O NOSSO COMPROMISSO
A proteção da privacidade dos dados constitui um compromisso fundamental para o Instituto Filhas de Maria Auxiliadora (IFMA). Consciente de que os dados pessoais são propriedade das pessoas e não da Instituição, o IFMA cumpre todos os requisitos legais nesta matéria, nomeadamente o disposto no Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 (adiante designado por “RGPD”), relativo à proteção de dados singulares no que respeita ao tratamento de dados pessoais e à livre circulação desses dados.
a) O objetivo da Política de Proteção de Dados Pessoais é manter um elevado nível de proteção (segurança) dos dados recolhidos e existentes na organização, que esteja de acordo com as normas legais aplicáveis e nos termos da qual se promova o envolvimento e motivação da Administração/Direção, colaboradores, prestadores de serviços, fornecedores e clientes para a necessidade de se manter a confidencialidade dos dados pessoais recolhidos.
b) Do mesmo modo, visa esta Política delinear as regras e procedimentos para o tratamento de dados pessoais por parte dos trabalhadores e terceiros que tenham acesso a dados pessoais em resultado do exercício das suas funções.
c) A existência desta Política de Proteção de Dados Pessoais pressupõe a sua consulta regular por parte dos trabalhadores que exerçam atividades que impliquem o tratamento de dados pessoais.
d) Pretende-se, do mesmo modo, que os trabalhadores que procedem ao tratamento de dados pessoais consultem sempre que necessário o responsável na organização pela proteção dos dados pessoais de modo a garantir-se o cumprimento das normas da presente Política de Proteção de Dados.
Os conceitos utilizados na presente Política de Proteção de Dados são definidos do seguinte modo:
Dados Pessoais | Informação relativa a uma pessoa singular identificada ou identificável (“Titular dos Dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. |
Tratamento de Dados Pessoais | Uma operação ou um conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição. |
Proteção de Dados Pessoais | Um direito fundamental, protegido não apenas pela legislação nacional, mas igualmente pela legislação europeia. |
Dados Pessoais Sensíveis | São dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, os dados genéticos, dados biométricos que identifiquem uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. |
Responsável pelo Tratamento (Controller) | A pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro. |
Titular dos Dados | Qualquer pessoa singular identificada ou identificável que seja objeto de dados pessoais detidos pelo IFMA. |
Subcontratante (Processor) | Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes. |
Consentimento | Uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento. |
Finalidade legítima | Os fins para os quais os Dados Pessoais podem ser utilizados pelo IFMA. |
a) Esta Política de Proteção de Dados Pessoais aplica-se a todos os colaboradores do IFMA, que a devem consultar e com ela estar familiarizados, cumprindo e fazendo cumprir os seus termos.
b) Esta Política de Proteção de Dados Pessoais destina-se também a dar a conhecer a todos, alunos, encarregados de educação, voluntários, fornecedores, prestadores de serviços, parceiros e outros stakeholders do IFMA, o seu compromisso com a proteção de dados pessoais.
c) No exercício da sua atividade o IFMA recolhe e procede ao tratamento de dados pessoais.
d) O IFMA pode complementar ou alterar esta Política com outras políticas ou regulamentos nomeadamente com o Regulamento Interno.
e) Qualquer alteração será notificada aos trabalhadores através de comunicação interna, e disponibilizada online no SIG e em papel nos serviços administrativos, para divulgação junto de todos os interessados.
Entidade responsável pelo tratamento
O IFMA é a entidade responsável pela recolha e tratamento dos dados e decide quais os dados recolhidos, meios de recolha e tratamento e finalidades para que são usados.
O IFMA assume o compromisso de:
Modo de recolha e categorias de dados pessoais recolhidos
1. O IFMA só tratará Dados Pessoais na medida em que se verifique pelo menos uma das seguintes situações:
2. Sempre que o tratamento seja efetuado com base nos interesses legítimos do responsável pelo tratamento ou por terceiros, e atenta a complexidade teórica e interpretativa do conceito, recomenda-se a consulta prévia ao Responsável na organização pela proteção de dados pessoais, o qual deverá emitir o seu parecer.
3. O IFMA documenta a fundamentação das bases para licitude dos tratamentos de dados no “Registo das Atividades de Tratamento”, o qual se encontra disponível para consulta interna no SIG em papel nos serviços administrativos de cada organização.
1. Quando o IFMA proceda ao tratamento das categorias especiais de dados pessoais (dados sensíveis), fá-lo-á de forma rigorosa e de acordo com a presente Política e as normas legais aplicáveis.
2. Salvo as exceções legalmente previstas no artigo 9º do RGPD, é proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos e biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
3. Para mais informações e esclarecimento de quaisquer dúvidas ou questões acerca do tratamento de categorias especiais de dados deverá ser consultado o Responsável na organização pela proteção de dados pessoais, cujos contactos constam do ponto 9 da presente Política.
1. Ao tratar dados dessoais o IFMA deverá garantir que o tratamento é lícito.
2. Todos os trabalhadores, fornecedores e parceiros do IFMA que utilizem dados pessoais são individualmente responsáveis pelo cumprimento das disposições legais e regulamentares aplicáveis.
3. Os colaboradores têm a obrigação de garantir a confidencialidade dos dados pessoais como parte indissociável das suas funções, previstas nos respetivos contratos de trabalho.
4. Os colaboradores deverão também proceder em conformidade com toda a informação e formação recebida e cumprir todas as orientações definidas nesta Política.
5. O incumprimento das obrigações desta Política pode ter consequências disciplinares e o seu incumprimento deve ser reportado ao Responsável na organização pela proteção de dados pessoais.
6. Os tratamentos de dados pessoais no IFMA são realizados de acordo com os princípios de proteção de dados do RGPD:
7. A proteção de dados deve ser considerada em cada novo processo de tratamento desde a sua conceção e por defeito. Assim, na conceção de qualquer eventual novo processo de tratamento, o IFMA assumirá o compromisso de utilizar os princípios da proteção de dados desde a sua conceção e por defeito (incluindo, sempre que aplicável, medidas como minimização de dados, adequação, encriptação, pseudonimização etc.).
1. O IFMA compreende ‘consentimento’ como um acordo, no qual o titular dos dados foi plenamente informado da intenção do tratamento dos seus dados e concordou com o mesmo, num estado mental apropriado e sem a existência de pressão exterior.
2. O consentimento do titular dos dados poderá ser retirado a qualquer momento. A partir do conhecimento dessa informação o IFMA suspende de imediato o tratamento dos dados. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse facto, nomeadamente, via Aviso de Privacidade. Os requisitos a observar sobre o consentimento estão definidos na legislação em vigor.
1. Deve ser dado cumprimento ao pedido de um titular de dados para que não sejam utilizados os seus dados pessoais para fins de marketing direto.
2. Deve ser notificado o Responsável na organização pela proteção de dados pessoais relativamente a qualquer pedido que seja submetido.
3. Caso se pretenda enviar material de marketing direto por via eletrónica a um titular de dados deve garantir-se que o mesmo deu previamente o seu consentimento, ou que existe uma relação relevante e apropriada entre o titular dos dados e o IFMA, por exemplo em situações em que o titular dos dados é cliente ou é trabalhador que sustente a existência de um interesse legítimo. De qualquer modo, a existência de um interesse legítimo requer uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. Pelo que as comunicações de marketing direto devem ser acompanhadas pelo Responsável na organização pela proteção de dados pessoais.
4. Em todas as comunicações de marketing direto enviadas deverá ser disponibilizada ao titular dos dados uma forma simples de solicitar que os seus dados não sejam utilizados para fins de marketing direto (Unsubscribe link).
1. À luz do RGPD todos os novos tratamentos que utilizem novas tecnologias e que possam implicar um elevado risco – dada a sua natureza, âmbito, contexto e finalidades – para os direitos e liberdades dos titulares dos dados pessoais, devem ser sujeitos a uma avaliação de impacto sobre a proteção de dados pessoais (Artigo 35º do RGPD). Face ao RGPD um AIPD é sempre obrigatório quando exista a avaliação sistemática de dados pessoais baseados num tratamento automatizado, operações de tratamento em grande escala de categorias especiais de dados pessoais, ou controlo sistemático de zonas acessíveis ao público em grande escala.
2. O IFMA está consciente de quaisquer riscos associados com as atividades de tratamento de dados pessoais que realiza. Em relação a qualquer eventual novo tratamento de elevado risco que venha a ser introduzido, o IFMA assumirá o compromisso de previamente determinar, face à natureza, âmbito, contexto e finalidades do tratamento, a incidência que este pode ter sobre a segurança e confidencialidade dos dados pessoais e por consequência a necessidade de se efetuar um DPIA e as medidas a adotar quando o resultado do DPIA não é satisfatório, para tal deverá ser observado as regras que estão definidos na legislação em vigor.
1. Quer se trate de um trabalhadorou de terceiro, todos os indivíduos em relação aos quais o IFMA proceda ao tratamento dos seus dados pessoais, e enquanto titulares desses mesmos, dados têm o direito de:
2. Os titulares de dados tratados pelo IFMA podem solicitar o exercício dos seus direitos, conforme descrito nos “Avisos de Privacidade” e os mesmos serão tratados pela IFMA conforme definido no “Procedimento – Direitos dos Titulares de Dados”.
Encarregado de Proteção de Dados
Endereço de e-mail: dpo@salesianas.pt
Morada: Avenida Senhora do Monte da Saúde, 174
2765 – 452 Monte Estoril
1. O IFMA, enquanto responsável pelo tratamento, assegura que o Responsável na organização pela proteção de dados pessoais denominado, Encarregado de Proteção de Dados não recebe instruções relativamente ao exercício das suas funções.
2.As funções do Encarregado de Proteção de Dados no IFMA são realizadas por uma organização externa, tendo esta responsabilidades e deveres idênticos ao exercício da função por um quadro interno.
O Encarregado de Proteção de Dados, deverá informar diretamente a direção do responsável pelo tratamento ou do subcontratante (caso exista) ao mais alto nível.
3.Os titulares dos dados podem contactar o Encarregado de Proteção de Dados sobre todas as questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo RGPD.
4.O Encarregado de Proteção de Dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, podendo, não obstante, exercer outras funções e atribuições, assegurando o IFMA que essas funções e atribuições não resultam num conflito de interesses. As atribuições do “Responsável pela Proteção de Dados” do IFMA, devem estar descritas em documento autónomo.
1. O IFMA apenas recolhe os dados pessoais para finalidades específicas do tratamento desses dados, as quais são legítimas e determinadas de modo explícito aquando da recolha.
2. Os dados pessoais recolhidos devem ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados.
1. O IFMA adotou as medidas de segurança técnicas e organizacionais adequadas para proteger a destruição acidental ou ilegal, a perda acidental, a alteração, a divulgação não autorizada ou acesso e outras formas ilegais de manipulação dos dados dessoais.
2. Registos manuais de dados pessoais não devem ser conservados onde possam ser acedidos por pessoal não autorizado e não podem ser transportados para fora das instalações do IFMA sem autorização escrita explícita da Direção do Instituto. Os dados pessoais devem ser acessíveis apenas para aqueles que necessitam de os utilizar. De uma forma geral, os dados pessoais devem ser mantidos:
Se informatizados, os dados pessoais devem estar protegidos de acordo com a Política de Segurança do IFMA (ponto 20).
3. A fim de se garantir uma proteção adequada dos dados pessoais, é fundamental que o acesso a dados pessoais seja limitado e apenas deve ser efetuado dentro do estritamente necessário ao cumprimento da finalidade aplicável.
4. Em caso algum deverá ser permitido queterceiros acedam a dados pessoais detidos pelo IFMA, exceto se existir um contrato e/ou acordo de confidencialidade com esse terceiro que contenha salvaguardas adequadas de proteção dos dados pessoais.
5. Em caso de dúvida sobre a legitimidade do terceiro para aceder a dados pessoais detidos pelo IFMA deverá ser previamente consultado o Encarregado de Proteção de Dados.
1. Considerando que existe uma finalidade legítima para o tratamento de dados pessoais, o IFMA, enquanto responsável pelo tratamento, pode divulgar os dados pessoais apenas a categorias específicas de destinatários, nomeadamente, autoridades públicas, subcontratantes, prestadores de serviços e parceiros.
2. Ao transferir dados pessoais, o IFMA exige a demonstração que os destinatários cumprem o RGPD e que no contrato entre as partes, quando aplicável, sejam incluídas cláusulas vinculativas que garantam os direitos dos titulares dos dados.
3. O relacionamento do IFMA com os seus subcontratantes deverá observar os requisitos definidos na legislação em vigor, em particular os estipulados no artigo 28º do R.G.P.D.
1. Quando existir necessidade de a informação pessoal ser transferida, arquivada ou tratada num país diferente, a transferência de dados é feita de acordo com os requisitos do RGPD. Quando a transferência dos dados pessoais for efetuada para um país fora do Espaço Económico Europeu (EEE), serão sempre previstas garantias adequadas, pelo recurso a regras vinculativas e com força legal, cláusulas-tipo de proteção de dados aprovadas ou consentimento explícito dos titulares dos dados.
2. Estas transferências deverão ser efetuadas tendo por base a legislação em vigor e o aconselhamento do Encarregado de Proteção de Dados.
1. O IFMA reterá os dados pessoais por um período não superior ao necessário para o cumprimento das finalidades legítimas que motivaram a sua recolha.
2. Quando exista norma legal de retenção aplicável, os dados pessoais serão retidos pelo período legalmente previsto.
3. No IFMA os dados pessoais são conservados e posteriormente destruídos de acordo com os requisitos estabelecidos na legislação em vigor e na Tabela de Conservação (em anexo).
4. Deverá ser consultado Encarregado de Proteção de Dados sempre que existirem dúvidas quanto ao decurso dos prazos legais de retenção ou inexistência da finalidade que motivou a recolha.
1. Todos os colaboradores, alunos, utentes, voluntários, formandos, fornecedores, parceiros e titulares de dados que com o IFMA se relacione têm a obrigação de denunciar ao Responsável na organização pela proteção de dados pessoais, falhas reais ou potenciais relativamente à proteção de dados pessoais.
2. Isso permitirá que o IFMA:
1. Cada responsável de área funcional é responsável por garantir que esta Política é cumprida pelos Colaboradores.
2. Os Colaboradores devem estar familiarizados com esta Política e cumprir os seus termos.
3. O Encarregado de Proteção de Dados, no que respeita a esta Política, é responsável, nomeadamente, por:
1. O IFMA promove sessões formativas sobre a presente Política e sobre a matéria da proteção de dados, cabendo ao Encarregado de Proteção de Dados, determinar a sua periodicidade.
2. Será prestada formação adicional sempre que houver uma alteração substancial na legislação aplicável ou nesta Política.
1. O incumprimento da presente Política pode trazer consequências disciplinares aos colaboradores, sempre que as suas regras e disposições sejam violadas de modo flagrante e grosseiro e/ou de forma reiterada, sendo iniciado o respetivo processo disciplinar nos termos previstos na legislação laboral.
Aprovação e revisão do documento
O Encarregado de Proteção de Dados é o responsável por assegurar que este procedimento é revisto de acordo com os requisitos definidos no RGPD.
A última versão deste documento está publicada e disponível para consulta de todos os interessados no IFMA, no SIG e em papel nos serviços administrativos de cada organização.
Este procedimento foi aprovado pelo Conselho Provincial em 2019/04/01.