Proteção de DadosO Regulamento Geral de Proteção de Dados (RGPD) está em vigor desde o dia 25 de maio de 2018. Show Este conjunto de perguntas e respostas foi elaborado com o objetivo de preparar todos os funcionários, sobre como se deve proceder para cumprir o regulamento. Para qualquer dúvida adicional deverá contactar o Encarregado de Proteção de Dados do Instituto de Medicina Molecular no endereço de email .
Definições O que "não são" dados pessoais? Existe diferença entre os dados recolhidos junto do titular e os dados obtidos de outra forma? O que são "categorias especiais de dados pessoais"? Dados Genéticos são definidos como: "Os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa" (RGPD, Artº 4, nº 13). Dados biométricos são definidos como "Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular , nomeadamente imagens faciais ou dados dactiloscópicos" (RGPD, Art. 4º, nº 14). Dados relativos à saúde são definidos como "Dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde" (RGPD, Art. 4º, nº 15). Quem é o "titular dos dados"? Quem é o "encarregado de proteção dos dados"? O que é o "tratamento dos dados"? O que é a "pseudonimização" dos dados? Em que situações é lícito tratar dados pessoais? Computadores Pessoais Tenho dados pessoais de alunos, funcionários ou candidatos no meu computador pessoal, como devo proceder? Durante o tempo em que permanecem no computador pessoal, o funcionário deve assegurar-se que o seu computador cumpre todas as regras básicas de segurança. Opcionalmente, o utilizador poderá cifrar os ficheiros com dados pessoais, com a ajuda de programas como o WinRAR e o 7-Zip, que sendo de utilização livre permitem comprimir e cifrar um conjunto de ficheiros com uma password. Quais as regras básicas de segurança que devo seguir para assegurar a proteção dos dados pessoais temporariamente armazenados no meu computador pessoal? Cloud Uso documentos online de uma Cloud pública (e.g. Google Docs, Office365) para processar dados pessoais de alunos, funcionários ou candidatos (e.g. preenchimento cooperativo de
pautas), posso continuar a fazê-lo? O uso de documentos online e ficheiros armazenados na Cloud no âmbito de contratos de prestação de serviços, para processamento de dados pessoais é permitido? Prestadores de Serviços No entanto, recomenda-se que todos os casos de acesso a dados pessoais por parte de prestadores de serviços sejam reportados ao Encarregado de Proteção de Dados, sendo que no caso dos prestadores de serviços não estarem abrangidos pelo RGPD, por via contratual, a comunicação é obrigatória. Dados Recolhidos Os candidatos a mestrados, doutoramento e outros programas perguntam-me o que fazemos com os dados pessoais deles caso a sua candidatura não seja aceite, o que devo responder? Os funcionários docentes e não docentes têm-me perguntado qual a necessidade de recolher os seus dados pessoais? A utilização de informação biométrica para controlo da assiduidade é legal no âmbito do RGPD? A vídeo-vigilância das instalações do campus é legítima no âmbito do RGPD? O que devo fazer quando tomar conhecimento de que os dados que me foram confiados estão na posse de terceiros? Como eliminar dados pessoais? Que dados posso/é legítimo tratar? - O tratamento for necessário para a prossecução do contrato (implícito ou explícito) entre o titular e o responsável pelo tratamento; O pedido de consentimento deve ser entendido como o último recurso. Ou seja, devem ser sempre solicitados apenas e só os dados estritamente necessários para os tratamentos legítimos sem um pedido de consentimento. Como pedir consentimento? - Mensagens do tipo "Se não concordar clique aqui"; Sempre que o tratamento for realizado com base no consentimento do titular dos dados, o responsável pelo tratamento deverá poder demonstrar que o titular deu o seu consentimento à operação de tratamento dos dados. (em: Jornal Encarregado da União Europeia, 4.5.2016 PT, p.119/8) Dados Enviados para Entidades Terceiras No entanto, a resposta é genericamente sim, desde que exista uma obrigação legal para o fazer ou tenha obtido autorização dos titulares dos dados para tal. De forma geral os dados pessoais enviados no âmbito de procedimentos de inquérito para fins estatísticos de âmbito nacional (e.g. RAIDES, REBIDES) são obrigatórios por lei, pelo que devem continuar. Dado Enviados para outras Entidades Orgânicas No entanto, como a troca de informação entre unidades orgânicas implica uma perda de controlo superior à troca de informação entre pessoas da mesma unidade orgânica, em regra, todas as trocas de dados pessoais entre unidade orgânicas deve ser comunicada aos Oficiais de Proteção de Dados de ambas as instituições. Publicação de Dados Adicionalmente, há que assegurar que os dados obtidos com o acesso ao website respeitam também eles o RGPD. Os dois casos mais evidentes são os Cookies e as plataformas de contabilização e registo de acessos como o Google Analytics. As mensagens padrão como "este site utiliza cookies e se continuar a aceder estará a aceitar a sua utilização" não respeitam o consentimento explícito e positivo pelo que devem ser substituídos. O drupal (plataforma de alojamento mais utilizada em Ciências) está hoje (21/5/2018) a ultimar uma versão que respeita o RGPD. No caso do Google Analytics, deve-se recorrer à pseudonimização do endereço de acesso, existindo instruções para tal em: https://developers.google.com/analytics/devguides/collection/analyticsjs/field-reference#anonymizeIp . Os interessados poderão contactar a Área de Sistemas e Servidores para apoio. Emails O que não quer dizer que não deva ter os cuidados necessários para que a informação constante na sua agenda não seja divulgada a terceiros. O que é um email institucional? Um email
institucional pode ser um email com um domínio externo à organização? O email institucional é um dado pessoal? Tenho recebido muitos emails a solicitar o consentimento para a continuação do envio de emails, como devo
proceder? Distinguir uns dos outros não é tarefa fácil, mas deixam-se aqui algumas dicas: Posso
enviar emails para listas de docentes, funcionários e alunos através do seu email institucional? Tal não é verdade para fins de divulgação de eventos não profissionais ou não académicos. Para o uso do email institucional para esses fins é necessário obter consentimento informado do titular. Posso enviar emails para listas de email genéricas que
possuo na minha instituição? Como posso obter o consentimento informado para utilizar um email para fins de divulgação? Então e o que fazer para os
emails que já existem nas listas de emails? Note-se que devem ser indicados os fins específicos a que se destinam os emails a enviar, e.g. divulgação de eventos culturais promovidos pelo Instituto de Medicina Molecular, ou divulgação de notícias sobre o Instituto de Medicina Molecular. Deve também indicar explicitamente que a ausência de resposta deve ser considerada uma não autorização. Posso enviar um email em que solicito aos titulares que pressionem um botão no caso de darem autorização ou pressionem outro botão no caso de não darem autorização? Os emails com botões e hiperligações e são o meio mais comum para ataques informáticos de “Phishing”, “XSS”, “CSRF”, entre outros. A maioria dos utilizadores não tem conhecimentos para distinguir um botão ou hiperligação legítimos de um botão ou hiperligação maliciosos. Pelo que, para facilitar a distinção entre mails legítimos e mails maliciosos, os emissores de emails legítimos devem, na medida do possível, abster-se de enviar emails com botões ou hiperligações. Então como posso obter a autorização dos
utilizadores? Posso, no mesmo email, pedir autorização para manter um conjunto de outros dados pessoais dessas pessoas? A recolha de informação pessoal através do envio de emails é uma das técnicas de ataques de “Phishing” mais comuns. A maioria dos utilizadores não consegue distinguir um email legitimo de um ilegitimo. De facto, nalguns casos é mesmo necessário ter acesso a outras fontes de dados, para além do próprio email, para conseguir confirmar a legitimidade de um email. Pelo que para facilitar a distinção entre mails legítimos e mails maliciosos, os emissores de emails legítimos devem, na medida do possível, abster-se de solicitar o reenvio de informação pessoal pelo email. É considerado o tratamento de categorias especiais de dados pessoais entre outros?São categorias especiais de dados pessoais: a origem racial ou étnica; as opiniões políticas; as convicções religiosas.
Quais são os tipos especiais de dados pessoais?Algumas categorias especiais de dados pessoais:. a origem racial ou étnica;. as opiniões políticas;. as convicções religiosas;. as convicções filosóficas;. a filiação sindical;. os dados genéticos;. os dados biométricos para identificar uma pessoa de forma inequívoca;. os dados relativos à saúde;. O que é considerado tratamento de dados pessoais?Considera-se “tratamento de dados” qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da ...
Quais são os 5 tipos de tratamentos de dados segundo a lei?Transmissão, distribuição, comunicação, transferência e difusão.
|