - Assembleia da República

  Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados

• 2019-08-08 - Lei 59/2019 - Assembleia da República

  Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016