Perguntas Frequentes

A quem se aplica o Regulamento Geral de Proteção de Dados (RGPD)?

O RGPD aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União..

O RGPD aplica-se, também, ao tratamento de dados pessoais de titulares que se encontrem no território da União, efetuado por um responsável, ou por um subcontratante, não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:

  1. A oferta de bens ou serviços a esses titulares de dados na União, independentemente de haver pagamento;
  2. O controlo do seu comportamento dentro da União.

(Desta forma, o RGPD define o âmbito de aplicação territorial do regulamento com base em dois critérios principais: o critério do "estabelecimento", e o critério do "direcionamento". Sempre que esteja preenchido um desses dois critérios, as disposições pertinentes do RGPD aplicar-se-ão ao correspondente tratamento de dados pessoais efetuado pelo responsável pelo tratamento ou pelo subcontratante em questão.)

O RGPD aplica-se, ainda, ao tratamento de dados pessoais por um responsável estabelecido fora da União, onde se aplique o direito de um Estado-Membro por força do direito internacional público.

Regulamento Geral de Proteção de Dados (RGPD)
2.1 O que é o Regulamento Geral de Proteção de Dados (RGPD)?

É um diploma que entrou na nossa ordem jurídica em 25 de maio de 2018, através do Regulamento (EU) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, que pretende responder aos desafios colocados pela revolução tecnológica ocorrida nas últimas décadas e proteger melhor os dados sobre as pessoas, os direitos dos cidadãos da UE e a livre circulação de dados.

2.2 Porquê a necessidade de um novo enquadramento jurídico?

A quantidade de dados armazenados e transacionados, estruturados e não estruturados, não limitados às fronteiras, aumentou e aumentará exponencialmente nos próximos anos, pelo que a recolha e utilização dos dados pessoais é uma preocupação cada vez maior dos titulares dos dados e das organizações, obrigando por isso à introdução de um enquadramento jurídico mais rigoroso.

Para estar em conformidade com o RGPD, é fundamental que as organizações percebam que informação pessoal possuem, para que a utilizam, onde e como a armazenam e que sistemas tecnológicos, modelos organizativos e processos é que vão ter de alterar.

O RGPD tem como principais objetivos que o cidadão recupere o controlo sobre os seus dados pessoais, nomeadamente através de novos direitos, como aceder, alterar, transferir, apagar ou solicitar a sua informação na qualidade de titular dos dados.

2.3 Quais são as principais novidades?
  • Maior amplitude do conceito de dados pessoais - Passa a incluir, nomeadamente, dados de localização e identificadores por via eletrónica (como endereços IP, cookies). Para além disso, passam a existir definições precisas no que respeita a “perfis”, "pseudonimização", "dados genéticos", "dados biométricos e "dados relativos à saúde".
  • Direito ao esquecimento (apagamento), direito de portabilidade dos dados, direito ao consentimento e direito de oposição ao profiling - Os titulares dos dados passam a ter o direito a requerer a eliminação dos seus dados pessoais mediante determinadas circunstâncias. Passam, também, a poder transferir os seus dados de um responsável pelo tratamento para outro responsável e as organizações ficam obrigadas a fornecer ao titular dos dados, num formato de uso corrente e de leitura automática, os dados que aquele lhe tenha transmitido. Passam igualmente a gozar de regras mais exigentes para o consentimento (que pode ser retirado a qualquer momento) e também ao direito de se oporem ao profiling (processamento de informação, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais).
  • Reforço das obrigações das organizações - Para além da obrigação de adoção de políticas e procedimentos de segurança de dados, como a pseudonimização ou a cifragem de dados, é criada a figura do Data Protection Officer (DPO) / Encarregado de Proteção de Dados (EPD).
  • Regras especiais para menores - O RGPD prevê a impossibilidade de menores, com idade inferior a 16 anos, prestarem o seu consentimento para tratamentos de dados em serviços online (oferta direta de serviços da sociedade da informação às crianças), ficando, no entanto, ao critério de cada Estado-membro determinar se os jovens com idades compreendidas entre os 13 e 16 anos poderão ter acesso a serviços online.
  • Obrigação de comunicar quebras de segurança - As organizações passam a estar obrigadas a notificar os casos de violação de dados pessoais às autoridades competentes e aos próprios titulares dos dados.
  • Accountability - Desaparece a obrigação de notificação/autorização à CNPD, tornando-se esta um órgão fiscalizador. Há uma mudança de paradigma, que obriga os responsáveis pelo tratamento de dados de serem capazes de, a qualquer momento, demonstrar o cumprimento das exigências previstas no RGPD.
  • Encarregado de Proteção de Dados (EPD) - As autoridades e organismos públicos estão obrigados a contratar/nomear um EPD, o qual deve ter conhecimentos especializados no domínio do direito e das práticas da proteção de dados, considerando que a sua principal função é controlar o cumprimento das regras do novo Regulamento pela organização.
  • Avaliação de impacto sobre a proteção de dados - Os tratamentos de dados pessoais suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas singulares têm de ser precedidos de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD), designadamente nos casos estipulados no n.º 3, art. 35.º do RGPD e no Regulamento 798/2018, de 30 novembro.
2.4 É necessário fazer a transposição do regulamento?

O Regulamento não necessita de transposição. É diretamente aplicável a todos os Estados Membros em simultâneo.

2.5 Podem-se efetuar transferências de dados para fora da UE?

As transferências de dados são proibidas para fora da UE, exceto se reunidas as condições previstas no capítulo V do RGPD.

Com efeito, na transferência de dados pessoais para fora da UE, o RGPD exige que seja assegurado um elevado nível de proteção dos dados pessoais, compatível com o nível de proteção conferido pelo próprio RGPD. Isto é, só são legais as transferências internacionais realizadas para jurisdições fora da UE consideradas “seguras”, através dos diversos institutos jurídicos que o próprio RGPD regulamenta.

2.6 O que é uma violação de dados pessoais?

A noção de violação de dados pessoais lembra imediatamente a fuga de dados pessoais em benefício de terceiros não autorizados (por exemplo, a pirataria de dados por um indivíduo mal intencionado). É este o caso, mas a definição do termo é, na verdade, mais ampla:

  • Perder a disponibilidade dos dados pessoais;
  • Prejudicar a integridade dos dados pessoais;
  • Prejudicar a confidencialidade dos dados pessoais.

Portanto, uma violação de dados pode constituir não só uma fuga de dados, mas também a perda permanente de dados.
O RGPD impõe novas obrigações aos responsáveis pelo tratamento e aos subcontratados em termos de notificações de violação de dados.

2.7 A quem é que os cidadãos se podem queixar do incumprimento no tratamento dos seus dados?

Os cidadãos podem apresentar as suas queixas à Comissão Nacional de Proteção de Dados (CNPD), enquanto autoridade nacional de controlo, responsável por assegurar que as regras contidas no documento são cumpridas.

2.8 Quais são as consequências para quem não cumpre as regras?

A não conformidade com o RGPD, pode conduzir a multas até 20.000.000€ ou 4% da faturação global da organização (consoante o montante mais elevado).

2.9 O que é que acontece se houver um problema e os dados ficarem comprometidos?

As entidades têm até 72 horas para comunicar à CNPD eventuais violações de dados pessoais. Se essa violação for considerada de alto risco para os direitos e liberdades dos cidadãos e se esse risco não tiver sido mitigado, então o titular também tem o direito a ser informado dessa fuga. É possível apresentar uma queixa à CNPD e, em caso de prejuízo, intentar uma ação judicial a requerer indemnização.

2.10 Há direito a indemnização, por mau uso dos dados pessoais?

Sim, pode haver, caso a empresa ou entidade não tenha respeitado as leis da proteção de dados e, na sequência disso, o cidadão tenha sofrido prejuízos materiais ou de outro tipo, nomeadamente, danos de reputação.

Relação entre a Lei Nacional de Proteção de Dados Pessoais e o RGPD
3.1. Para que serve a nova lei de proteção de dados pessoais (Lei n.º 58/2019), uma vez que o RGPD, por ser um Regulamento da UE, é de aplicação direta em Portugal?

A Lei n.º 58/2019, de 8 de agosto, é a nova Lei de Proteção de Dados, que assegura a execução do RGPD na ordem jurídica portuguesa. Entrou em vigor no dia 9 de agosto e revoga a anterior LPDP (Lei n.º 67/98).

Há três razões para a existência desta nova Lei, designadamente:

Um: o RGPD deixa aos Estados-Membros a decisão sobre algumas matérias específicas, tais como dados especialmente protegidos, tratamento de dados dos trabalhadores, idade mínima de menores, etc..

Dois: o RGPD determina que cada Estado-Membro nomeie, por ato legislativo, a autoridade de controlo encarregue da fiscalização da sua aplicação.

Três: entendem alguns autores que as contraordenações e os crimes são matéria da exclusiva competência da Assembleia da República. Assim, as normas do RGPD sobre as contraordenações não são diretamente aplicáveis, daí a necessidade de serem transpostas por ato legislativo nacional.

Entrou também em vigor uma lei específica de proteção de dados para os tratamentos efetuados por autoridades competentes para a deteção, prevenção, investigação e repressão de infrações penais e para a execução de sanções penais – Lei n.º 59/2019, de 8 de agosto.

Estes três instrumentos legais (RGPD, Lei n.º 58/2018 e Lei n.º 59/2019) constituem a nova legislação de proteção de dados pessoais.

3.2. Quais são as principais alterações introduzidas pela nova Lei?

I. Autoridade de Controlo (Capítulo II, artigos 3.º a 8.º)

  • A Comissão Nacional de Proteção de Dados (CNPD) é designada como a autoridade de controlo nacional para efeitos do RGPD e da lei que agora entra em vigor (Alteração e Republicação da Lei n.º 43/2004, de 18 de agosto).
  • Prevê a cooperação com o Instituto Português de Acreditação, I. P. (IPAC, I. P.) em matéria de acreditação dos organismos de certificação em sistemas de proteção de dados.
  • Reforça que compete à CNPD fomentar a elaboração de códigos de conduta que regulem atividades determinadas, os quais devem tomar em atenção as necessidades específicas das micro, pequenas e médias empresas.
  • Refere que a CNPD difunde uma lista de tipos de tratamento de dados cuja avaliação prévia de impacto não é obrigatória.
  • Obriga as entidades públicas e privadas a colaborar com a CNPD, quando necessário, para o cabal cumprimento das suas competências, designadamente examinar o sistema informático e os ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.

II. Funções do Encarregado de Proteção de Dados (Capítulo III, art.os 9.º a 13.º)

  • Para além das competências que são confiadas ao EPD, nos termos do disposto no RGPD, cabem-lhe ainda as seguintes funções:

a) assegurar a realização de auditorias de proteção de dados, quer periódicas, quer não programadas;

b) sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;

c) assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

  • O encarregado de proteção de dados, bem como os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade que acresce aos deveres de sigilo profissional previstos na lei.

III. Disposições especiais - consentimento de menores, proteção de pessoas falecidas, portabilidade e interoperabilidade, videovigilância, dever de segredo, prazo de conservação, transferências de dados e tratamento de dados pessoais por entidades públicas para finalidades diferentes (Capítulo V, art.ºs 16.º a 23.º)

  • Refere que o consentimento de menores relativo à oferta direta de serviços da sociedade de informação só é admissível quando os menores já tenham completado 13 anos de idade.
  • Prevê a necessidade de proteção de dados pessoais especiais de pessoas falecidas.
  • Clarifica que o direito de portabilidade dos dados abrange apenas os dados fornecidos pelos respetivos titulares.
  • Esclarece que, sempre que a interoperabilidade dos dados entregues à Administração Pública não seja tecnicamente possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam entregues num formato digital aberto, de acordo com o Regulamento Nacional de Interoperabilidade Digital em vigor.
  • Impõe regras e limites na utilização de Videovigilância (ver ponto 6).
  • Clarifica algumas dúvidas em relação ao prazo de conservação de dados pessoais, como os dados relativos a declarações contributivas para efeitos de aposentação ou reforma, que podem ser conservados sem limite de prazo.

IV. Situações específicas de tratamento de dados pessoais – liberdade de expressão, publicação em jornal oficial, acesso a documentos administrativos, publicação de dados no âmbito da contratação pública, relações laborais, tratamento de dados de saúde e dados genéticos, bases de dados ou registos centralizados de saúde, tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos (Capítulo VI, art.os 24.º a 31.º)

  • A proteção de dados pessoais não prejudica o exercício da liberdade de expressão, informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para fins de expressão académica, artística ou literária, mas não legitima a divulgação de dados pessoais como moradas e contactos, à exceção daqueles que sejam de conhecimento generalizado.
  • Sempre que o dado pessoal «nome» seja suficiente para garantir a identificação do titular e a eficácia do tratamento, não devem ser publicados em jornais oficiais outros dados pessoais, sendo o responsável pelo tratamento a entidade que manda proceder à publicação.
  • Caso seja necessária a publicação de dados pessoais, não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do contraente público e do cocontratante.
  • O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador, devendo assegurar-se que apenas se utilizem representações dos dados biométricos e que o respetivo processo de recolha não permita a reversibilidade dos referidos dados.
  • Estabelece que o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais:

a) se do tratamento resultar uma vantagem jurídica ou económica para o Trabalhador;
b) se esse tratamento for necessário para a execução de um contrato no qual o trabalhador seja parte, ou necessário para diligências pré-contratuais.

  • Inclui requisitos de confidencialidade e sigilo associados ao tratamento de dados de saúde e dados genéticos. O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação.
  • O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização dos mesmos, sempre que os fins visados possam ser atingidos por uma destas vias.

V. Tutela administrativa, responsabilidade civil, tutela jurisdicional, representação dos titulares dos dados, legitimidade da CNPD (Capítulo VII, secção I, art.os 32.º a 36.º)

  • Em termos de responsabilidade civil, indica que qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de obter do responsável ou subcontratante a reparação pelo dano sofrido.

VI. Contraordenações (Capítulo VII, secção II a IV, art.os 37.º a 56.º)

  • O legislador nacional introduz algumas novidades no regime das contraordenações. As contraordenações muito graves são punidas com coima:

a) de 5 000€ a 20 000 000€ ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) de 2 000€ a 2 000 000€ ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) de 1 000€ a 500 000€, no caso de pessoas singulares.

  • As contraordenações graves são punidas com coima:

a) de 2 500€ a 10 000 000€ ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) de 1 000€ a 1 000 000€ ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) de 500€ a 250 000€, no caso de pessoas singulares.

  • Esta Lei vem estabelecer como critérios de determinação da medida da coima, além dos previstos no RGPD, os seguintes:

a) A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço anual, no caso de pessoa coletiva;
b) O caráter continuado da infração;
c) A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados.

  • Outra novidade inserida no diploma é a de estipular que, à exceção dos casos de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável. O montante das coimas cobradas reverte em 60% para o Estado e em 40% para a CNPD.
  • Apresenta lista dos crimes puníveis com pena de prisão, como a utilização de dados de forma incompatível com a finalidade da recolha, o acesso indevido, o desvio de dados, a viciação ou destruição de dados, a inserção de dados falsos, a violação do dever de sigilo e a desobediência.

VII. Entidades Públicas (art.os 44.º e 59.º)

  • No âmbito de aplicação das contraordenações, as coimas previstas no RGPD e na presente lei aplicam-se de igual modo às entidades públicas e privadas, mas as entidades públicas, podendo as primeiras, fundamentar e solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos, a contar da entrada em vigor da Lei n.º 58/2019.

VIII. Legislação alterada e revogada (artigos 65.º e 66.º)

  • Este diploma procede à alteração à Lei n.º 26/2016, de 22 de agosto (nova LADA), nomeadamente do artigo 6.º do regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos que passa a ter a seguinte redação:

«Artigo 6.º

[...]

9 — Sem prejuízo das ponderações previstas nos números anteriores, nos pedidos de acesso a documentos nominativos que não contenham dados pessoais que revelem a origem étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, dados genéticos, biométricos ou relativos à saúde, ou dados relativos à intimidade da vida privada, à vida sexual ou à orientação sexual de uma pessoa, presume -se, na falta de outro indicado pelo requerente, que o pedido se fundamenta no direito de acesso a documentos administrativos.»

  • A norma revogatória faz caducar a Lei n.º 67/98, de 26 de outubro, que transpõe para a ordem jurídica portuguesa a Diretiva 95/45/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção de pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados.
  • São também revogados o n.º 3 do art.º 15.º e o n.º 2 do art.º 17.º da Lei n.º 43/2004, de 18 de agosto (Lei de organização e funcionamento da CNPD), alterada pela Lei n.º 55-A/2010, de 31 de dezembro (Orçamento do estado para 2011).
3.3 As deliberações-gerais da CNPD que contêm orientações mantêm a sua validade?

Mantêm-se válidos os princípios gerais aplicáveis aos tratamentos de dados e, nessa medida, as orientações da CNPD podem continuar a ser usadas como referência. No entanto, a CNPD irá proceder à sua atualização em conformidade com o novo quadro legal.

3.4 As autorizações emitidas pela Comissão Nacional de Proteção de Dados (CNPD) anteriores à aplicação do RGPD continuam válidas?

Sim, mantém-se válidas em tudo o que não contrarie o disposto no RGPD e na Lei n.º 58/2019, e desde que os tratamentos de dados pessoais não tenham sofrido alterações. Adicionalmente, os responsáveis pelo tratamento dos dados têm de cumprir as exigências do RGPD, à exceção da realização de avaliações de impacto sobre a proteção de dados, previstas no artigo 35.º do RGPD, para os tratamentos de dados pessoais já autorizados.

3.5 É necessário fazer algum registo na CNPD ou pedir autorização para tratar dados pessoais?

Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desaparece com a aplicação do RGPD. Já não é necessário solicitar autorização à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD.

Dados Pessoais
4.1 O que são dados pessoais?

"Informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.”

Consulte aqui para alguns exemplos.

4.2 Quais são as Categorias Especiais de Dados Pessoais?

São identificadores que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, a saúde e a genética, a biometria que identifique uma pessoa de forma inequívoca, a vida sexual ou orientação sexual, as condenações penais e infrações, as aptidões intelectuais e profissionais, os traços de personalidade ou desempenho profissional, entre outros aspetos sensíveis da vida de uma pessoa.

Consulte aqui para consultar mais informação.

4.3 O que são dados sensíveis ou dados de natureza altamente pessoal?

Inclui categorias especiais de dados pessoais (artigo 9.º do RGPD), "bem como dados pessoais relacionados com condenações penais e infrações, tal como definido no artigo 10.º. Um exemplo seria um hospital geral que mantenha registos médicos dos doentes ou um investigador privado que mantenha informações acerca dos autores das infrações. Para além destas disposições do RGPD, algumas categorias de dados podem ser consideradas como categorias que aumentam os possíveis riscos para os direitos e as liberdades dos indivíduos. Estes dados pessoais são considerados sensíveis (na aceção comum deste termo) porque estão associados a atividades privadas e familiares (tais como comunicações eletrónicas cuja confidencialidade deve ser protegida) ou porque afetam o exercício de um direito fundamental (tais como dados de localização cuja recolha põe em causa a liberdade de circulação) ou porque a sua violação implica claramente que a vida quotidiana do titular dos dados será gravemente afetada (tais como dados financeiros que possam ser utilizados numa fraude de pagamentos). A este respeito, pode ser relevante saber se os dados já foram tornados públicos pelo titular dos dados ou por terceiros. O facto de os dados pessoais já terem sido tornados públicos pode ser considerado um fator pertinente para avaliar se, possivelmente, os dados seriam ou não utilizados para determinados fins. Este critério pode também incluir dados como documentos pessoais, mensagens de correio eletrónico, diários, notas de dispositivos eletrónicos de leitura equipados com funções de introdução de notas, bem como informações muito pessoais incluídas em aplicações onde ficam registados eventos da vida dos indivíduos".

- In Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º.

4.4 O que são dados tratados em grande escala?

O "RGPD não define o que constitui grande escala, contudo o considerando 91 fornece alguma orientação. Em qualquer caso, o Grupo de Trabalho do Artigo 29.º recomenda que os seguintes fatores, em especial, sejam considerados quando se determina se o tratamento é ou não efetuado em grande escala:

a. o número de titulares de dados envolvidos, quer através de um número específico, quer através de uma percentagem da população pertinente;

b. o volume de dados e/ou a diversidade de dados diferentes a tratar;

c. a duração da atividade de tratamento de dados ou a sua pertinência;

d. a dimensão geográfica da atividade de tratamento."

- In Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º.

4.5 Em que consiste estabelecer correspondências ou combinar conjuntos de dados?

Por "exemplo, com origem em duas ou mais operações de tratamento de dados realizadas com diferentes finalidades e/ou por diferentes responsáveis pelo tratamento de dados de tal forma que excedam as expectativas razoáveis do titular dos dados".

- In Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º.

4.6 O que são dados relativos a titulares de dados vulneráveis?

O "tratamento deste tipo de dados constitui um critério devido ao acentuado desequilíbrio de poder entre os titulares dos dados e o responsável pelo tratamento dos dados, significando isto que os indivíduos podem não ser capazes de consentir, ou opor-se, facilmente ao tratamento dos seus dados ou de exercer os seus direitos. Os titulares de dados vulneráveis podem incluir crianças (estas podem ser consideradas incapazes de consentir ou opor-se consciente e criteriosamente ao tratamento dos seus dados), empregados, segmentos mais vulneráveis da população que necessitem de proteção especial (pessoas com doenças mentais, requerentes de asilo, idosos, doentes, etc.) e todos os casos em que possa ser identificado um desequilíbrio na relação entre a posição do titular dos dados e o responsável pelo tratamento".

- In Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º.

Titulares dos Dados
5.1 Quem são os titulares de dados pessoais?

Os titulares de dados pessoais tratados na UC, podem ser:

  • Estudantes da UC;
  • Candidatos à UC
  • Colaboradores externos;
  • Colaboradores internos;
  • Fornecedores;
  • Clientes;
  • Membros de júri de concursos de recrutamento de pessoal;
  • Candidatos a procedimentos concursais de recrutamento ou de mobilidade interna.
5.2 Existe alguma minuta ou um texto-tipo para informar os titulares dos dados dos seus direitos?

Atualmente não existem minutas oficiais, mas a CNPD não exclui a possibilidade de vir a disponibilizar alguns textos padrão, quando em causa estiverem tratamentos de dados pessoais mais simples.

De qualquer forma, o EPD-UC disponibiliza na sua página oficial, a todos os trabalhadores da organização, um conjunto de minutas elaboradas para situações específicas.

Consentimento
6.1 Qual a importância de consentir o tratamento dos meus dados?

O consentimento é uma das circunstâncias que torna legal o tratamento dos dados pessoais. Um dos aspetos fundamentais do RGPD é a forma como este consentimento tem que ser obtido. Tem que ser livre, específico para uma determinada finalidade, inequívoco e informado, o que implica conhecimento de todos os dados pessoais objeto de tratamento. O pedido de consentimento deve ser apresentado “de forma clara e concisa, utilizando linguagem de fácil entendimento e diferenciar-se de outras informações como sejam ‘’os termos e condições”. Este documento deve, ainda, incluir o tipo de uso que será feito dos dados e incluir os contactos da entidade que vai processar essa informação.

O consentimento tem, pois, de ser inequívoco, isto é, a pessoa tem de manifestar a sua vontade em autorizar. Tem também de prestar as informações que previstas no art.º 13.º do RGPD, adequadas ao seu caso concreto, não se esquecendo de informar o titular dos dados de que pode revogar o consentimento a todo o momento e indicando o meio como o pode fazer.

O consentimento tem, ainda, de ser específico, devendo ser diferenciado, por exemplo, quando haja utilização de dados para fins distintos ou quando haja comunicação de dados a terceiros, e acompanhado sempre da informação necessária relativa a cada situação. Também não é possível fazer depender a execução de um contrato do consentimento do titular dos dados.

6.2 O que mudou no consentimento?

Até agora o consentimento podia ser tácito, ou seja, incluído numa longa lista de termos e condições que raramente as pessoas liam. Isso deixa de ser válido. Se um tratamento de dados foi autorizado com base num consentimento que não cumpre as novas regras, este não tem validade, pelo que a entidade que trata esses dados terá que pedir novamente um novo consentimento informado, nas condições exigidas pelo RGPD.

6.3 É obrigatório pedir outra vez o consentimento aos meus utentes/clientes para tratar os seus dados?

Antes de mais, deve verificar-se se o consentimento do titular é o fundamento de legitimidade adequado quando está em causa uma relação contratual com um utente/cliente, uma vez que o tratamento de dados necessário à execução de um contrato não precisa do consentimento do utente/cliente.

Se estiver em causa o tratamento de dados pessoais adicionais em relação ao contrato e se o consentimento obtido anteriormente foi dado de forma implícita, então será necessário obter um novo consentimento do titular dos dados, nas condições exigíveis pelo RGPD. Por exemplo, se o consentimento foi dado para uma determinada finalidade e se pretende fazer uso dos dados para outros fins, então deverá obter um novo consentimento.

6.4 É preciso obter o consentimento dos trabalhadores no âmbito da gestão administrativa ou de processamento de remunerações?

Não. Os tratamentos de dados pessoais, no âmbito da gestão dos recursos humanos, têm como fundamentos de legitimidade a execução do contrato de trabalho e a lei. O consentimento dos trabalhadores não é, de uma maneira geral, considerado válido, pois raramente poderá ser dado em condições de liberdade, atendendo ao desequilíbrio de poder entre as partes.

6.5 O RGPD alterou a maneira como as organizações utilizam os contactos de email?

As listas de distribuição e o email constituem o canal predominante pelo qual as organizações tentam alcançar novos utentes/clientes, bem como manter o relacionamento com os já existentes.

Efetivamente, o RGPD veio exigir alterações significativas na maneira como as organizações conduzem as suas práticas de contacto por email.

Assim, a recolha e utilização de endereços de email deve ter presente os seguintes conceitos:

O “Opt in” é a autorização dada por um titular de dados, para receber mensagens de uma determinada instituição.

O “Double Opt in” é um “Opt in” reforçado. O Responsável pelo tratamento de dados, após enviar a primeira mensagem, envia uma segunda, geralmente um link, de confirmação. Para que o consentimento seja confirmado, é necessário que o titular dos dados faça a validação do link, ou seja, existe uma dupla confirmação. A validação pode mencionar “por favor confirme a sua subscrição”, sem indicar quaisquer dados adicionais.

O “Soft Opt In” refere-se a uma forma implícita de garantir o envio de comunicações institucionais para os titulares dos dados, quando já exista um relacionamento prévio estabelecido entre as partes. Neste caso, entende-se que a relação entre as partes já permite o envio de mensagens entre elas.

O “Opt out” aplica-se quando o destinatário indica explicitamente que não deseja receber mensagens de uma lista especifica ou global.

O Encarregado de Proteção de Dados*

*Artigos sem referência, dizem respeito ao RGPD.

7.1 A designação do EPD é obrigatória?

Sim, a designação do EPD é obrigatória sempre que:

  • Independentemente dos dados objeto de tratamento, este for efetuado por autoridade ou organismo público (al. a) do art.º 37.º/1)[1], à exceção dos tribunais no exercício da sua função jurisdicional[2];
  • As “atividades principais” do RT/S consistirem em operações de tratamento que exijam controlo regular e sistemático dos titulares dos dados em grande escala (al. b) do art.º 37.º/1, reforçada pela al. a) do art.º 13 da Lei 58);
  • As “atividades principais” do RT/S consistirem em operações de tratamento em grande escala de categorias especiais de dados[3] ou[4] de dados pessoais relacionados com condenações penais e infrações (al. c) do art.º 37/1 reforçada pela al. b) do art.º 13 da Lei 58);
  • Noutras situações em que o direito da União ou dos Estados-Membros o exija (art.º 37.º/4).

Excetuando os casos em que seja evidente que uma organização não é obrigada a designar um EPD, o GT 29 recomenda que o RT/S documente a análise interna efetuada no sentido de determinar se deve ou não ser nomeado um EPD, com vista a poder comprovar que os fatores pertinentes foram devidamente tomados em consideração[5]. Esta análise deve fazer parte da documentação no âmbito do princípio da responsabilidade e pode vir a ser solicitada pela autoridade de controlo, devendo ser atualizada sempre que necessário, por exemplo, caso os RT/S iniciem novas atividades ou prestem novos serviços que possam ser abrangidos pelo art.º 37.º/1 (designação do EPD).

Ademais, mesmo quando não é obrigatório designar um EPD, as organizações poderão considerar conveniente designá-lo a título voluntário. Nestes casos são extensíveis à sua nomeação, posição e atribuições os requisitos aplicáveis à designação obrigatória.

[1] O art.º 12.º da Lei 58/2019 de 8 de agosto, que assegura a execução do RGPD em Portugal, (doravante designada como Lei 58) particulariza a designação de EPD em entidades públicas.

[2] Art.º 32.º da Diretiva (UE) 2016/680.

[3] Nos termos do art.º 9.º, estas categorias abrangem os dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

[4] O art.º 37.º/1, al. c), utiliza a conjunção «e». O motivo da utilização conjunção «ou» em vez de «e» deve-se ao facto não haver nenhuma razão estratégica para que os dois critérios tenham de ser aplicados simultaneamente.

[5] “Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.” (art.º 24.º/1).

7.2 Qual o significado de “atividade principais”?

As “atividades principais” (al. b) e c) do art.º 37.º/1) podem entender-se como as operações essenciais para alcançar os objetivos do RT/S, as quais incluem também todas as atividades em que o tratamento de dados constitui parte indissociável das atividades do RT/S. Por exemplo, os hospitais devem nomear um EPD porque o tratamento de dados relativos à saúde deve ser considerado uma das atividades principais, ao contrário de determinadas atividades de apoio à atividade principal, como a remuneração dos seus trabalhadores ou atividades comuns de apoio informático (atividades de funções acessórias).

7.3 Qual o significado de “entidades públicas”?

Entende-se por entidades públicas (art.º 12.º/2 da Lei 58):

  • O Estado;
  • As regiões autónomas;
  • As autarquias locais e as entidades supranacionais previstas na lei;
  • As entidades administrativas independentes e o Banco de Portugal;
  • Os institutos públicos;
  • As instituições de ensino superior públicas, independentemente da sua natureza;
  • As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;
  • As associações públicas.
7.4 Qual o número mínimo de EPD nas entidades públicas?

Existe pelo menos um EPD (art.º 12.º/3 da Lei 58):

  • Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;
  • Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;
  • Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;
  • Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;
  • Por cada entidade, no caso das demais entidades referidas no número anterior, sendo designada pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.
7.5 Qual o significado de “grande escala”?

O RGPD não define o que constitui um tratamento de “grande escala”, mas o GT 29 recomenda que sejam tomados em consideração os seguintes fatores:

  • o número de titulares de dados afetados – como número concreto ou em percentagem da população em causa;
  • o volume de dados e/ou o alcance dos diferentes elementos de dados objeto de tratamento;
  • a duração, ou permanência, da atividade de tratamento de dados;
  • o âmbito geográfico da atividade de tratamento.

Consideram-se como exemplos de tratamento de grande escala:

  • o tratamento de dados de doentes no exercício normal das atividades de um hospital;
  • o tratamento de dados de viagem das pessoas que utilizam o sistema de transportes públicos de uma cidade;
  • o tratamento em tempo real de dados de geolocalização de clientes de uma cadeia de restauração rápida internacional para fins estatísticos;
  • o tratamento de dados de clientes no exercício normal das atividades de uma companhia de seguros ou de um banco;
  • o tratamento de dados pessoais para fins de publicidade comportamental por um motor de busca;
  • o tratamento de dados (conteúdo, tráfego, localização) por operadoras.

Como exemplos de não tratamento de grande escala, considera-se:

  • o tratamento de dados de doentes pacientes por um médico;
  • o tratamento de dados pessoais relacionados com condenações penais e infrações por um advogado.
7.6 Qual o significado de “controlo regular e sistemático”?

A noção de “controlo regular e sistemático” (al. b) do art.º 37.º/1) dos titulares dos dados não está definida no RGPD, mas inclui claramente todas as formas de seguimento e de definição de perfis.

Na interpretação do GT 29, “regular” significa, neste caso, uma ou mais das seguintes características:

  • Contínuo ou que ocorre a intervalos específicos num determinado período;
  • Recorrente ou repetido em horários estipulados;
  • Constante ou periódico.

Na interpretação do GT29, “sistemático” significa, neste caso, uma ou mais das seguintes características:

  • Que ocorre de acordo com um sistema;
  • Predefinido, organizado ou metódico;
  • Realizado no âmbito de um plano geral de recolha de dados;
  • Efetuado no âmbito de uma estratégia.

São exemplos de atividades que podem constituir um controlo regular e sistemático dos titulares de dados:

  • a exploração de uma rede de telecomunicações;
  • a prestação de serviços de telecomunicações;
  • a reorientação de mensagens de correio eletrónico;
  • as atividades de promoção comercial baseadas em dados;
  • a definição de perfis e pontuação para fins de avaliação dos riscos;
  • a localização;
  • os programas de fidelização;
  • a publicidade comportamental;
  • o controlo de dados relativos ao bem-estar, à condição física e à saúde através de dispositivos usáveis;
  • a televisão em circuito fechado;
  • os dispositivos ligados por contadores inteligentes, automóveis inteligentes, domótica, etc.
7.7 As organizações podem nomear conjuntamente um EPD?

Sim, pode ser designado um único EPD para várias autoridades ou organismos públicos, tendo em conta a respetiva estrutura organizacional e dimensão. Uma vez que o EPD tem a seu cargo um conjunto de funções, o RT/S deve assegurar que um único EPD, com a ajuda de uma equipa, se necessário, possa cumprir as suas funções de forma eficiente, apesar de ter sido nomeado para várias autoridades e organismos públicos (art.º 37.º, n.os 2 e 3).

O EPD deve estar “facilmente acessível a partir de cada estabelecimento”, i.e., as comunicações devem ser efetuadas na língua ou nas línguas utilizadas pelas autoridades de controlo e pelos titulares de dados em causa.

A disponibilidade de um EPD (quer fisicamente nas mesmas instalações que os trabalhadores, quer através de uma linha direta ou de outros meios de comunicação seguros) é essencial para garantir que os titulares dos dados possam contactá-lo (art.º 37.º/6).

7.8 É possível nomear um EPD externo?

Sim, o EPD pode ser um elemento do pessoal da entidade RT/S, ou exercer as suas funções com base num contrato de prestação de serviços.

Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de interesses dos membros das equipas, o GT 29 recomenda que o contrato de prestação de serviços preveja uma clara repartição das tarefas no seio da equipa do EPD externo e a designação de uma única pessoa como contacto principal e pessoa “responsável” do cliente (art.º 37.º/6).

7.9 Onde deve estar localizado o EPD?

No sentido de assegurar que o EPD esteja acessível, o GT 29 recomenda que o EPD esteja localizado na UE, independentemente de o RT/S estar ou não estabelecido na UE.

7.10 Quais devem ser as qualidades profissionais do EPD?

O art.º 37.º/5, dispõe que o EPD “é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no art.º 39.º”. O considerando 97 prevê que o nível necessário de conhecimentos especializados deverá ser determinado em função das operações de tratamento de dados realizadas e da proteção exigida para os dados pessoais objeto de tratamento.

O nível necessário de competências não é definido de forma rigorosa, mas deve coadunar-se com a sensibilidade, a complexidade e a quantidade de dados tratados por uma organização. Por exemplo, se a atividade de tratamento de dados for particularmente complexa, ou se estiver em causa uma grande quantidade de dados sensíveis, o EPD poderá́ necessitar de um nível de competências e de apoio mais elevado. Outra variação depende do facto de a organização transferir sistematicamente os dados pessoais para fora da UE ou de estas transferências serem ocasionais. Neste sentido, o EPD deve ser escolhido de forma criteriosa, tendo devidamente em conta as questões de proteção de dados suscitadas no âmbito da organização.

Embora o art.º 37.º/5, não explicite quais as qualidades profissionais que devem ser consideradas aquando da nomeação do EPD, como atributos pertinentes, os EPD devem ter competências no domínio da legislação nacional e comunitária em matéria de proteção de dados e um conhecimento profundo do RGPD. É igualmente conveniente que as autoridades de controlo promovam formações adequadas e regulares destinadas aos EPD. O EPD deve ter bons conhecimentos do setor empresarial e da organização do responsável pelo tratamento e também das operações de tratamento efetuadas, bem como dos sistemas de informação, da segurança dos dados e das necessidades de proteção de dados do responsável pelo tratamento.

No caso das autoridades ou organismos públicos, o EPD deve igualmente ter um conhecimento sólido das regras e dos procedimentos administrativos da organização.

A capacidade para desempenhar as funções atribuídas ao EPD deve ser interpretada como um atributo respeitante não só́ às suas qualidades e conhecimentos pessoais, mas também à sua posição no seio da organização. As qualidades pessoais devem incluir, por exemplo, a integridade e um elevado nível de ética profissional; a principal preocupação do EPD deve consistir em permitir o cumprimento do RGPD. O EPD desempenha um papel determinante na promoção de uma cultura de proteção de dados no seio da organização e contribui para dar cumprimento aos elementos essenciais do RGPD, tais como os princípios do tratamento de dados (Capítulo II), os direitos dos titulares de dados (Capítulo III), a proteção de dados desde a conceção e por defeito (art.º 25.º), os registos das atividades de tratamento (art.º 30.º), a segurança do tratamento (art.º 32.º) e a notificação e comunicação de violações de dados (art.os 33.º e 34.º).

As funções do EPD podem igualmente ser exercidas com base num contrato de prestação de serviços celebrado com uma pessoa ou uma organização fora do âmbito da organização do RT/S. Neste último caso, é essencial que cada membro da organização que exerça as funções de EPD cumpra todos os requisitos aplicáveis da Secção 4 do RGPD (p. ex., é essencial que nenhum interveniente tenha um conflito de interesses). É igualmente importante que cada um destes membros esteja protegido pelas disposições do RGPD (p. ex., garantindo a impossibilidade de rescisão abusiva do contrato de prestação de serviços para atividades enquanto EPD, ou de destituição abusiva de qualquer membro da organização que executa as tarefas de EPD). Simultaneamente, as competências e os pontos fortes individuais podem ser combinados de modo que várias pessoas, trabalhando em equipa, possam servir os seus clientes de forma mais eficiente.

Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de interesses dos membros das equipas, recomenda-se uma clara repartição das tarefas no seio da equipa do EPD e a designação de uma única pessoa como contacto principal e pessoa «responsável» para cada cliente.

Em suma, as competências e conhecimentos especializados pertinentes do EPD, devem incluir:

  • Competências no domínio das normas e práticas de proteção de dados nacionais e europeias, incluindo um conhecimento profundo do RGPD;
  • Conhecimento das operações de tratamento efetuadas;
  • Conhecimento das tecnologias da informação e da segurança dos dados
  • Conhecimento do setor empresarial e da organização;
  • Capacidade para promover uma cultura de proteção de dados no seio da organização (art.º 37.º/5).
7.11 O EDP precisa de uma certificação profissional?

O EPD “é designado com base nos requisitos previstos no art.º 37.º/5 do RGPD, não carecendo de certificação profissional para o efeito” (art.º 9.º/1 da Lei 58).

7.12 O EPD pode receber instruções quanto à forma de tratar uma questão?

O art.º 38.º/3 estabelece determinadas garantias básicas no sentido de ajudar a assegurar que o EPD tenha condições para executar as suas tarefas com suficiente grau de autonomia no seio da sua organização. Concretamente, os RT/S devem assegurar que o EPD “não recebe instruções relativamente ao exercício das suas funções”. O considerando 97 refere, além disso, que os EPD, “sejam ou não empregados do responsável pelo tratamento, deverão estar em condições de desempenhar as suas funções e atribuições com independência”. Já o art.º 9.º/2 da Lei 58 refere que “independentemente da natureza da sua relação jurídica, o EPD exerce a sua função com autonomia técnica perante a entidade responsável pelo tratamento ou subcontratante”.

A autonomia dos EPD não implica, contudo, que lhes sejam conferidos poderes decisórios que extravasem as suas funções em conformidade com o art.º 39.º.

O RT/S permanece responsável pelo cumprimento das normas de proteção de dados e deve poder comprovar esse cumprimento. Se o RT/S tomar decisões incompatíveis com o RGPD e com o parecer do EPD, deve ser dada a possibilidade ao EPD de transmitir de forma clara o seu parecer divergente ao mais alto nível da direção e a quem tomou as decisões. A este respeito, nos termos do art.º 38.º/3, o EPD “informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante”. Esta comunicação direta assegura que os quadros de gestão superiores têm conhecimento do parecer e das recomendações do EPD, no âmbito da missão do EPD de informar e aconselhar o RT/S. Outro exemplo de comunicação direta consiste na elaboração de um relatório anual de atividades do EPD, a apresentar ao mais alto nível da direção.


7.13 O EPD é pessoalmente responsável pelo incumprimento dos requisitos de proteção de dados?

O EPD não é pessoalmente responsável pelo incumprimento dos requisitos de proteção de dados. Compete ao RT/S assegurar e comprovar que o tratamento respeita o Regulamento aplicável. O cumprimento das normas de proteção de dados é da competência do RT/S.

7.14 Como é feita a publicação e comunicação dos contactos do EPD?

O art.º 37.º/7 não exige que os contactos publicados incluam o nome do EPD. Ainda que a publicação desta informação possa constituir uma boa prática[1], cabe ao RT/S e ao EPD decidirem se tal é necessário ou útil nas circunstâncias concretas. No entanto, a comunicação do nome do EPD à autoridade de controlo é essencial para que o EPD possa funcionar como ponto de contacto entre a organização e a autoridade de controlo (al. e) do art.º 39.º/1).

Os contactos do EPD devem incluir informações que permitam aos titulares dos dados e às autoridades de controlo contactar facilmente o EPD (endereço postal, número de telefone e/ou endereço de correio eletrónico). Se necessário, para efeitos de comunicação com o público, podem igualmente ser disponibilizados outros meios de comunicação, por exemplo uma linha direta específica, ou um formulário específico de contacto do EPD, disponível no sítio Web da organização.

[1] A título de boa prática, o GT 29 recomenda que a organização informe os seus trabalhadores do nome e contactos do EPD, por exemplo, através da intranet da organização, nas listas telefónicas internas e em organogramas.

7.15 O EPD precisa de ser registado?

Sim, os dados do EPD têm de ser comunicados à CNPD, em formulário próprio.

7.16 O EPD está obrigado ao dever de sigilo?

O EPD está vinculado à obrigação de sigilo/confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros (art.º 38.º/5). Esta confidencialidade é igualmente importante para que os trabalhadores possam apresentar queixas ao EPD (o art.º 10.º/1 da Lei 58 reforça essa obrigação de confidencialidade).

7.17 O EPD deve estar envolvido em todas as questões relativas à proteção de dados pessoais?

Nos termos do art.º 38.º, o RT/S deve assegurar que o EPD seja “envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais”.

O RT/S deve assegurar que o EPD é informado e consultado durante a fase inicial, para facilitar o cumprimento do RGPD e promover uma abordagem de proteção da privacidade desde a conceção, devendo este ser o procedimento normal da governação da organização. Além disso, é importante que o EPD seja encarado como interlocutor no seio da organização e que faça parte dos grupos de trabalho incumbidos de gerir as atividades de tratamento de dados nessa organização.

Por conseguinte, a organização deve assegurar, por exemplo, que:

  • O EPD é convidado a participar regularmente nas reuniões dos quadros de gestão médios e superiores;
  • A sua presença é recomendada sempre que sejam adotadas decisões com implicações na proteção de dados;
  • Todas as informações pertinentes sejam transmitidas oportunamente ao EPD, para que este possa prestar um aconselhamento adequado;
  • O parecer do EPD é sempre devidamente ponderado. Em caso de desacordo, o GT 29 recomenda, como boa prática, que sejam enunciados os motivos para não seguir o parecer do EPD;
  • O EPD é imediatamente consultado após a ocorrência de uma violação de dados ou outro incidente;
  • Se for caso disso, o RT/S pode elaborar orientações ou programas em matéria de proteção de dados que definam em que momento o EPD deve ser consultado.
7.18 Que recursos o responsável pelo tratamento ou o subcontratante deve conceder ao EPD?

O art.º 38.º/2 exige que a organização apoie o seu EPD, “fornecendo-lhe os recursos necessários ao desempenho das suas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento”. Em função da natureza das operações de tratamento e das atividades e dimensão da organização, devem ser concedidos os seguintes recursos ao EPD:

  • Apoio ativo às suas funções por parte dos quadros de gestão superiores;
  • Tempo suficiente para que este possa desempenhar as suas tarefas;
  • Apoio adequado em termos de recursos humanos, financeiros, infraestruturas (locais, instalações, equipamento), sempre que necessário;
  • Comunicação oficial da sua nomeação a todo o pessoal, a fim de divulgar a sua existência e missão dentro da organização;
  • Acesso a outros serviços no seio da organização, para que este possa receber apoio, contributos ou informações essenciais por parte destes outros serviços;
  • Formação contínua que lhe possibilite manter-se atualizado no que diz respeito aos desenvolvimentos no domínio da proteção de dados. O objetivo deve ser uma melhoria permanente do nível das suas competências, incentivando-o a participar em cursos de formação sobre proteção de dados e noutras iniciativas de desenvolvimento profissional, tais como conferências sobre privacidade, seminários, etc.;
  • Uma equipa do EPD, consoante a dimensão e a estrutura da organização. Nestes casos, a estrutura interna da equipa e as funções e responsabilidades de cada um dos seus membros devem estar claramente definidas. De igual modo, se a função do EPD for exercida por um prestador de serviços externo, um conjunto de pessoas que trabalham para essa entidade poderá́ exercer de modo eficaz as funções de EPD enquanto equipa, sob a responsabilidade de um contacto principal designado para o cliente.

De modo geral, quanto mais complexas e/ou sensíveis forem as operações de tratamento, mais recursos devem ser concedidos ao EPD. A missão de proteção de dados deve ser eficaz e dotada de recursos suficientes para o tratamento de dados efetuado.

7.19 Quais as funções do EPD?

O EPD tem pelo menos as seguintes funções (art.º 39.º/1):

  • Informa e aconselha o RT/S, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
  • “Controla a conformidade” com o presente regulamento, com outras disposições de proteção de dados da UE ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
  • Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do art.º 35.º;
  • Coopera com a autoridade de controlo;
  • Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o art.º 36.º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.

E ainda (art.º 11.º da Lei 58):

  • Assegura a realização de auditorias, quer periódicas, quer não programadas;
  • Sensibiliza os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;
  • Assegura as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.
7.20 Como é feito o “controlo da conformidade” com o RGPD?

A al. b) do art.º 39.º/1, incumbe o EPD, entre outras funções, de controlar a conformidade com o RGPD. O considerando 97 especifica, por outro lado, que o EPD deve assistir "o responsável pelo tratamento [...] ou o subcontratante [...] no controlo do cumprimento do presente regulamento a nível interno".

No âmbito destas atribuições de controlo da conformidade, os EPD podem, nomeadamente:

  • Recolher informações para identificar as atividades de tratamento;
  • Analisar e verificar a conformidade das atividades de tratamento;
  • Prestar informações e aconselhamento e formular recomendações ao RT/S.

O controlo da conformidade não significa que a responsabilidade pessoal do EPD seja imputada em caso de incumprimento. O RGPD esclarece que compete ao responsável pelo tratamento, e não ao EPD, aplicar “as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento” (art.º 24.º/1). O cumprimento das regras de proteção de dados é uma competência empresarial do responsável pelo tratamento de dados, e não do EPD.

7.21 Qual o papel do EPD no âmbito da avaliação de impacto sobre a proteção de dados?

Nos termos do art.º 35.º/1, cabe ao responsável pelo tratamento, e não ao EPD, proceder, quando necessário, a uma avaliação de impacto sobre a proteção de dados (AIPD). Todavia, o EPD pode desempenhar um papel importante e útil, prestando assistência ao responsável pelo tratamento. Aplicando o princípio da proteção de dados desde a conceção, o art.º 35/2, dispõe expressamente que, ao efetuar uma AIPD, o responsável pelo tratamento deve “solicitar o parecer” do EPD. Por sua vez, a al. c) do art.º 39.º/1, determina que o EPD deve “prestar aconselhamento, quando tal lhe for solicitado, no que respeita à AIPD, e controlar a sua realização nos termos do art.º 35.º”.

O GT 29 recomenda que o responsável pelo tratamento solicite o parecer do EPD sobre as seguintes questões, entre outras[1]:

  • Se deve ou não efetuar uma AIPD;
  • Qual a metodologia a seguir na realização de uma AIPD;
  • Se deve realizar a AIPD internamente ou externalizá-la;
  • Quais as salvaguardas (incluindo medidas técnicas e organizativas) a aplicar no sentido de atenuar os eventuais riscos para os direitos e interesses dos titulares de dados;
  • Se a avaliação de impacto sobre a proteção de dados foi ou não corretamente efetuada e se as suas conclusões (se o tratamento deve ou não ser realizado e quais as salvaguardas a aplicar) estão em conformidade com o RGPD.
  • Se o responsável pelo tratamento discordar do parecer emitido pelo EPD, a documentação da AIPD deve justificar especificamente, por escrito, os motivos pelos quais o parecer não foi tido em conta[2].

O GT 29 recomenda, além disso, que o responsável pelo tratamento indique claramente, por exemplo, no contrato com o EPD, bem como nas informações prestadas aos trabalhadores e aos quadros de gestão (e a outras partes interessadas, se for caso disso), as tarefas específicas do EPD e o respetivo âmbito de aplicação, nomeadamente no que diz respeito à realização da AIPD.

[1] O art.º 39.º/1, menciona as funções do EPD e indica que o EPD tem, «pelo menos», as seguintes funções. Por conseguinte, nada impede que o responsável pelo tratamento atribua ao EPD outras funções, além das explicitamente referidas no artigo 39.º/1, ou que especifique as tarefas de forma mais pormenorizada.

[2] O artigo 24.º/1, dispõe o seguinte: «Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades».

7.22 Como é que o EPD faz a abordagem baseada no risco?

O art.º 39.º/2, exige que o EPD tenha “em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento”.

Este artigo alude a um princípio geral e assente no bom senso, que pode revelar-se pertinente em muitos aspetos do trabalho diário do EPD. Essencialmente, exige que os EPD estabeleçam prioridades nas suas atividades e centrem os seus esforços nas questões que apresentam maiores riscos em matéria de proteção de dados. Tal não implica que os EPD devam negligenciar o controlo da conformidade das operações de tratamento de dados que, em termos comparativos, acarretam um nível de risco mais reduzido, indiciando antes que devem centrar-se fundamentalmente nos domínios de maior risco.

Esta abordagem seletiva e pragmática deve apoiar os EPD na sua missão de prestar aconselhamento ao responsável pelo tratamento sobre:

  • a metodologia a seguir na realização de uma AIPD;
  • os domínios que devem ser objeto de auditorias internas ou externas sobre a proteção de dados;
  • as ações de formação internas a disponibilizar ao pessoal ou aos quadros de gestão responsáveis pelas atividades de tratamento de dados;
  • as operações de tratamento às quais o responsável pelo tratamento deve consagrar uma parte mais significativa do seu tempo e recursos.
7.23 Qual o papel do EPD na conservação do registo de atividades?

Nos termos do art.º 30.º, n.os 1 e 2, é o RT/S, e não o EPD, que “conserva um registo de todas as atividades de tratamento sob a sua responsabilidade” ou “conserva um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento”. Este instrumento permite ao responsável pelo tratamento e à autoridade de controlo, a pedido destes, obter uma perspetiva geral de todas as atividades de tratamento de dados pessoais levadas a cabo por uma organização. Trata-se, portanto, de um requisito prévio da conformidade e, como tal, constitui uma medida de responsabilização eficaz.

O art.º 39.º/1, prevê uma lista das funções mínimas que devem incumbir ao EPD. Por conseguinte, nada impede que o RT/S atribua ao EPD a função de conservar o registo das atividades de tratamento sob a responsabilidade do RT/S. Esses registos devem ser considerados um dos instrumentos que permitem ao EPD desempenhar as suas funções de controlo da conformidade e de prestação de informações e aconselhamento ao RT/S (art.º 39.º/1, al. c), e art.º 30.º).

Na prática e por norma, os EPD criam inventários e mantêm um registo das operações de tratamento baseado nas informações que recebem dos vários departamentos da sua organização que tratam dados pessoais. Esta prática foi estabelecida ao abrigo de muitas disposições legislativas nacionais em vigor e em conformidade com as normas de proteção de dados aplicáveis às instituições e aos órgãos da UE[1].

[1] Art.º 24.º/1, al. d), do Regulamento (CE) n.º 45/2001.

7.24 Qual o significado de "conflito de interesses”?

O art.º 38.º/6, permite que o EPD possa “exercer outras funções e atribuições”. Porém, exige que a organização assegure que “essas funções e atribuições não resultam num conflito de interesses”.

A ausência de conflitos de interesses está intimamente ligada ao requisito de independência dos EPD. Embora os EPD estejam autorizados a desempenhar outras tarefas, só podem ser incumbidos de outras funções e atribuições se estas não derem origem a conflitos de interesses. Deste modo, o EPD não pode exercer um cargo dentro da organização que o leve a determinar as finalidades e os meios do tratamento de dados pessoais. Devido à estrutura organizacional específica de cada organização, este aspeto deve ser apreciado caso a caso.

Regra geral, os cargos suscetíveis de gerarem conflitos no seio da organização podem incluir os cargos de direção superiores, mas também outras funções em níveis inferiores da estrutura organizacional, se esses cargos ou funções levarem à determinação das finalidades e dos meios de tratamento. Além disso, pode igualmente surgir um conflito de interesses se, por exemplo, um EPD externo for chamado a representar o RT/S perante os tribunais no âmbito de processos respeitantes a questões de proteção de dados art.º 38.º, n.os 3 e 6).

Consoante as atividades, a dimensão e a estrutura da organização, é aconselhável, como boa prática, que o RT/S:

  • Identifique os cargos que se afigurariam incompatíveis com as funções de EPD;
  • Aprove normas internas para o efeito, com o intuito de evitar conflitos de interesses;
  • Inclua uma explicação mais geral sobre os conflitos de interesses;
  • Declare que os respetivos EPD não têm conflitos de interesses no que se refere às suas funções enquanto EPD, como forma de divulgação deste requisito;
  • Inclua salvaguardas no regulamento interno da organização e assegurem que o anúncio de vaga para o lugar de EPD ou o contrato de prestação de serviços seja suficientemente preciso e pormenorizado, com vista a evitar conflitos de interesses.

Neste contexto, importa igualmente ter em conta que os conflitos de interesses podem assumir formas diferentes em função do vínculo laboral do EPD, enquanto colaborador interno ou externo.

7.25 Que salvaguardas permitem que o EPD desempenhe as suas funções com independência?

Existem várias salvaguardas para permitir ao EPD atuar de forma independente, nomeadamente:

  • O RT/S não dá instruções relativas ao exercício das funções do EPD;
  • O RT/S não pode destituir nem penalizar o EPD pelo exercício das suas funções;
  • Não existe conflito de interesses com outras possíveis funções e atribuições.
7.26 Como é que o EPD faz a cooperação com a autoridade de controlo?

Nos termos do art.º 39.º/ 1, alíneas d) e e), o EPD “coopera com a autoridade de controlo” e serve de “ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o art.º 36.º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto”.

Estas funções enquadram-se no papel ponto de contacto no sentido de facilitar (“facilitador”) o acesso da autoridade de controlo aos documentos e informações necessários para o desempenho das funções elencadas no art.º 57.º, bem como para o exercício dos seus poderes de investigação, de correção, consultivos e de autorização, tal como referidos no art.º 58.º. A obrigação de sigilo/confidencialidade não proíbe o EPD de contactar, consultar e solicitar o parecer da autoridade de controlo, conforme previsto na al. e) do art.º 39.º/1.

7.27 O EPD pode ser destituído ou penalizado pelo exercício das suas funções?

Em conformidade com o art.º 38.º/3, o EPD não pode ser destituído nem penalizado (sequer ameaçado) pelo RT/S pelo facto de exercer as suas funções. Este requisito beneficia o EPD de proteção suficiente no desempenho das suas funções, reforça a sua autonomia e ajuda-o a garantir uma atuação independente. Quanto mais garantias existirem contra a destituição abusiva, maior será a probabilidade de o EPD poder atuar de forma independente.

Dados recolhidos
8.1 Com que fundamento são tratados os dados pessoais?

Para efeitos de cumprimento de obrigação legal:

Tratamento de dados pessoais no âmbito de uma obrigação legal, como por exemplo na qualidade de organismo pagador.

Para exercício de funções de interesse público:

Tratamento de dados pessoais necessário ao exercício de funções de interesse público de que está investida a UC.

Para execução de contrato:

Tratamento de dados necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados.

Com o consentimento dos titulares:

Tratamento de dados pessoais que depende do consentimento do respetivo titular. Neste caso, o titular tem o direito de retirar a qualquer momento o consentimento prestado, sem comprometer a licitude do tratamento que tenha sido efetuado com base nesse consentimento. O consentimento pode ser retirado utilizando os seguintes meios e contactos:

  • Endereço de Correio eletrónico: epd[at]uc.pt
  • Comunicação escrita dirigida ao responsável pelo tratamento.
8.2 Quais os prazos de tratamento e conservação de dados pessoais?

O período de tempo durante o qual os dados pessoais são armazenados e conservados varia de acordo com a finalidade para a qual a informação é tratada.

Sempre que não exista uma exigência legal específica, os dados serão armazenados e conservados apenas pelo período mínimo necessário para a prossecução das finalidades que motivaram a sua recolha ou o seu posterior tratamento, nos termos definidos na lei.

8.3 Porque é que a Universidade necessita de saber toda a informação que pede aos alunos, e.g. o nome do pai e nome da mãe, etc.?

A maioria desses dados são necessários para responder a inquéritos oficiais como o RAIDES. De forma a cumprir este desiderato, a UC mantém esta informação durante todo o tempo de permanência do aluno na Universidade e por mais dois anos, após a sua última inscrição.

8.4 Qual o tratamento dado aos dados pessoais dos candidatos que não concretizam a sua inscrição na UC?

Os candidatos que não se transformam em alunos, seja porque não foram aceites, seja porque desistem antes de iniciar, seja porque o procedimento se esgota no final da candidatura, têm os seus dados pessoais eliminados no final do período necessário para garantir os prazos de reclamação, com exceção dos dados de faturação, caso tenha existido pagamentos, que são eliminados findo o prazo legal.

8.5 Qual a necessidade de recolher dados pessoais dos trabalhadores?

Os dados pessoais dos trabalhadores recolhidos pelas unidades orgânicas e serviços da UC, são obrigatórios no âmbito do emprego na função pública.

8.6 O que devo fazer quando tomar conhecimento de que os dados que me foram confiados estão na posse de terceiros?

O RGPD tem medidas muito claras relativamente a estes casos. Existem prazos para comunicar ao Encarregado da Proteção de Dados, que por sua vez, terá que informar a Comissão Nacional de Proteção de Dados num máximo de 72h, após a tomada de conhecimento de que os dados foram comprometidos. Se a violação do RGPD puder afetar significativamente o titular dos dados, poderá ser necessário informá-lo(s).

8.7 Como eliminar dados pessoais?

O RGPD não faz distinção pelo suporte (papel ou digital). Em todos os casos é necessário assegurar a efetiva destruição dos dados. Se os dados estiverem em papel, deve ser usada uma destruidora de papel. CDs/DVDs devem também ser efetivamente destruídos. Num computador depois de apagados, é importante assegurar que os ficheiros são igualmente destruídos do "Recycle Bin".

Videovigilância
9.1 Quero instalar/renovar um sistema de videovigilância para proteção de pessoas e bens. Como devo proceder?

Com o RGPD, já não é necessário pedir autorização à CNPD para ter um sistema de videovigilância. Assim, já não é preciso preencher qualquer formulário ou pagar taxa, nem prestar qualquer informação desta natureza à CNPD.

No entanto, para poder instalar um sistema de videovigilância tem de se atender a vários requisitos legais, que incluem, além do RGPD, a Lei n.º 34/2013 de 16 de maio, que regula a atividade de segurança privada, as disposições do Código do Trabalho, o disposto no art.º 19.º da Lei n.º 58/2019, de 8 de agosto, e outra legislação aplicável a cada situação em concreto.

9.2 As autorizações de videovigilância emitidas antes de 25 de maio continuam válidas?

Sim, em tudo o que não contrariem o disposto no RGPD e/ou na Lei n.º 58/2019 (art.º 19.º). Os responsáveis pelo tratamento devem cumprir as condições estabelecidas nas autorizações para o tratamento de dados pessoais através de videovigilância.

9.3 Quero acrescentar o número de câmaras que estão referidas na autorização da CNPD. Como fazer?

Não é necessário realizar qualquer notificação ou comunicação à CNPD, devendo as imagens captadas respeitar o disposto no art.º 19º da Lei 58/2019. No entanto, qualquer colocação de câmaras em locais não abrangidos pela autorização, originará a caducidade desta.

De acordo com o RGPD, compete ao responsável pelo tratamento analisar previamente se o tratamento de dados pessoais, decorrente da utilização de um sistema de videovigilância, cumpre os requisitos do RGPD e demais legislação aplicável.

9.4 Quais são os locais onde não posso pôr câmaras?

A instalação de videovigilância tem por objetivo a proteção de pessoas e bens, seja pelo seu potencial efeito dissuasor, seja para permitir a identificação do perpetrador em processo criminal. Por isso, a colocação das câmaras deve ter em conta a estrita necessidade de manter um perímetro de segurança e de controlar os acessos a partir do exterior, de modo adequado às circunstâncias do local e proporcionado para não restringir excessivamente os direitos dos cidadãos.

Assim, as câmaras não deverão abranger, designadamente, áreas de espera em consultório médico, zonas de descanso ou lazer, o interior dos elevadores, salas de aula, salas de refeições, esplanadas, vestiários, interior e acessos a casas de banho, interior de ginásios.

Na colocação das câmaras, deve ser tido especial cuidado para que estas não permitam captar imagens da digitação de códigos de segurança em terminais de pagamento.

As câmaras não podem incidir sobre a via pública ou a propriedade de terceiros.

Nos termos da redação do n.º 3 do art.º 19.º da Lei 58/2019, “nos estabelecimentos de ensino, as câmaras de videovigilância só podem incidir sobre os perímetros externos e locais de acesso, e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção, como laboratórios ou salas de informática.”

9.5 Quais são as condições para ter videovigilância no local de trabalho (armazém, oficina, escritório, fábrica, etc.)?

No contexto laboral, mantêm-se vigentes as condições impostas pelo Código do Trabalho para a vigilância à distância, à exceção da necessidade de solicitar autorização da CNPD, que é incompatível com o RGPD.

Assim, a videovigilância não pode ser usada para controlo do desempenho dos trabalhadores, não devendo, por isso, incidir regularmente sobre estes, o que exclui a abrangência das áreas de laboração, seja em linha de produção, armazém ou trabalho administrativo em escritório.

Os trabalhadores têm de ser informados sobre a existência do sistema de videovigilância, bem como de todas as questões relevantes quanto ao seu funcionamento.

9.6 Durante quanto tempo tenho de conservar as imagens de videovigilância?

Em conformidade com a Lei n.º 34/2013, de 16 de maio, deve conservar as imagens pelo período de 30 dias. Isto sem prejuízo de ser necessário manter as imagens por mais tempo, no âmbito de processo criminal em curso.

9.7 Além da imagem, é possível proceder à captação de som?

Nos casos em que é admitida a videovigilância, é proibida a captação de som, exceto no período em que as instalações estejam encerradas, isto é, sem pessoas a trabalhar nas zonas vigiadas, ou mediante autorização prévia da CNPD (art.º 19.º, n.º 4, da Lei n.º 58/2019).

9.8 Continua a ser necessário afixar o aviso informativo?

Sim. Os titulares dos dados têm o direito a ser informados sobre a utilização de sistemas de videovigilância. O aviso informativo deve respeitar o previsto no art.º 31.º, n.º 5, da Lei n.º 34/2013, de 16 de maio, devendo mencionar "Para sua proteção, este local é objeto de videovigilância".

Veja a proposta do EPD-UC de sinalética nos edifícios da UC com sistemas de videovigilância aqui.

9.9 No Perímetro exterior o sinal aviso identificativo da existência de videovigilância tem que estar junto de cada câmara mesmo que existam várias câmaras no mesmo local?

O sinal aviso tem apenas de estar visível no local onde estão instaladas as câmaras.

9.10 No interior dos edifícios tem de existir um sinal identificativo junto a cada câmara ou basta existir um único sinal junto dos acessos aos edifícios?

O sinal aviso tem apenas de estar visível junto dos acessos.

Computadores pessoais
10.1 Posso ter dados pessoais de terceiros no meu computador pessoal?

Sim, desde que seja para o estrito cumprimento das suas funções profissionais (e.g. elaboração de uma pauta) e que não seja possível, ou viável, a utilização dos equipamentos da UC para tal.

10.2 Tenho dados pessoais de terceiros no meu computador pessoal, como devo proceder?

Os dados pessoais, por exemplo de alunos ou funcionários, devem permanecer nos computadores pessoais o tempo indispensável à realização da tarefa legítima, após o qual devem ser apagados.

Durante o tempo em que permanecem no computador pessoal, o trabalhador deve assegurar-se que o seu computador cumpre todas as regras básicas de segurança, nomeadamente o disposto no Regulamento de Utilização de Recursos de TIC da UC.

Opcionalmente, o utilizador poderá cifrar os ficheiros com dados pessoais, com a ajuda de programas como o WinRAR e o 7-Zip, que sendo de utilização livre, permitem comprimir e cifrar um conjunto de ficheiros com uma password.

10.3 Quais as regras básicas de segurança que devo seguir para assegurar a proteção dos dados pessoais temporariamente armazenados no meu computador pessoal?

Sem prejuízo de outras, devem ser asseguradas as boas práticas previstas no Regulamento de Utilização de TIC da UC, nomeadamente as estabelecidas no seu artigo 8.º .

Saúde
11.1 Em contexto de pandemia, a entidade empregadora pode solicitar o consentimento do titular para efetuar o tratamento de categorias especiais de dados pessoais (dados de saúde)?

A instituição não deve, por regra, fundamentar o tratamento de categorias especiais de dados no consentimento, considerando que na “evidente situação de vulnerabilidade das pessoas que se encontram contaminadas pelo vírus, bem como a sua situação de dependência da intervenção das autoridades públicas“[1]não se vê, nestas condições, que a emissão de um consentimento seja uma “manifestação de vontade, livre, específica, informada e inequívoca”.[2]

[1] In Orientações da CNPD/2020 de 22 de abril - Divulgação de informação relativa a infetados por Covid-19.

[2] In RGPD - al. 11) do art.º 4.º.

11.2 Pode, a instituição, fazer o tratamento de categorias especiais de dados pessoais?

A UC pode fazer tratamento de categorias especiais de dados, quando necessário para cumprir obrigações legais a que está sujeita. Pode, ainda, fazer este tratamento por razões de interesse público, como no controlo de doenças infeto-contagiosas.

11.3 Pode, a instituição, publicar os dados de saúde dos seus trabalhadores?

A UC pode fazer o tratamento de dados de saúde conforme preconizado na questão anterior, mas não pode publicar estes dados com a identificação dos trabalhadores, nem de forma a que possam indiretamente ser identificados. Este tipo de tratamento depende de norma legal habilitante que o preveja e, simultaneamente, acautele os direitos e interesses dos trabalhadores.

11.4 No quadro do combate à propagação da COVID-19, pode, a instituição, publicar a lista de trabalhadores que estão em isolamento profilático?

A UC não pode fazer essa publicação, uma vez que o isolamento profilático é um instrumento usado pela Autoridade de Saúde, que impõe o isolamento das pessoas infetadas para que, preventivamente, se contenha a propagação do vírus. O Certificado de Isolamento Profilático impõe legalmente a presença em isolamento e, como serve de justificativo para as faltas ao trabalho, o seu tratamento deve obedecer a um ainda maior nível de segurança e de confidencialidade.

11.5 Pode, a instituição, publicar dados de saúde, sem a identificação dos seus trabalhadores?

A UC pode publicar dados de saúde anonimizados, desde que a sua dimensão não possa ser associada a outro indicador e, nesse processo, se permita identificar os trabalhadores.

11.6 Pode, a instituição, disponibilizar à comunidade científica os dados pessoais dos seus trabalhadores suspeitos de COVID-19, mesmo que o propósito seja o da análise e eventual controlo do surto pandémico?

A UC não pode disponibilizar os dados, uma vez que não está legitimada para alterar as finalidades de um tratamento. Estes dados foram recolhidos com finalidades específicas e ao abrigo dos requisitos legais anteriormente referidos, pelo que o pedido deve ser endereçado à DGS.

11.7 Pode, a instituição, exigir dos seus trabalhadores, informação específica sobre a sua saúde?

A UC, através dos SSGST-UC[1], com informação prévia ao trabalhador, só pode exigir o previsto na norma em vigor, devendo nesses casos ter sempre presente o princípio da proporcionalidade e da minimização de dados.

[1] Só através de uma análise sustentada e valoração do risco na área da saúde e segurança dos trabalhadores, pode, a instituição, tomar a decisão de obter a informação necessária com vista à adoção do tipo de medidas preventivas.

11.8 Pode, a instituição, realizar exames médicos aos seus trabalhadores?

A UC pode realizar ou diligenciar a realização de exames médicos, através do SSGST-UC, naquilo que a legislação, em matéria de emprego ou de saúde e segurança, determinar.

11.9 Pode, a instituição, exigir que os seus trabalhadores realizem testes de diagnóstico de COVID-19?

A UC pode exigir que os seus trabalhadores realizem testes diagnósticos de COVID-19, desde que essa exigência advenha do cumprimento de uma base legal, à luz das normas/orientações da DGS, e sustentada numa articulação entre os serviços de saúde ocupacional da UC e a autoridade de saúde competente. A mesma deve estar sustentada pela ponderação da sua adequação, proporcionalidade e necessidade de tratamento de dados pessoais e sempre que comprovadamente não possa conter a sua propagação com a aplicação de outros(s) método(s), menos intrusivos. Nestes casos a UC deve suportar os respetivos encargos. Não obstante, a pedido do trabalhador, a UC deverá permitir a realização dos mesmos testes noutros laboratórios certificados, podendo, nestes casos, imputar os custos ao próprio trabalhador.

11.10 No quadro do combate à propagação da COVID-19, pode, a instituição, controlar sistematicamente a temperatura corporal dos seus trabalhadores?

A UC deve acompanhar a orientação da CNPD, de 23 de abril, ou seja, abster-se de “adotar iniciativas que impliquem a recolha de dados pessoais de saúde dos seus trabalhadores quando as mesmas não tenham base legal, nem tenham sido ordenadas pelas autoridades administrativas competentes”. Porém, mantém-se a possibilidade de a UC, no âmbito da medicina do trabalho, poder “avaliar o estado de saúde dos trabalhadores e obter as informações que se revelem necessárias para avaliar a aptidão para o trabalho, nos termos gerais definidos na lei da segurança e saúde no trabalho”.[1]

[1] In Orientações da CNPD/2020, de 23 de abril.

11.11 No quadro do combate à propagação da COVID-19, pode, a instituição, revelar às autoridades de saúde, a identidade de um trabalhador suspeito de estar infetado com SARS-CoV-2?

A UC só deverá substituir o trabalhador nas suas responsabilidades, caso este não as cumpra e por indicação fundamentada do SSGST-UC. A DGS, no ponto “Procedimentos num caso suspeito”, constante da Orientação n.º 6/2020, recomenda que “O Trabalhador doente (caso suspeito de COVID-19) já na área de “isolamento”, contacte o SNS 24 (808 24 24 24)”.

11.12 No quadro do combate à propagação da COVID-19, pode, a instituição, partilhar dados pessoais com as autoridades de saúde, de um trabalhador suspeito de estar infetado com SARS-CoV-2?

A UC, através do SSGST-UC, deve “colaborar com as Autoridades de Saúde, na identificação, listagem e acompanhamento dos contactos próximos, e demais ações requeridas pelas Autoridades”[1].

[1] In Orientação Técnica n.º 14/2020 do PNSO/DGS, de 19 de março.

11.13 No quadro do combate à propagação da COVID-19, pode, a instituição, revelar aos restantes trabalhadores, a identidade de um trabalhador suspeito de estar infetado com SARS-CoV-2?

A DGS (Orientação n.º 6/2020) recomenda que perante um caso suspeito validado (ainda que a aguardar resultados de testes laboratoriais), a instituição informe os restantes trabalhadores da existência de tal caso. Considera-se que essa informação, não deve incluir o nome do trabalhador. Nestas circunstâncias, a UC, para além de ter de informar os trabalhadores sobre casos suspeitos de COVID-19, de ter de tomar medidas de proteção constantes no Plano de Contingência e nas recomendações das autoridades de saúde pública, deve abster-se de revelar a identidade de qualquer trabalhador (potencialmente) infetado, salvo nos casos em que, sustentados pelo SSGST-UC, se justifique esta ação imperiosa. Nestes casos, “os trabalhadores em causa devem ser antecipadamente informados e a sua dignidade e integridade protegidas” [1] de modo a que seja respeitado o preconizado na Lei n.º 58/2019 [2].

[1] In Orientações do Comité Europeu para a Proteção de Dados, de 19 de março de 2020.

[2] Nº 6 do art.º 29.º “O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação.”

11.14 No quadro do combate à propagação da COVID-19, pode, a instituição, exigir saber se o trabalhador viajou recentemente para países identificados como áreas com transmissão comunitária ativa?

A UC não pode imiscuir-se na intimidade da vida privada do trabalhador. Porém, atendendo ao atual contexto pandémico, sobreleva o dever de o empregador assegurar as condições de segurança e saúde no local de trabalho, pelo que, em situações específicas, através do SSGST-UC, estes dados podem eventualmente vir a ser objeto de tratamento em articulação com as autoridades de saúde, num processo de comunicação bidirecional.

11.15 No quadro do combate à propagação da COVID-19, a UC pode exigir ao trabalhador o preenchimento de um questionário, solicitando informações sobre o histórico recente de viagens aos países de severidade alta, assim como de sintomas de suspeitos?

A UC não pode imiscuir-se na intimidade da vida privada do trabalhador. Porém, para garantir a salvaguarda física dos seus trabalhadores e minimizar a possibilidade de disseminação da doença, através do SSGST-UC, poderá recolher dados pessoais em estrito cumprimento do plano de contingência adotado. Neste caso, o questionário deverá limitar-se às questões essenciais de despiste da propagação do vírus, conforme os interesses legítimos prosseguidos pela instituição e necessários por motivos de interesse público no domínio da saúde pública, bem como em cumprimento com as recomendações das autoridades competentes. A informação recolhida é confidencial e fica à responsabilidade do serviço de saúde ocupacional.

11.16 No quadro do combate à propagação da COVID-19, pode, a instituição, recolher outros dados de saúde não diretamente relacionados com esta doença?

A UC deve limitar-se a cumprir o que está definido no seu Plano de Contingência, deve respeitar o princípio da minimização dos dados e não deve substituir-se às autoridades competentes.

11.17 No quadro do combate à propagação da COVID-19, pode, a instituição, solicitar que um trabalhador suspeito de estar infetado com SARS-CoV-2, indique os nomes dos trabalhadores com quem esteve recentemente em contacto?

A DGS, no ponto 6 (“Procedimentos num caso suspeito”) da Orientação n.º 6/2020, recomenda: “O empregador colabora com a Autoridade de Saúde Local na identificação dos contactos próximos do doente (Caso suspeito validado)” após verificação de caso suspeito validado pelo competente serviço de saúde. No entanto, apesar da desejável cooperação, também aqui a instituição deve provar através do SSGST-UC, a necessidade, adequação e proporcionalidade do tratamento dos dados de saúde. A informação pertinente em termos de prevenção da doença deve ser partilhada com a autoridade de saúde competente.

11.18 Deve, o trabalhador, informar a instituição: de ser suspeito de estar infetado com SARS-CoV-2; ou, deter informação relevante que relacione a COVID-19 com a sua prestação na atividade laboral?

O trabalhador está obrigado pelo RJPSST a cumprir com as prescrições de segurança e de saúde no trabalho e deve assumir essa responsabilidade para com os seus colegas de trabalho. É, através do cumprimento desta obrigação, que a UC pode assegurar as condições de segurança e saúde, de forma continuada e permanente (princípio da prevenção contante no art.º 15.º do RJPSST). Neste report, o trabalhador está obrigado a cumprir o preconizado no art.º 106.º do CT, i.e., “O trabalhador deve informar o empregador sobre aspectos relevantes para a prestação da actividade laboral.” Sem divulgar aspetos da sua esfera pessoal, o trabalhador tem a obrigação de comunicar ao serviço de saúde ocupacional eventuais sintomas compatíveis com a definição de caso COVID-19.

11.19 No quadro do combate à propagação da COVID-19, deve, o trabalhador, em período de férias, informar a instituição de estar infetado com SARS-CoV-2?

No seguimento da resposta à questão anterior, sem prejuízo da aplicação do disposto na LFTP (art.º 128.º) em matéria de doença no período de férias, considerando o risco inerente ao regresso ao trabalho, que pode ocorrer dentro do prazo de quarentena da doença, determinado pelas autoridades de saúde, mesmo que o trabalhador não pretenda ver suspensas as suas férias tem o dever de comunicar à entidade empregadora, através do Serviço de saúde ocupacional, a situação de doença ocorrida em período de férias. Caso já se encontre recuperado, não tem o dever de informar, uma vez que já não apresenta risco para a Saúde Pública. No entanto, se depois de recuperado for ainda contacto de conviventes positivos, deve informar o SSGST-UC.

11.20 No quadro do combate à propagação da COVID-19, deve, o trabalhador cooperar com a instituição?

Para além do dever moral associado à apropriação de valores humanos e às relações de convivência, no âmbito dos deveres gerais de lealdade e de cooperação em matéria de segurança e saúde no trabalho, o trabalhador deve informar a UC, caso represente um perigo para os colegas de trabalho. Mais, de acordo com o n.º 7 do art.º 281.º do CT, “Os trabalhadores devem cumprir as prescrições de segurança e saúde no trabalho estabelecidas na lei ou em instrumentos de regulamentação colectiva de trabalho, ou determinadas pelo empregador.” A este propósito, assinala-se: “Aquele que, com dolo ou mera culpa, violar ilicitamente o direito de outrem ou qualquer disposição legal destinada a proteger interesses alheios fica obrigado a indemnizar o lesado pelos danos resultantes da violação.” (n.º 1 do art.º 483.º).

Publicação e partilha de dados
12.1 As pautas podem ser publicadas?

Sim, mas apenas nos locais indicados para o efeito e com as restrições adequadas. As classificações dos alunos são dados pessoais e por isso não são públicos. No entanto, a bem da transparência, as avaliações podem e devem ser conhecidas pelos colegas de avaliação.

12.2 Pode ser publicada informação relativa ao corpo docente da UC?

Sim, a informação relativa ao corpo docente, regime do vínculo e regime de prestação de serviços, no contexto das relações laborais e nos casos determinados na Lei pode ser publicada, porque cumpre finalidades legais e funções legítimas.

Porém, numa lógica de compatibilização da obrigatoriedade de divulgação com os direitos dos titulares dos dados, devem ser respeitados os princípios da proporcionalidade e da minimização dos dados pessoais.

Por motivos de segurança e minimização dos riscos de reprodução massiva de dados, a informação deve ser submetida a um processo de digitalização/imagem, com a marca da UC em fundo, ou outro processo similar que dificulte a sua leitura automatizada.

12.3 Podem ser enviados regularmente dados pessoais de alunos, funcionários ou candidatos para entidades internas à Universidade?

Em regra todas as trocas de dados pessoais dentro da Universidade de Coimbra são permitidas desde que sejam legítimas, i.e. tenham como objetivo o cumprimento da função da Universidade. De facto, no âmbito do RGPD, o envio de informação pessoal entre unidades orgânicas não é diferente da troca de dados pessoais entre funcionários dentro da mesma unidade orgânica. Em ambos os casos a troca de informação deverá ser legítima, controlada e transparente.

No entanto, como a troca de informação entre unidades orgânicas implica uma perda de controlo, em regra, todas as trocas de dados pessoais entre unidades orgânicas devem ser comunicadas ao EPD.

12.4 A UC pode comunicar os dados pessoais que trata a outras entidades, subcontratantes ou terceiros?

No âmbito das suas atribuições, a UC procede à comunicação dos dados pessoais a destinatários, os quais podem ser uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo.

São designadamente destinatários as seguintes entidades:

  • Instituições da União Europeia;
  • Serviços e organismos da Administração direta e indireta do Estado;
  • Organismos de certificação, de inspeção e de auditoria nacionais ou europeus
  • Autoridades de segurança e de investigação;
  • Tribunais;
  • Entidades administrativas independentes;
  • Instituições de crédito;
  • Seguradoras;
  • Quaisquer interessados que se encontrem munidos de autorização escrita do titular dos dados, explícita e específica quanto à finalidade e tipo de dados, ou demonstrem possuir um interesse legítimo, pessoal e direto, constitucionalmente protegido e suficientemente relevante que justifique o acesso pretendido, nos termos da Lei n.º 26/2016, de 22 de agosto (Lei de Acesso aos Documentos Administrativos).

Os destinatários das comunicações de dados poderão ainda simultaneamente assumir a categoria de:

  • Terceiros - pessoa singular ou coletiva, autoridade pública, serviço ou organismo que, não sendo o titular dos dados, nem o responsável pelo tratamento, nem o subcontratante, nem as pessoas que tratam dados pessoais sob a autoridade direta do responsável pelo tratamento ou do subcontratante, esteja autorizada a tratar dados pessoais mediante uma base legal específica para o efeito).
  • Subcontratante - pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trata dados pessoais por conta do responsável pelo tratamento desses dados, para as finalidades e com os meios de tratamento por este definidos ou determinados pelo direito da União Europeia ou de um Estado-Membro.

Em regra, todas as trocas periódicas de dados pessoais com entidades terceiras à Universidade devem ser comunicadas ao Encarregado de Proteção de Dados da sua Instituição.

12.5 É possível ser outra entidade a efetuar o tratamento de dados em nome da UC?

Uma entidade (singular ou coletiva) pode efetuar o tratamento de dados pessoais em nome de uma outra entidade, desde que exista um contrato ou outro ato jurídico. É importante que o subcontratante nomeado apresente garantias suficientes para a aplicação de medidas técnicas e organizativas destinadas a assegurar que o tratamento dos dados cumprirá as normas do Regulamento Geral de Proteção de Dados e proteja os direitos das pessoas.

O subcontratante nomeado não pode, posteriormente, nomear outro subcontratante sem a autorização prévia da entidade que o subcontratou, específica ou geral, por escrito. O contrato ou ato jurídico celebrado entre uma empresa/organização e o subcontratante deve incluir os seguintes elementos:

  • o tratamento só pode ser efetuado com base em instruções documentadas do responsável pelo tratamento;
  • o subcontratante garante que as pessoas autorizadas a efetuar o tratamento de dados pessoais assumiram um compromisso de confidencialidade ou se encontram sujeitas a uma obrigação legal de confidencialidade adequada;
  • o subcontratante deve oferecer um nível mínimo de segurança definido pelo responsável pelo tratamento;
  • o subcontratante deve ajudá-lo a garantir a conformidade com o RGPD.

Caixas de correio eletrónico

13.1 O que entendemos por caixa de correio eletrónico de serviço?

É uma caixa de correio eletrónico associada a uma Conta de Serviço, que identifica serviços, projetos, eventos ou dispositivos da UC e que é atribuída a um Utilizador Responsável, com vista ao desenvolvimento das atividades específicas daqueles serviços, projetos, eventos ou dispositivos, podendo ser partilhada por vários Utilizadores.

13.2 O que entendemos por caixa de correio eletrónico individual?

É uma caixa de correio eletrónico associada a uma Conta de Utilizador individual criada pela UC para comunicar com as pessoas que dela fazem parte.

13.3 Uma caixa de correio eletrónico individual pode ter um domínio externo à UC?

Não, os Utilizadores devem, no âmbito da sua relação com a UC, utilizar a conta de correio eletrónico por esta disponibilizada, abstendo-se do uso de contas externas.

13.4 O correio eletrónico de serviço é um dado pessoal?

Se esse correio apresentar elementos que possam identificar uma pessoa singular então representa um dado pessoal e deve ser protegido com os mecanismos adequados.

13.5 O correio eletrónico individual é um dado pessoal?

Sim, em regra o todo correio eletrónico é um dado pessoal, exceto aquelas que nomeiam cargos ou organizações.

13.6 A UC pode enviar mensagens para listas de funcionários e alunos através das suas caixas de correio eletrónico individuais?

Sim, podem ser utilizados os emails de funcionários e alunos nos termos do disposto no artigo 20.º do Regulamento de Utilização de Recursos de Tecnologias da Informação e da Comunicação, ou seja, para envio massivo de mensagens de teor institucional, relacionadas com a natureza e objeto da relação existente com a UC e outras, desde que a sua finalidade esteja alinhada com a missão e atribuições da UC e previamente autorizadas pelo órgão competente, e sejam destinadas a veicular informação de interesse para os destinatários,

Neste último caso, os titulares poderão, em qualquer momento, solicitar a não inclusão do seu endereço em lista de distribuição.

13.7 Posso enviar emails para listas de caixas de correio eletrónico individuais genéricas que possuo na minha instituição?

Pode, para assuntos que decorrem da atividade que desenvolve na UC, ou para outros assuntos, mas apenas se tiver o consentimento informado do titular da caixa de correio.

Sistemas de armazenamento remoto de ficheiros
14.1 Tenho dados pessoais armazenados em sistemas públicos (Cloud), como devo proceder?

Os dados pessoais não devem ser mantidos em Cloud públicas, como a Dropbox, o Google Docs ou o Office365. Caso seja absolutamente necessário manter essa informação na Cloud pública então esta deve estar cifrada (e.g. WinRAR, 7-Zip).

14.2 Uso documentos online de uma Cloud pública para processar dados pessoais de alunos, funcionários ou candidatos (e.g. preenchimento cooperativo de pautas), posso continuar a fazê-lo?

As Cloud públicas não devem ser usadas para processar dados pessoais, pois pode não estar garantido o respeito pelo RGPD. Em vez disso, deve privilegiar o uso de sistemas de armazenamento e partilha de ficheiros disponibilizados pela UC, como sejam a licença Google Docs for Education, o a licença Microsoft Office365 que a grande maioria das escolas possuem no âmbito do Microsoft Campus Agreement. Tal implica a utilização das contas de utilizadores associadas à UC.

Avaliação de Impacto sobre Proteção de Dados (AIPD)
15.1 O que é uma AIPD?

É um documento que descreve múltiplas operações de tratamento, avalia a necessidade do tratamento e auxilia a gestão dos riscos para determinar medidas necessárias para mitigar os riscos no tratamento dos dados pessoais.

15.2 É obrigatório realizar uma AIPD para todas as operações de tratamento?

Só quando o tratamento de dados é suscetível de implicar um elevado risco nas atividades de processamento de dados pessoais.

Sempre que não se conseguir encontrar medidas suficientes para reduzir os riscos elevados identificados para um nível aceitável, é obrigatório consultar a autoridade de controlo.

15.3 Quando é necessário realizar uma AIPD?

Sempre que o tratamento seja suscetível de resultar num elevado risco para os direitos e as liberdades das pessoas, nomeadamente quando (art.º 35/3 do RGPD):

a) Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;

b) Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.º, n.º 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º; ou

c) Controlo sistemático de zonas acessíveis ao público em grande escala.

15.4 Quem decide realizar uma AIPD?

O responsável pelo tratamento com o encarregado da proteção de dados, e os subcontratantes.

15.5 Quais são as outras obrigações do responsável pelo tratamento de dados?
  • Avaliar a probabilidade/gravidade do risco.
  • Garantir a realização da AIPD solicitando o parecer do encarregado da proteção de dados.

O subcontratante deve auxiliar o responsável pelo tratamento na realização da AIPD e fornecer todas as informações necessárias.

  • Conservar um registo de todas as atividades de tratamento de dados sob a sua responsabilidade, onde constam, designadamente as finalidades do tratamento de dados, a descrição das categorias de titulares de dados e categorias de dados pessoais e descrição geral das medidas técnicas e organizativas no domínio da segurança.
  • Solicitar a opinião dos titulares dos dados e dos seus representantes, se for adequado.

A opinião pode ser solicitada através de estudos, inquéritos e outros meios considerados adequados.

15.6 Como deve ser preparada a AIPD?

A avaliação deve incluir, pelo menos (art.º 35/7 do RGPD):

1.ª fase – Contexto

“a) Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;”

2.ª fase – Avaliação (risk assessment).

“b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos";

c) Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o” art.º 35/1; e

3.ª fase – Decisão (risk management).

“d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.”

15.7 Que informação deve conter a AIPD?

1. Âmbito do AIPD;

2. Objetivos da avaliação de impacto;

3. Equipa e contactos dos responsáveis;

4. Operações de Tratamento de dados pessoais:

  • Contexto e finalidades do tratamento de dados pessoais;
  • Ativos importantes que dependem de dados pessoais (componentes, sistemas, redes, papel);
  • Acessos aos dados pessoais;
  • Descrição das operações de tratamento de dados pessoais;

5. Avaliação das necessidades nas operações de processamento:

  • Medidas previstas para demonstrar a conformidade e necessidade do tratamento;
  • Medidas que contribuem para os direitos dos titulares dos dados;

6. Avaliar e mitigar riscos inerentes do direito dos titulares dos dados:

  • Relacionados com a violação de confidencialidade ou integridade;
  • Relacionados com a perda de dados pessoais;
  • Relacionados com o exercício dos direitos dos titulares de dados;
  • Possíveis impactos e ameaças;
  • Medida para redução dos riscos com descrições técnicas;

7. Prever medidas de segurança e procedimentos para assegurar a proteção de dados:

  • Descrição de medidas técnicas para assegurar a proteção;

8. Recomendações de melhoria;

Este documento pode levar até 6 meses a ser concluído, dependendo da natureza organizacional de pessoas, processos, procedimentos que tenham a ver com dados pessoais e, por uma questão de boas práticas, a AIPD deve ser continuamente revista e regularmente reavaliada.

15.8 Que operações de tratamento podem impor a realização de AIPD?

Exemplos:

  • Dados de menores;
  • Dados de saúde;
  • Informação relativa a situação profissional, experiência profissional, remuneração, ausências ao trabalho e demais informação;
  • Informação académica ou níveis de escolaridade, com recolha direta ou indireta:
  • Informação e dados bancários, de crédito, penhoras e arrestos;
  • Informação para emissão de documentos, por exemplo recibos de vencimento;
  • Recolha através de sistemas de plataformas, por exemplo, de dados pessoais de docentes;
  • Recolha, direta ou indireta, de dados pessoais de alunos ou estudantes;
  • Comunicação de dados pessoais entre entidades públicas, independentemente do meio de comunicação ou forma;
  • Gravação e divulgação de imagens de pessoas singulares;
  • Fotografias, divulgação e exposição de fotografias de pessoas singulares;
  • Vigilância sistemática;
  • Videovigilância, com ou sem gravação e armazenamento de imagens;
  • Uso ou aplicação de soluções tecnológicas ou organizacionais inovadoras;
  • Transferência de dados para fora da União Europeia, por exemplo, informação curricular ou certificados de habilitações.
Biometria
16.1 É legal colocar um sistema de biometria?

Os dados biométricos são considerados dados sensíveis, pelo que só é legítimo proceder ao seu tratamento nas seguintes situações:

  • se for obtido o consentimento do titular dos dados, nos termos legalmente exigíveis, ou seja, assegurando que o consentimento é explícito, informado, específico e dado livremente;
  • se foi utilizado para controlo de assiduidade e para controlo de acessos às instalações do empregador (art.º 28.º/6, da Lei n.º 58/2019); e
  • se houver outra lei que expressamente preveja esse tratamento e que, adicionalmente, estabeleça garantias para a defesa dos direitos dos titulares.
16.2 Pode ser instalado um sistema biométrico na UC para controlo de acesso e assiduidade dos trabalhadores?

Sim, se cumprir todos os requisitos locais e características do sistema no caso concreto. O tratamento de dados biométricos é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador (art.º 28.º/6, da Lei n.º 58/2019, e art.º 9.º/2/b do RGPD).

No entanto, deve assegurar-se que só são utilizadas representações do dado biométrico (template) e que o processo não permite a reversibilidade dos dados (art.º 28.º/6, da Lei n.º 58/2019). Deve garantir-se uma declaração do fabricante do sistema atestando a existência destas características.

No contexto laboral, o tratamento de dados biométricos dos trabalhadores tem ainda de respeitar o disposto no art.º 18.º do Código do Trabalho, com exceção da notificação à CNPD.

16.3 Os dados biométricos já recolhidos no contexto laboral podem ser usados para outra finalidade?

Não. A lei é muito clara só admitindo como tratamento legítimo para a finalidade de controlo de assiduidade e/ou controlo de acesso às instalações do empregador. Assim, não podem ser recolhidos e utilizados dados biométricos dos trabalhadores para qualquer outro fim.

16.4 Pode ser utilizada a biometria para controlar o acesso dos utentes às instalações da UC?

Sim, desde que obtido o consentimento dos utentes, nos termos legais e melhor explicitados aqui. No entanto, tem de haver alternativa de acesso às instalações para os utentes que não consentirem na recolha dos seus dados biométricos. Para garantir as condições de liberdade efetiva de escolha, o responsável pelo tratamento não pode criar obstáculos, ou de outro modo dificultar, o acesso alternativo sem controlo biométrico. Os meios empregues no controlo de acesso devem ser proporcionais ao nível de segurança das instalações e às necessidades de verificação de acesso.

16.5 É necessária uma avaliação de impacto sobre a proteção de dados para tratar dados biométricos?

A obrigatoriedade de realizar uma avaliação de impacto sobre a proteção de dados (AIPD) quando há tratamento de dados biométricos depende de vários fatores.

As organizações que já possuem uma autorização da CNPD para o tratamento de dados biométricos – e desde que não tenha havido alteração às condições autorizadas para o funcionamento do sistema – não precisam de realizar uma AIPD.

As organizações que não tenham obtido até 25 de maio de 2018 autorização da CNPD, estão obrigadas a realizar uma avaliação de impacto sobre a proteção de dados quando realizarem tratamentos em larga escala, conforme exigido pelo artigo 35.º, n.º 3, alínea b), do RGPD. Quando realizarem tratamentos de dados biométricos, em pequena escala, estão igualmente obrigadas a realizar avaliações de impacto, sempre que o tratamento recaia sobre titulares de dados de grupos vulneráveis, como é o caso de trabalhadores, como previsto no ponto 7 do Regulamento 1/2018 da CNPD, no seguimento do Parecer 18/2018 do Comité Europeu da Proteção de Dados.

16.6 Quem tem de fazer a avaliação de impacto sobre a proteção de dados (AIPD)?

A obrigação de promover a realização de uma avaliação de impacto antes de iniciar o tratamento de dados é do responsável pelo tratamento. Contudo, a AIPD pode ser realizada diretamente pelo responsável pelo tratamento ou pela empresa que concebeu e/ou desenvolveu o sistema biométrico (cf. parte final do artigo 35.º/1 do RGPD), desde que o responsável pelo tratamento assuma os seus resultados.

16.7 É necessária autorização da CNPD para colocar um sistema biométrico?

Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desapareceu com a aplicação do RGPD. Já não é necessário solicitar autorização, preencher formulário ou pagar taxa à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD.

16.8 O que deve ser feito se se pretender alterar o funcionamento do sistema biométrico já autorizado pela CNPD?

Se fizer alterações ao tratamento de dados biométricos previamente autorizado pela CNPD e às condições aí fixadas, a autorização perde a sua validade (caduca). Em consequência, terá de cumprir todas as exigências legais como se estivesse a projetar um tratamento de dados pela primeira vez.

No ciberspaço, o que é...
17.1 Aceitação do Risco?

Decisão de aceitar a persistência de um risco residual após o tratamento do risco.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

17.2 Ameaça?

Potencial causa de um incidente indesejado, que pode provocar danos a um sistema, indivíduo ou organização;

Causa potencial de incidente indesejável que pode resultar em danos para uma organização ou qualquer dos sistemas por ela utilizados. Estas ameaças podem ser acidentais ou deliberadas (com dolo) e caracterizam-se por elementos ameaçadores, alvos potenciais e métodos de ataque.

- In ISO/IEC 27032; Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE e Decisão UE, Euratom n.º 2015/444 da Comissão, de 13 de março de 2015, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

17.3 Ameaças híbridas?

Embora as definições de ameaças híbridas variem e tenham de permanecer flexíveis para responder à sua natureza evolutiva, o conceito destina-se a abarcar a combinação de atividades coercivas com atividades subversivas, de métodos convencionais com métodos não convencionais (ou seja, diplomáticos, militares, económicos, tecnológicos) que podem ser utilizados de forma coordenada por intervenientes estatais ou não estatais para atingir objetivos específicos, mantendo-se, no entanto, abaixo do limiar de uma guerra formalmente declarada.

- In CE e ARUNEPS, Comunicação Conjunta ao Parlamento Europeu e ao Conselho, Quadro comum em matéria de luta contra as ameaças híbridas uma resposta da União Europeia.

17.4 Ameaças Internas Negligentes?

O que são? A ameaça interna diz respeito a um agente que compromete a cibersegurança de uma organização a partir do seu interior. Este comprometimento pode ser voluntário (por vingança ou dinheiro, por exemplo); resultado de um condicionamento (por efeito de chantagem sobre um colaborador, por exemplo); ou negligente (quando um trabalhador, involuntariamente, compromete a sua organização através de um comportamento descuidado, como a partilha de credenciais em resultado de um phishing).

O que fazem? Ainda que os outros tipos de ameaça interna possam existir em Portugal, a negligente é particularmente relevante, na medida em que resulta dos casos em que alguém clica num link ou anexo maliciosos ou partilha credenciais de acesso a contas, colocando em causa, sem o desejar, a segurança da informação da sua organização. Também inclui outras ações de engenharia social, como através de telefone, no sentido de permitir acessos remotos ou instalação de malware nos dispositivos de uma entidade. Este agente não atua isoladamente, é instrumentalizado por outros agentes de ameaça, como os cibercriminosos ou os atores estatais.
O comprometimento de contas, privilegiadas ou não, é uma das consequências mais notórias deste tipo de agente de ameaça, quer porque este não utiliza uma palavra-passe suficientemente forte e é descoberta por força-bruta ou tentativa-erro, quer porque a mesma é revelada através de um ataque de phishing ou de uma exfiltração de dados. Alguns agentes de ameaça conseguem comprometer também o múltiplo fator de autenticação, através, por exemplo, de SIM swapping, quando o smartphone serve esse propósito.

Quem atingem? Este tipo de agente de ameaça é constituído sobretudo por colaboradores de organizações, nomeadamente da Administração Pública ou de operadores de serviços essenciais quando os alvos são mais dirigidos, mas virtualmente qualquer organização quando os ataques são generalizados.

- In Relatório de Cibersegurança em Portugal - Riscos & Conflitos - CNCS - jun/2022.

17.5 Ameaça Persistente Avançada?

Um adversário que possui níveis sofisticados de especialização e recursos significativos que lhe permitem criar oportunidades para alcançar os seus objetivos através do uso de vários vetores de ataque (...) A ameaça persistente avançada: (i) procura concretizar os seus objetivos repetidamente durante um longo período de tempo; (ii) adapta-se aos defensores e aos seus esforços de resistência; e (iii) está determinada a manter o nível de interação necessário para atingir os seus objetivos.

- In NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms).

17.6 Ataque?

Qualquer tipo de atividade maliciosa que tenta coletar, perturbar, negar, degradar ou destruir recursos de sistema de informação ou a informação em si.

- In Glossary of Key Information Security Terms, eds. Richard Kissel, National Institute for Standards and Technology, US Deparment of Commerce, NISTIR 7298, Revision 2 – 2001, citado em NATO CCDCOE.

17.7 Atores Estatais

O que são: Por atores estatais entendem-se agentes de ameaça que atuam sob a direção estratégica e/ou direta de um Estado, sendo um escopo tradicionalmente composto por coletivos de operadores a atuarem na proximidade de serviços de informações ou diretamente integrados nas suas estruturas orgânicas. Estes agentes de ameaça executam ações hostis no ciberespaço a favor dos preceitos estratégicos do seu Estado e em evidente correlação com os desígnios programáticos das sua política externa, militar ou económico-financeira. Alguns destes agentes de ameaça são designados de “ameaças persistentes avançadas” (APT, no acrónimo em inglês).
Na vasta maioria dos eventos observados, as atividades de atores estatais concentram-se na execução de operações de ciberespionagem, orientadas para o comprometimento persistente e encoberto de infraestruturas informáticas detentoras de informação sensível ou de valor estratégico que pretendem exfiltrar de forma não detetada e recorrente. A estas ações de ciberespionagem acrescem casos, com menor expressão quantitativa, mas de elevada gravidade, correlacionados com atos de cibersabotagem, com o fito de causarem disrupção holística ou setorial em alvos externos.
Num número crescente de ocasiões estas ações cibernéticas hostis são, também, dinamizadas por Estados, à escala global, em benefício da sua política doméstica, da sua projeção global ou no âmbito de operações mais latas de natureza híbrida, onde ciberataques concorrem para o sucesso de estratégias de vasto escopo que incluem também, por exemplo, linhas de atuação no domínio da propaganda e da desinformação para a disrupção da normalidade democrática das sociedades.

O que fazem: A materialização desta ameaça no ciberespaço de interesse nacional ocorre em moldes coincidentes com o observado ao longo de todo o espaço comunitário e transatlântico, observando-se o empenho de uma crescente variedade de metodologias ofensivas com vista ao comprometimento das suas vítimas institucionais, tradicionalmente adstritas ao setor público e às áreas de soberania.
Tratando-se de atores oportunistas que prezam a anonimização da sua identidade e natureza funcional, os atores estatais privilegiam, cada vez mais, o empenho de metodologias ofensivas generalistas, desprovidas de uma assinatura de propriedade exclusiva, sendo, hoje, recorrente observar-se o recurso a métodos operacionais coincidentes com os empenhados por agentes da cibercriminalidade ou do hacktivismo.
Entre estes destacam-se o uso de phishing e spear phishing; a criação de domínios próximos do âmbito governamental para favorecer o typosquatting e o acesso a sites fraudulentos; bem como ações de reconhecimento e de mapeamento de vulnerabilidades para posterior exploração.

Quem atingem: Os atores estatais procuram atingir vítimas detentoras de acessos ou de informação com reconhecido valor estratégico.
Estas vítimas tendem a ser, na vasta maioria das ocasiões, de natureza público-governamental, não se devendo, contudo, desconsiderar a gravidade desta tipologia de ciberameaças contra alvos privados, nomeadamente infraestruturas críticas e serviços essenciais.

- In Relatório de Cibersegurança em Portugal - Riscos & Conflitos - CNCS - jun/2022.

17.8 Autenticação de Identidade?

Verificação ou validação da identidade de uma pessoa ou da identificação de qualquer outra entidade através de um sistema de segurança.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.9 Autenticação de mensagem?

Processo de validar o código de autenticação de uma mensagem, para obter a garantia de que um dado remetente emitiu essa mensagem para o destinatário previsto e de que a mesma não sofreu alterações durante a transmissão.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.10 Autenticidade?

Num contexto informacional, propriedade de uma informação cuja origem e integridade são garantidas.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.11 Auto-proteção dos sistemas de comunicação e informação?

Refere-se aos tratamento de sistemas de comunicação e informação externos à organização como não-confiáveis e a implementação de medidas de proteção para controlar a realização de trocas de informação com estes sistemas.

- In Diretiva Primária da OTAN sobre a segurança de sistemas de comunicação e informação n.º AC/35-D/2004-REV3, de 15 de novembro de 2013.

17.12 Avaliação do Risco

Identificação das ameaças e vulnerabilidades e realização da análise de risco conexa, ou seja, a análise da probabilidade e do impacto.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

17.13 Backup?

Qualificativo de um processo, técnica ou equipamento usado para ajudar a recuperar dados perdidos ou destruídos ou para manter um sistema em funcionamento.
Nota: No contexto do software usado para realizar a salvaguarda de ficheiros (software de salvaguarda), obtemos as chamadas ´cópias de segurança´ (backup copies). No contexto de equipamento que permita redundância, temos por exemplo ´fontes de alimentação de reserva´ (backup power supplies) ou mesmo ´discos de reserva´ (backup disks).

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.14 Blacklist?

Uma lista de entidades discretas, tais como hosts ou aplicações, que foram previamente consideradas estarem associadas a atividade maliciosa.

- In NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms.

17.15 Bluetooth?

Tecnologia normalizada de ligação via rádio, com baixa potência de transmissão e de pequeno alcance, utilizando um sistema de mudança aleatória de frequência de transmissão, que permite o estabelecimento automático de ligação, sem fios ou cabos, de vários aparelhos eletrónicos (telemóveis, assistentes digitais pessoais (PDA), computadores, etc.) situados a pequena distância uns dos outros, constituindo assim uma pequena rede local sem fios.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.16 Botnet?

Rede de computadores infetados [drones] por software malicioso e controlados à distância, sem o conhecimento dos utilizadores, com a finalidade de enviar mensagens eletrónicas não solicitadas, roubar informações ou lançar ciberataques coordenados.

- In Desafios à Eficácia da Política de Cibersegurança da UE, TCE 2019.

17.17 Bug Bounty?

Um bug bounty é um programa que incentiva a procura, descoberta e descrição de bugs em software com base na oferta de uma recompensa. Muitas empresas oferecem uma recompensa deste tipo de modo a impulsionarem a melhoria dos seus produtos e serviços.

- In Techopedia.

17.18 Bullyng?

O uso intencional de força ou poder físico e psicológico, ameaçador ou real, contra si mesmo, outra pessoa ou contra um grupo ou comunidade que resulte ou tenha uma alta probabilidade de resultar em ferimentos, morte, dano psicológico, mau desenvolvimento, ou privação.

- In World Health Organization - World report on violence and health: summary, 2002.

17.19 CEO Fraud/Comprometimento de Email de CEO/Negócio?

A fraude de CEO/negócio acontece quando um funcionário de uma empresa é enganado de modo a pagar uma fatura falsa ou a fazer uma transferência não autorizada com a conta da empresa;

CEO Fraud/Comprometimento de Email de CEO/Negócio: "ocorre quando um colaborador autorizado a fazer pagamentos é ludibriado [por alguém que se faz passar pela chefia da organização] no sentido de pagar uma fatura falsa ou realizar uma transferência não autorizada da conta bancária da organização.

- In Europol, Cyberscams; EUROPOL, CEO/Business Email Compromise (BEC) fraud.

17.20 Chave Criptográfica?

Cadeia de bits que comanda as operações de um algoritmo criptográfico. O secretismo destas chaves garante, normalmente, a segurança da transformação (cifragem/decifragem), especialmente quando o algoritmo de transformação é, como desejável, público.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.21 Chave Privada?

Em criptografia assimétrica, a chave que, do par de chaves possuídas por uma entidade, é apenas por ela conhecida. A chave privada é utilizada pela entidade titular para decifrar uma mensagem de que é a destinatária (mensagem essa que deve ter sido cifrada com a correspondente chave pública) ou para cifrar uma mensagem, como no caso das assinaturas digitais (que o destinatário decifrará com a correspondente chave pública).

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.22 Cheap Fake?

Manipulação audiovisual criada com software barato e acessível (ou nenhum). Falsificações baratas podem ser renderizadas através do Photoshop, semelhantes, recontextualizando imagens.

- In Data & Society.

17.23 Ciber?

Termo que conota uma relação com as tecnologias da informação.

- In Tallinn Manual on the International Law Applicable to Cyber Warfare – 2013, citado em NATO CCDCOE.

17.24 Ciber-Higiene?

Aplicar boas práticas do mundo digital.

Por exemplo:
Não ler e-mails de origem desconhecida;
Manter sempre os sistemas autorizados;
Fazer cópias de segurança;
Proteger sistemas com password forte;
Ter os devidos cuidados com a segurança física.

- In Data & Societ.

17.25 Ciberataque?

Ataque realizado através das tecnologias de informação no ciberespaço dirigido contra um ou vários sistemas, com o objetivo de prejudicar a segurança das tecnologias de informação e da comunicação (confidencialidade, integridade e disponibilidade), em parte ou totalmente.

- In Austrian Cyber Security Strategy (2013), citado em NATO CCDCOE.

17.26 Cibebullyng?

Ataque realizado através das tecnologias de informação no ciberespaço dirigido contra um ou vários sistemas, com o objetivo de prejudicar a segurança das tecnologias de informação e da comunicação (confidencialidade, integridade e disponibilidade), em parte ou totalmente.

- In Literacy Handbook, CC 2017.

17.27 Cibercrimes?

Factos correspondentes a crimes previstos na Lei do Cibercrime e ainda a outros ilícitos penais praticados com recurso a meios tecnológicos, nos quais estes meios sejam essenciais à prática do crime em causa;


- In ENSC 2019-2023; ENISA, Threat Landscape 2019, Lei n.º 109/2009, de 15 de Setembro, que Aprova a Lei do Cibercrime, transpondo para a ordem jurídica interna a Decisão Quadro n.º 2005/222/JAI, do Conselho, de 24 de Fevereiro, relativa a ataques contra sistemas de informação, e adapta o direito interno à Convenção sobre Cibercrime do Conselho da Europa.

17.28 Cibercrimes nos serviços bancários online?

Entre os ataques informáticos dirigidos a quem usa serviços bancários online, destacam-se sobretudo o phishing, o smishing e o vishing. O objectivo e o tipo de esquema de burla são muito idênticos, ou seja, o cibercriminoso faz-se passar pelo banco ou outra entidade de confiança e pede informação confidencial à vítima. Esta informação pode passar por dados de acesso (as palavras-passe, por exemplo), dados do cartão (nomeadamente, CVV ou PIN) ou códigos de segurança, autenticação ou autorização (como aqueles que são enviados para o telemóvel, pelo banco, para validação de uma operação que esteja a ser realizada online).
Estes três tipos de cibercrime diferenciam-se pela forma de aceder à vítima e pela maneira como a informação confidencial é pedida. Assim:
• No phishing, o ciberataque é geralmente levado a cabo através de e-mails, os quais podem contar links que redireccionam para páginas falsas com o convite de nelas serem inseridos os dados confidenciais a que o cibercriminoso quer ter acesso. Muitas vezes, o cliente pensa que está mesmo a aceder à página de homebanking do seu banco, pois as páginas falsas para as quais é redireccionado através desses links são extremamente parecidas com as da entidade bancária legítima.
• No smishing, o cibercriminoso recorre ao envio de SMS, mensagens de WhatsApp ou de outras aplicações de mensagens escritas. O esquema depois é em tudo semelhante ao phishing, com links para páginas falsas a solicitar os dados confidenciais.
• No vishing, a fraude é concretizada através de uma chamada telefónica, durante a qual o burlão se faz passar por alguém do banco ou de uma empresa da confiança da vítima, alegando algum tipo de problema ou necessidade de obtenção de dados pessoais e confidenciais, como dados do cartão ou códigos de segurança. De realçar que, em regra, o criminoso alega que esses dados são necessários com muita rapidez para a resolução do dito problema. É precisamente este carácter de urgência que leva, muitas vezes, a vítima a ser enganada, já que acaba por agir sem pensar. Deve-se ter em atenção que nenhum bancosolicita dados confidenciais, como palavras-passe, PIN ou códigos de segurança, autorização ou autenticação numa chamada telefónica. Em caso de dúvida de que realmente alguma coisa possa estar a acontecer com a conta, cartão ou homebanking, deve-se desligar a chamada e ligar de imediato para o telefone oficial da linha de apoio do banco ou para o balcão ou gestor de conta.

- In https://www.publico.pt/2023/01/05/estudiop/noticia/cibercrime-protege-2033591, jan/2023.

Saiba mais aqui.

17.29 Cibercriminosos?

O que são:
Em geral, os cibercriminosos caracterizam-se por ser indivíduos ou grupos que agem ilicitamente com o objetivo de obter ganhos financeiros. Com frequência, a sua constituição configura formas de crime organizado online. Poderá, em caso pontuais, ocorrer uma comunhão de interesses ou de oportunidades entre Estados e cibercriminosos, passando os segundos a atuar como proxies operacionais a favor de um Estado diretor.

O Cibercriminoso é aquele que pratica estes crimes; contudo, no âmbito dos atores de ameaças, esta designação é atribuída àquele que pratica estes crimes com intenções sobretudo económicas.

O que fazem:
No ciberespaço de interesse nacional, os cibercriminosos tiveram e continuam a ter uma atividade relativamente intensa.
As suas ações procuram, em particular, a cifragem extorsionista de sistemas e de infraestruturas informáticas, a captura de dados sensíveis, como dados bancários e de credenciais de acesso a contas, e a realização de fraudes/burlas, além de outras metodologias de extorsão. O phishing (bem como as variantes de smishing e vishing) é um dos vetores de ataque mais utilizados por estes agentes para a implementação de acessos remotos encobertos ou para a captura de informação sensível, dirigindo-se sobretudo a cidadãos ou utilizadores profissionais e utilizando temáticas diversas, como as ligadas à Banca ou a Serviços Postais.
Alguns destes ataques resultam em comprometimentos de contas, nomeadamente quando são capturadas credenciais de acesso. O ransomware também é um dos resultados das ações destes agentes de ameaça com cada vez maior impacto. Este malware, que cifra a informação das vítimas sob um pedido de resgate para a sua recuperação, pode ser instalado em dispositivos através de emails ou mediante a exploração de vulnerabilidades nos sistemas, por exemplo. Esta ameaça atinge principalmente organizações e não indivíduos.

Um outro tipo de prática muito comum entre os cibercriminosos é a fraude e a burla online. Muitos dos casos registados pelo Gabinete Cibercrime, pela CNPD, pela DGPJ ou pela APAV, por exemplo, são deste tipo. Em geral, implicam um dano patrimonial na vítima e uma simulação fraudulenta de uma marca ou de uma pessoa (por exemplo, um comprador ou um vendedor), que conduz a vítima a um engodo (por exemplo, a transferência de dinheiro para o agente criminoso). É notório um crescente número de casos relacionados com páginas falsas de marcas conhecidas ou de investimentos em criptomoedas.
Durante 2021, verificou-se ainda que estes agentes de ameaça intensificaram as suas ações de reconhecimento de vulnerabilidades nas infraestruturas nacionais para posterior exploração e realização de intrusões e/ou a instalação de malware, algo a que não é alheia a identificação de diversas vulnerabilidades importantes em 2021.

Quem atingem:
Os cibercriminosos, em Portugal, atingem sobretudo os setores da Banca, da Saúde e da Educação/Ensino Superior, bem como as PME e os cidadãos em geral.

- In Relatório de Cibersegurança em Portugal - Riscos & Conflitos - CNCS - jun/2022.

17.30 Ciberdefesa?

Ciberdefesa consiste na atividade que visa assegurar a defesa nacional no, ou através do, ciberespaço.

- In ENSC 2019-2023.

17.31 Ciberdefesa ativa?

Uma medida proactiva para detetar ou obter informações relativas a ciber intrusões, ciber ataques ou operações cibernéticas iminentes, ou para determinar a origem de uma operação que envolve o lançamento de uma contra-operação cibernética, preemptiva ou preventiva, contra a fonte.

- In Compilation of Existing Cybersecurity and Information Security Related Defintions, Open Technology Institute New America (2013), citado em NATO CCDCOE.

17.32 Ciberdefesa passiva?

Uma medida para detetar e mitigar intrusões e os efeitos de ataques cibernéticos que não envolve o lançamento de uma contra-operação cibernética, preemptiva ou preventiva, contra a fonte. Exemplo das medidas de defesa passiva são firewalls, patches, software antivírus e ferramentas de forenses digitais.

- In Tallinn Manual on the International Law Applicable to Cyber Warfare – 2013, citado em NATO CCDCOE.

17.33 Ciberespaço?

Consiste no ambiente complexo, de valores e interesses, materializado numa área de responsabilidade coletiva, que resulta da interação entre pessoas, redes e sistemas de informação.

- In ENSC 2019-2023.

17.34 Ciberespaço concentual?

A noção de espaço criada na mente quando se interage com tecnologia de computadores.

- In CNCS.

17.35 Ciberespaço percecionado?

O sentimento de tempo e espaço captado pelos nossos sentidos criado pelo interface homem máquina.

- In CNCS.

17.36 Ciberespionagem?

Esta ameaça geralmente tem como alvo os setores industriais, as infraestruturas críticas e estratégicas em todo o mundo, incluindo entidades governamentais, transportes, provedores de telecomunicações, empresas de energia, hospitais e bancos. Foca-se na geopolítica, no furto de segredos comerciais e de Estado, de direitos de propriedade intelectual e de informações proprietárias em campos estratégicos.

- In ENISA, Threat Landscape 2018.

17.37 Cibersegurança?

Consiste no conjunto de medidas e ações de prevenção, monitorização, deteção, reação, análise e correção que visam manter o estado de segurança desejado e garantir a confidencialidade, integridade, disponibilidade e não repúdio da informação, das redes e sistemas de informação no ciberespaço, e das pessoas que nele interagem.

- In ENSC 2019-2023.

17.38 Ciberterrorismo?

Existe cada vez mais uma convergência entre terrorismo e ciberespaço. Ao mesmo tempo que têm como motivação a realização de ciberataques, os Ciberterroristas têm como objetivos o recrutamento e a monetarização. Não obstante este uso instrumental do ciberespaço, o principal objetivo deste agente de ameaça, em última análise, é a realização de ciberataques por razões típicas de grupos terroristas.


- In ENISA, Threat Landscape 2018.

17.39 Cifra?

Algoritmo de complexidade variável que permite a transformação de um texto claro num texto ilegível, inviabilizando a leitura do texto original por pessoas que desconheçam o algoritmo.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.40 Command And Control (C&C)?

A parte mais importante de uma botnet é a designada infraestrutura de comando e controlo (C&C). Esta infraestrutura é constituída por bots e pela entidade de controlo que tanto pode ser centralizada como distribuída. São usados pelo bot master um ou mais protocolos de comunicação para comandar os computadores das vítimas e coordenar as suas ações (…) A infraestrutura de C&C serve tipicamente como a única forma de controlar bots numa botnet.

- In ENISA, Botnets: Detection, Measurement, Disinfection & Defence, 2011.

17.41 Compusec?

A aplicação de atributos de segurança no hardware, firmware e software de um sistema de computador para proteção ou prevenção da perda de integridade, disponibilidade dos sistemas, a divulgação não autorizada, manipulação, modificação/eliminação de informação e negação de serviço.

- In Regras de Segurança da Agência Espacial Europeia n.º ESA/REG/004, de 18 de janeiro de 2012.

17.42 Comunicação de risco?

Consciencializar os grupos de utilizadores de sistemas de comunicação e informação para os riscos, informar as autoridades de aprovação desses riscos e reportá-los às autoridades operacionais.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

17.43 Consórcio World Wide Web (W3C)?

Associação constituída por representantes de várias áreas relacionadas com o desenvolvimento da Internet. A W3C define e cria especificações, linhas de ação, software e ferramentas para a World Wide Web, incluindo padrões e normas como HTML ou RSS, de forma a garantir o crescimento da Internet a longo prazo.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.44 Cookie?

Pacote de informação enviado de um servidor Web para um programa de navegação, e depois reenviado sempre que este aceda ao servidor.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.45 Correio electrónico?

Qualquer mensagem textual, vocal, sonora ou gráfica enviada através de uma rede pública de comunicações que possa ser armazenada na rede ou no equipamento terminal do destinatário até que este a recolha.

- In Lei n.º 46/2012, de 29 de agosto que transpõe a Diretiva n.º 2009/136/CE, na parte que altera a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, procedendo à primeira alteração à Lei n.º 41/2004, de 18 de agosto, e à segunda alteração ao Decreto-Lei n.º 7/2004, de 7 de janeiro.

17.46 Crime informático?

Atos criminosos cometidos cometidos on-line utilizando redes de comunicação eletrónicas e sistemas de informação.

- In Comissão Europeia.

17.47 Criptografia?

Aplicação de algoritmos matemáticos que cifram a informação, entre uma origem e um destino, para garantir atributos de segurança: autenticação, confidencialidade, integridade e não repúdio.

- In https://www.cncs.gov.pt/pt/glossario/#linhasobservacao, mai/2023.

17.48 Criptomoedas?

Um subconjunto das moedas virtuais. Uma forma de dinheiro digital não regulamentada, geralmente emitida e controlada pelos seus desenvolvedores, usada e aceite entre os membros de uma comunidade virtual específica.

- In Banco Central Europeu, Virtual Currency Schemes, 2012.

17.49 Command & Control (C&C):

A parte mais importante de uma botnet é a designada infraestrutura de comando e controlo (C&C). Esta infraestrutura é constituída por bots e pela entidade de controlo que tanto pode ser centralizada como distribuída. São usados pelo bot master um ou mais protocolos de comunicação para comandar os computadores das vítimas e coordenar as suas ações (...) A infraestrutura de C&C serve tipicamente como a única forma de controlar bots numa botnet.

- In ENISA, Botnets: Detection, Measurement, Disinfection & Defence.

17.50 Cyberbullying?

Bullying realizado através da Internet ou telemóvel, envolvendo mensagens ofensivas ou maliciosas, emails, chats ou comentários, ou mesmo, em casos extremos, websites construídos com intenções maliciosas contra indivíduos ou certos grupos de pessoas.

- In Richardson et al., Internet Literacy Handbook.

17.51 Cyber-offender?

Agente de ameaça que realiza ações como sextortion ou cyberbullying contra vítimas adolescentes e jovens adultos ou com nível semelhante de vulnerabilidade, provocando danos psicológicos e por vezes físicos nas vítimas.
A extrapolação das ações deste tipo para outros contextos permite classificar este tipo de agente como alguém que realiza ações que visam meramente a disrupção e a perturbação de um alvo, sem que existam motivos económicos ou ideológicos claros ou expressos.

- In ENISA, Threat Landscape 2020 (adaptação de CNCS).

17.52 Dados de tráfego?

Os dados informáticos relacionados com uma comunicação efectuada por meio de um sistema informático, gerados por este sistema como elemento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o trajeto, a hora, a data, o tamanho, a duração ou o tipo do serviço subjacente.

- In Convenção de Budapeste sobre o Cibercrime (23.11.2001) e Lei do Cibercrime n.º 109/2009, de 15 de setembro.

17.53 Dados informáticos?

Significa qualquer representação de factos, de informações ou de conceitos sob uma forma susceptível de processamento num sistema de computadores, incluindo um programa apto a fazer um sistema informático executar uma função;

Qualquer representação de factos, informações ou conceitos sob uma forma susceptível de processamento num sistema informático, incluindo os programas aptos a fazerem um sistema informático executar uma função;

Uma representação de factos, informações ou conceitos de forma adequada para o tratamento num sistema de informação, incluindo um programa que permite que um sistema de informação execute uma dada função.

- In Convenção de Budapeste sobre o Cibercrime (23.11.2001); Lei do Cibercrime n.º 109/2009, de 15 de setembro; Diretiva n.º 2013/40/UE do Parlamento Europeu e do Conselho de 12 de agosto de 2013 relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro n.º 2005/222/JAI do Conselho.

17.54 Dark Web?

Conteúdos publicamente acessíveis que estão hospedados em sites cujo endereço IP está oculto, mas ao qual qualquer um pode aceder, desde que conheça o endereço. Inclui conteúdos privados trocados numa rede fechada de computadores para partilha de arquivos.

- In Paganini, P. (2017) CTI – EU | Bonding EU Cyber Threat Intelligence: Digging into the Dark Web.

17.55 Data Breach?

Termo utilizado para designar um incidente resultante de uma fuga ou exposição de dados (incluindo informação sensível relacionada com organizações ou simples detalhes pessoais de indivíduos, e.g., informação médica). Relaciona-se diretamente com os resultados de outras ciberameaças.

- In ENISA, Threat Landscape 2018.

17.56 Datafake?

Falsificações profundas, vídeos falsos realizados com recurso à inteligência artificial e à aprendizagem automática.

- In Desafios à Eficácia da Política de Cibersegurança da UE, TCE 2019.

17.57 Defacement [defacing]

Alteração ilícita de páginas web.

- In ENISA, Abordagem Gradual de Criação de uma CSIRT.

17.58 Defesa em profundidade?

A aplicação de um conjunto de medidas de segurança organizadas como múltiplas camadas de defesa;

Aplicação de uma série de medidas de segurança organizadas em múltiplos estratos de defesa;

Medidas de proteção desenhadas, utilizadas e implementadas na arquitetura de componentes de sistemas de comunicação e informação, em produtos de segurança e em dados, à extensão possível, de modo a que haja múltiplas linhas de defesa.

- In Regras de Segurança da Agência Espacial Europeia. N.º ESA/REG/004 de 18 de janeiro de 2012; Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE; Diretiva Primária da OTAN sobre a segurança de sistemas de comunicação e informação n.º AC/35-D/2004-REV3, de 15 de novembro de 2013.

17.59 Desinformação?

Toda a informação comprovadamente falsa ou enganadora que é criada, apresentada e divulgada para obter vantagens económicas ou para enganar deliberadamente o público, e que é suscetível de causar um prejuízo público.

- In ERC, A Desinformação - Contexto Europeu e Nacional.

17.60 Disponibilidade?

Em tecnologias da informação e da comunicação, capacidade de uma unidade funcional permanecer em estado de realizar uma determinada função dentro de condições determinadas, num dado instante ou num dado intervalo de tempo, supondo que estão assegurados os necessários meios exteriores.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.61 Domínio?

Grupo de computadores e dispositivos de uma rede, em particular da Internet, que são administrados como uma unidade, com regras e procedimentos comuns, e que partilham um nome comum (nome do domínio).

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.62 Endereço de IP (Internet Protocol Assdress)?

Endereço de 32 bits de um computador ou outro dispositivo ligado à Internet, representado habitualmente por uma notação decimal de quatro grupos de algarismos separados por pontos.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.63 Endereço URL (Uniform Resourse Locator)?

Endereço pelo qual documentos e outros recursos são conhecidos e acedidos na Internet com a ajuda de um programa de navegação. Integra carateres identificadores do protocolo, do domínio e do caminho para atingir o recurso e apresenta-se com a seguinte estrutura: id. do protocolo://nome do domínio/nome do caminho/nome do recurso.


- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.64 Engenharia Social?

O ato de enganar um indivíduo no sentido de este revelar informação sensível, assim obtendo-se acesso não autorizado ou cometendo fraude, com base numa associação com este indivíduo de modo a ganhar a sua confiança.


- In Traduzido de NIST Digital Identity Guidelines, 2017.

17.65 Espionagem Informática?

Ciberataques dirigidos contra a confidencialidade de um sistema de tecnologias da informação.

- In Austrian Cyber Security Strategy (2013), citado em NATO CCDCOE.

17.66 Estratégia Nacional de Segurança das Redes e dos Sistemas de Informação

Enquadramento nacional que estabelecerá os objetivos estratégicos e prioridades em matéria de segurança das redes e dos sistemas de informação a nível nacional.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.(Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.67 Estratégia Nacional de Segurança do Ciberespaço?

A ENSC 2019-2023 assenta em três objetivos estratégicos: maximizar a resiliência, promover a inovação e gerar e garantir recursos. As implicações e necessidades associadas a cada um dos objetivos estratégicos permitem definir uma orientação geral e específica, traduzida em seis eixos de intervenção, que enformam linhas de ação concretas destinadas a reforçar o potencial estratégico nacional no ciberespaço.

- In Estratégia Nacional de Segurança do Ciberespaço 2019-2023.

17.68 E-skimming?

E-skimming: skimming realizado por via eletrónica – o skimming “envolve a duplicação da faixa magnética de um cartão bancário, frequentemente através de dispositivos escondidos em terminais ATM”. Por via eletrónica, atinge-se o mesmo fim através de métodos de pagamento online.
(Europol, Payment Fraud e Europol Internet Organized Crime Thread Assessment)

- In Relatório de Cibersegurança em Portugal - Riscos & Conflitos - CNCS - jun/2022.

17.69 Ethernet?

Arquitectura muito utilizada para conexão física de redes locais, desenvolvida pela Xerox. Uma rede Ethernet usa uma topologia em barramento ou em estrela e suporta um tráfego de alto débito.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.70 Fake News

A expressão amplamente difundida de “fake news” é enganadora, tendo aliás sido inicialmente utilizada para denegrir o trabalho dos meios de comunicação social. Uma notícia, por definição, não é falsa. Falsas são as narrativas que, embora anunciadas como notícias e contendo partes de textos copiados de jornais ou de sites do mesmo género, integram conteúdos ou informações falsas, imprecisas, enganadoras, concebidas, apresentadas e promovidas para intencionalmente causar dano público ou obter lucro.

- In ERC 2019.

17.71 Ficheiro de Dados Pessoais?

Qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico.

- In Lei da Proteção de Dados Pessoais n.º 67/98, de 26 de outubro.

17.72 Firewall?

Em tecnologias da informação e da comunicação, sistema informático concebido para proteger uma rede de computadores do acesso externo de utilizadores não autorizados.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.73 Força Bruta?

Relacionado com a criptografia, um ataque que envolve tentar todas as combinações possíveis para encontrar uma que combine com a correta.

- In De-Identification of Personal Information, 2015

17.74 Fornecedor de Serviço?

Qualquer entidade pública ou privada que faculte aos utilizadores dos seus serviços a possibilidade de comunicar por meio de um sistema informático;

Qualquer outra entidade que processe ou armazene dados informáticos em nome do referido serviço de comunicação ou dos utilizadores desse serviço;

Qualquer entidade, pública ou privada, que faculte aos utilizadores dos seus serviços a possibilidade de comunicar por meio de um sistema informático, bem como qualquer outra entidade que trate ou armazene dados informáticos em nome e por conta daquela entidade fornecedora de serviço ou dos respectivos utilizadores.

- In Convenção de Budapeste sobre o Cibercrime (23.11.2001); Lei do Cibercrime n.º 109/2009, de 15 de setembro.

17.75 Grooming?

É o processo pelo qual um indivíduo faz amizade com um jovem para contato sexual on-line, às vezes com o envolvimento de webcams que podem permitir a ´partilha´ da exploração entre redes de abusadores de crianças e, às vezes, levando a uma reunião física para cometer relações de abusos sexuais.

- In UNICEF, Child Online Safety: Challenges and Global Strategies, 2011.

17.76 Hacktivistas

Atores de ameaças “orientados a realizar ações de protesto contra decisões políticas/geopolíticas que afetam matérias nacionais e internacionais.

O que são:
Os hacktivistas são grupos organizados, de modo formal ou informal, que desenvolvem atividades no ciberespaço com o objetivo de realizar afirmações ideologicamente orientadas. Portanto, não atuam com objetivos económicos ou geopolíticos. Por vezes, confundem-se nas suas motivações com aspetos ligados à reputação e exibição, alguns deles mais próprios da categoria de cyber-offender.

O que fazem:
Em Portugal, em 2021, os hacktivistas mantêm um volume de atividade irregular, cuja intensidade depende muito do ciclo de vida de cada novo grupo. As suas ações conduziram sobretudo à realização de defacements com o fim de interferir com a reputação online de instituições consideradas relevantes para a transmissão de uma mensagem. Algumas das suas atividades podem também procurar a exfiltração e a exposição de dados. Tradicionalmente, estes agentes de ameaça costumam usar a negação de serviço distribuída com o fim de prejudicar a reputação das instituições alvo.

Quem atingem:
Os alvos mais comuns dos hacktivistas são a Administração Pública e os Órgãos de Soberania, bem como entidades ou pessoas com peso institucional em função da afirmação ideológica que pretendem realizar.

Em Portugal, os tipos de agentes de ameaça mais relevantes são os cibercriminosos e os atores estatais, seguidos da ameaça interna negligente, dos cyber-offenders e dos hacktivistas.
Os cibercriminosos utilizam em particular o phishing/smishing/vishing, o ransomware e a fraude/burla online como métodos para atingir os seus objetivos; os atores estatais, em Portugal, realizam ataques de phishing e spear phishing e procuram o comprometimento de contas, bem como a exploração de vulnerabilidades para a realização de intrusões.

- In ENISA, Threat Landscape 2018.

17.77 Hardware?

Totalidade ou parte dos componentes físicos de um sistema de processamento de dados.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.78 Hiperligação?

Referência de algum ponto de um hipertexto para um ponto do mesmo ou de outro documento; uma tal referência é normalmente especificada de uma forma diferenciada do resto do hipertexto (por exemplo, usando palavras sublinhadas).

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.79 HTML?

Linguagem de marcação de hipertexto que possibilita a preparação de documentos com gráficos e hiperligações, para visualização na World Wide Web (WWW) ou em sistemas compatíveis.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.80 Identidade Digital?

Identidade digital é a representação única de um sujeito envolvido em uma transação online. Uma identidade digital é sempre única no contexto de um serviço digital, mas não precisa necessariamente identificar exclusivamente o sujeito em todos os contextos.

- In National Insititute of Standards and Technology, 2017.

17.81 IMAP4?

Protocolo que permite que um utilizador de correio eletrónico aceda à sua conta num servidor remoto.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.82 Incidente?

Um evento com um efeito adverso real na segurança das redes e dos sistemas de informação;

Ações tomadas através da utilização de uma rede de computadores que resultam num efeito atual ou potencialmente adverso sobre um sistema de informação e/ou a informação aí armazenada.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União; Glossary of Key Information Security Terms, eds. Richard Kissel, National Institute for Standards and Technology, US Deparment of Commerce, NISTIR 7298, Revision 2, - 2015 July, citado em NATO CCDCOE.

17.83 Informação?

Conhecimento que pode ser comunicado sob qualquer forma;

Dados que foram interpretados ou organizados de forma coerente e posteriormente comunicados sendo então possível tirar conclusões do seu significado.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União; Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.84 Informática?

Ramo da ciência e da tecnologia que trata do processamento automático de informação efetuado por meio de computadores.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.85 Infosec?

A aplicação de medidas de segurança para proteger a informação processada, armazenada ou transmitida em Sistemas de Tecnologia da Informação e Comunicações contra a perda de confidencialidade, integridade ou disponibilidade, acidental ou intencional , e para prevenir a perda de integridade ou disponibilidade dos sistemas.

- In Regras de Segurança da Agência Espacial Europeia, n.º ESA/REG/004, de 18 de janeiro de 2012.

17.86 Infraestrutura Crítica da Informação?

Refere-se a quaisquer sistemas de tecnologias da informação que suportem ativos fundamentais e serviços das infraestruturas nacionais.

- In Compilation of Existing Cybersecurity and Information Security Related Defintions, Open Technology Institute New America – 2011, citado em NATO CCDCOE.

17.87 Informação Crítica Europeia?

A infra-estrutura crítica situada em território nacional cuja perturbação ou destruição teria um impacto significativo em, pelo menos, mais um Estado membro da União Europeia, sendo o impacto avaliado em função de critérios transversais, incluindo os efeitos resultantes de dependências intersectoriais em relação a outros tipos de infra-estruturas.

- In Decreto-Lei n.º 62/2011, de 9 de maio, que estabelece os procedimentos de identificação e de protecção das infra-estruturas essenciais para a saúde, a segurança e o bem-estar económico e social da sociedade nos sectores da energia e transportes e transpõe a Directiva n.º 2008/114/CE do Conselho, de 8 de dezembro.

17.88 Infraestrutura Crítica Nacional?

A componente, sistema ou parte deste situado em território nacional que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas funções.

- In Decreto-Lei n.º 62/2011, de 9 de maio, que estabelece os procedimentos de identificação e de protecção das infra-estruturas essenciais para a saúde, a segurança e o bem-estar económico e social da sociedade nos sectores da energia e transportes e transpõe a Directiva n.º 2008/114/CE do Conselho, de 8 de dezembro.

17.89 Infraestrutura da Informação e da Comunicação?

Conjunto de sistemas (hardware e software) e serviços que oferecem a base para a organização e comunicação de dados entre dois ou mais sistemas de computadores.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.90 Insider Threat (ameaça interna)?

Raduz-se no abuso de forma involuntária ou intencional, de qualquer atual colaborador ou ex-colaborador, sócio ou fornecedor, que tenha, ou tenha tido, acesso aos ativos digitais da organização. Os três tipos mais comuns de ameaças internas são: insider malicioso, que age intencionalmente; insider negligente, que é desleixado ou não está em conformidade com as políticas e instruções de segurança; e insider comprometido, que age involuntariamente como instrumento de um atacante real.

- In ENISA Threat Landscape 2018.

17.91 Integridade?

Garantia de que os dados ou a informação não sejam alterados de modo não autorizado.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.92 Interceção?

O acto destinado a captar informações contidas num sistema informático, através de dispositivos electromagnéticos, acústicos, mecânicos ou outros.

- In Lei do Cibercrime n.º 109/2009, de 15 de setembro.

17.93 Interconexão de dados?

Forma de tratamento que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsáveis, ou mantidos pelo mesmo responsável com outra finalidade.

- In Lei da Proteção de Dados Pessoais n.º 67/98, de 26 de outubro.

17.94 Internet?

Rede de área alargada que é uma confederação de redes de computadores das universidades e de centros de pesquisa, do Governo, do comércio e da indústria, com base no protocolo TCP/IP. Proporciona acesso a sítios Web, correio electrónico, bases de dados, fóruns de discussão, etc.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.95 Internet das coisas?

A extensão da conectividade de rede e capacidade de computação para objetos, dispositivos, sensores e outros artefactos que normalmente não são considerados computadores.

- In The Internet of Things: Na Overview, The Internet Society, 2015.

17.96 Intranet?

Rede corporativa baseada no protocolo TCP/IP e acessível apenas aos membros ou colaboradores de uma organização, ou a outros desde que autorizados.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.97 Intrusion Detection System?

Produto de hardware ou software que recolhe e analisa informação de várias áreas num computador ou rede de modo a identificar possíveis falhas de segurança, que incluem intrusões (ataques a partir do exterior da organização) e má utilização (ataques a partir do interior da organização).

- In NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms, 2013.

17.98 LAN?

Rede de área local onde a transmissão de sinais é efetuada sem recorrer a fios ou a cabos como, por exemplo, através da utilização de ondas rádio.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.99 Malware?

Programa que é introduzido num sistema, geralmente de forma encoberta, com a intenção de comprometer a confidencialidade, a integridade ou a disponibilidade dos dados da vítima, de aplicações ou do sistema operativo, ou perturbando a vítima.

Existem muitos tipos de malware, por exemplo:

  • O spyware, que é um programa malicioso instalado, sem que a vítima se aperceba, no seu computador ou tablet, e que permite detectar o acesso a uma página de Internet protegida, registando os dados que a vítima aí introduz.
  • O ransonware (uma espécie de rapto informático), que é um software malicioso criado para deixar a vítima sem acesso aos ficheiros do seu computador. O cibercriminoso depois pedirá dinheiro (o “resgate”) para devolver o acesso aos referidos arquivos.

- In NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms.

17.100 Modelo de Maturidade e de Capacidade?

Um conjunto de melhores práticas para diagnóstico e avaliação do grau de maturidade de uma organização, no que respeita à aptidão para o desenvolvimento de software. Neste modelo faz-se uma avaliação contínua, identificação de problemas e ações corretivas, dentro de uma estratégia de melhoria dos processos.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.101 Modem?

Equipamento que tem como funções fundamentais a modulação, a transmissão e a desmodulação de sinais.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.102 Motor de Pesquisa em Linha?

Um serviço digital que permite aos utilizadores consultarem, em princípio, todos os sítios web, ou sítios web numa determinada língua, com base numa pesquisa sobre qualquer assunto, sob a forma de uma palavra-chave, de uma frase ou de outros dados, e que responde fornecendo ligações onde podem ser encontradas informações relacionadas com o conteúdo solicitado.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.103 Múltiplo fator de autenticação?

Autenticação que utiliza dois ou mais fatores de modo atingir a autenticação. Estes fatores podem incluir: (i) algo que sabemos (e.g. password/PIN); (ii) algo que possuímos (e.g. dispositivo de criptográfico de autenticação); ou (iii) algo que somos (e.g. biométrico).

- In Traduzido de NIST IR 7298 Revision 2, Glossary of Key Information Security Terms.

17.104 Norma?

Em engenharia de software, requisitos obrigatórios utilizados e impostos para atingir uma abordagem disciplinada e uniforme no desenvolvimento de software.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.105 Observável (instância)?

Representa uma efetiva observação específica que ocorreu no domínio ciber. As propriedades detalhadas desta observação são específicas e não ambíguas.

- In STIX.

17.106 Operador de Serviços Essenciais?

Uma entidade pública ou privada pertencente a um dos tipos referidos no anexo II da Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, e que cumpre os critérios previstos no n.º 2 do artigo 5.º, da mesma Diretiva.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.107 Palavra-passe?

Sequência de caracteres ou palavras que um sujeito apresenta a um sistema, como informação de autenticação.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.108 Pageviews?

É um termo de análise da Web que se refere a cada vez que uma página da Web é carregada com sucesso no explorador da Web de um utilizador, aumentando a contagem total de visualizações da página e acumulação de likes [gostos].

- In Techopedia.

17.109 Pharming?

Uso de meios técnicos para redirecionar os utilizadores para páginas web falsas disfarçadas de páginas legítimas de modo a que esses utilizadores partilharem os seus dados pessoais.

- In NIST (2017) NIST Special Publication 800-44 Version 2 - Guidelines on Securing Public Web Servers.

17.110 Phishing?

Mecanismo de elaboração de mensagens que usam técnicas de engenharia social de modo que o alvo seja ludibriado ‘mordendo o isco’. Mais especificamente, os atacantes tentam enganar os recetores de emails ou mensagens par que estes abram anexos maliciosos, cliquem em URL inseguros, revelem as suas credenciais através de páginas de phishing aparentemente legítimas [pharming], façam transferências de dinheiro, etc.

- In ENISA, Threat Landscape 2018.

17.111 Pirata Informático (Hacker)?

Pessoa que explora as falhas da segurança de um sistema com o intuito de violar a sua integridade, destruindo ou alterando a informação ali residente, ou ainda de copiar fraudulentamente os seus ficheiros.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.112 Plataforma Electrónica?

A infraestrutura tecnológica constituída por um conjunto de aplicações, meios e serviços informáticos necessários ao funcionamento dos procedimentos eletrónicos de contratação pública nacional, sobre a qual se desenrolam os referidos procedimentos.

- In Lei n.º 96/2015, de 17 de agosto, que regula a disponibilização e a utilização das plataformas eletrónicas de contratação pública e transpõe o artigo 29.º da Diretiva n.º 2014/23/UE, o artigo 22.º e o anexo IV da Diretiva n.º 2014/24/UE e o artigo 40.º e o anexo V da Diretiva n.º 2014/25/CE, do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014.

17.113 Política de Informação?

Conjunto de orientações ou diretrizes relativas à utilização ou divulgação de informação, tais como as respeitantes à privacidade, aos direitos de cópia e à propriedade intelectual. A sua aplicação ao meio digital coloca novos desafios, tanto ao nível da redefinição da política como da sua aplicabilidade e do seu controlo.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.114 Política de Acesso à Internet?

Zona de acesso público abrangida por um nó de uma rede de área local sem fios (WLAN) que fornece ligação à Internet.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.115 Ponto de Troca de Tráfego?

Uma estrutura de rede que permite a interligação de mais de dois sistemas autónomos independentes, sobretudo a fim de facilitar a troca de tráfego na Internet; um ponto de troca de tráfego só interliga sistemas autónomos; um ponto de troca de tráfego não implica que o tráfego na Internet entre um par de sistemas autónomos participantes passe através de um terceiro sistema autónomo, não altera esse tráfego nem interfere nele de qualquer outra forma.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.116 Pop-Up?

Os anúncios pop-up são uma forma de publicidade online focada na atração de tráfego da Web. Geralmente gerados numa nova janela do explorador com a ajuda de JavaScript ou Adobe Flash.

- In Techopedia.

17.117 Portabilidade?

No caso de um programa informático, capacidade do programa poder ser executado em diferentes computadores com nenhumas ou poucas alterações.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.118 Post?

Mensagem ou conteúdo publicado numa rede social, num fórum ou num blogue.

- In Dicionário lexico online.

17.119 Prestador de Serviços Digitais?

Uma pessoa coletiva que presta um serviço digital.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.120 Prestador de Serviços do Sistema de Nomes de Domínio?

Uma entidade que presta serviços de DNS na Internet.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.121 Privacidade de Dados?

Característica de segurança de um sistema de informação que permite definir quais os dados que podem, ou não, ser acedidos por terceiros.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.122 Privilégio Mínimo?

Os privilégios e autorizações requeridos para o desempenho de determinada tarefa ou cumprimento de dever.

- In Diretiva Primária da OTAN sobre a segurança de sistemas de comunicação e informação n.º AC/35-D/2004-REV3, de 15 de novembro de 2013.

17.123 Processo de Gestão do Risco de Segurança?

Todo o processo de identificação, controlo e minimização de eventos incertos que tenham a potencialidade de afetar os recursos do sistema;

Processos de gestão de riscos de segurança aplicados para monitorizar, reduzir, eliminar, eviatr ou aceitar riscos;

Todo o processo de identificação, controlo e minimização de acontecimentos indeterminados que possam afetar a segurança de determinada organização ou qualquer dos sistemas por ela utilizados. Este processo abarca todas as atividades relacionadas com o risco, designadamente avaliação, tratamento, aceitação e comunicação.

- In Diretiva INFOSEC da OTAN sobre a gestão de sistemas de comunicação e informação, n.º AC/35-D/2005-REV2, de 10 de outubro de 2010; Diretiva Primária da OTAN sobre a segurança de sistemas de comunicação e informação n.º AC/35-D/2004-REV3, de 15 de novembro de 2013; Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE e Decisão (UE, Euratom) n.º 2015/444 da Comissão de 13 de março de 2015 relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

17.124 Produto Semicondutor?

A forma final ou intermédia de qualquer produto, composto por um substrato que inclua uma camada de material semicondutor e constituído por uma ou várias camadas de matérias condutoras, isolantes ou semicondutoras, segundo uma disposição conforme a uma configuração tridimensional e destinada a cumprir, exclusivamente ou não, uma função electrónica.

- In Lei do Cibercrime n.º 109/2009, de 15 de setembro.

17.125 Propriedade Intelectual?

Propriedade que deriva do trabalho da mente ou do intelecto, especificamente uma ideia, uma invenção, um processo, um programa, uns dados, uma fórmula ou uma aplicação.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.126 Proteção de Dados Pessoais?

Implementação de medidas para proteger dados pessoais e sensíveis de acessos públicos não autorizados, e para controlar o fluxo desses dados

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.127 Protocolo?

Em tecnologias da informação e da comunicação, conjunto das convenções e regras que devem ser seguidas no intercâmbio de dados entre computadores.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.128 Protocolo FTP?

Protocolo para permitir e controlar a cópia de ficheiros, normalmente via Internet.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.129 Protocolo HTTP?

Protocolo utilizado para transferência de páginas Web de hipertexto: é o protocolo de comunicação da World Wide Web (WWW).

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.130 Protocolo HTTPS?

Versão segura do protocolo HTTP. Foi criada pela Netscape Communications Corporation para fornecer autenticação e comunicação cifrada e é usada no comércio electrónico.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.131 Protocolo IMAP4?

Protocolo que permite que um utilizador de correio eletrónico aceda à sua conta num servidor remoto.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.132 Protocolo IP?

Protocolo da família TCP/IP que controla a circulação de dados na Internet, fragmentando-os na origem sob a forma de pacotes de comprimento variável que incluem o endereço do destinatário, e reunindo-os na chegada.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.133 Protocolo IP V4?

Implementação do protocolo IP que permite que qualquer tipo de equipamento se conecte à Internet de forma individualizada, adquirindo um endereço composto por 4 grupos de até 3 dígitos, separados por um ponto.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.134 Protocolo IP V6?

Implementação do protocolo IP que vai permitir que qualquer tipo de equipamento se conecte à Internet de forma individualizada, adquirindo um endereço composto por 8 grupos de até 4 caracteres do sistema hexadecimal, separados por dois pontos.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.135 Protocolo POP3?

Versão do protocolo normalizado POP para receção de correio eletrónico. Trata-se de um protocolo cliente-servidor que permite ao cliente recuperar as mensagens de correio eletrónico recebidas e guardadas num servidor da Internet.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.136 Protocolo SMTP?

Norma de facto que rege a transmissão de correio eletrónico através da Internet. A maioria dos sistemas de correio eletrónico na Internet usam o protocolo SMTP para enviar mensagens de um servidor para outro, podendo as mensagens ser recuperadas por um cliente usando, por exemplo, o protocolo POP3.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.137 Protocolo SSL?

Procolo da autoria da Netscape Communications Corporation, que assegura a confidencialidade dos dados trocados entre um programa de navegação e um servidor Web.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.138 Protocolo TCP/IP?

Conjunto dos protocolos de comunicação usados na Internet para gerir a circulação de dados na rede, fragmentando a informação na origem sob a forma de pacotes de dados e reunindo-a novamente no destino, assim como controlando eventuais erros de transmissão.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.139 Ransomware?

Tipo de malware que permite que “um atacante se apodere dos ficheiros e/ou dispositivos de uma vítima, bloqueando a possibilidade de esta poder aceder-lhes. Para a recuperação dos ficheiros, é exigido ao proprietário um resgate em criptomoedas;

É uma espécie de rapto informático, em que um software malicioso é criado para deixar a vítima sem acesso aos ficheiros do seu computador.

- In ENISA, Threat Landscape 2018.

17.140 Rede?

Conjunto formado por entidades e as suas interconexões. Em topologia de rede ou numa estrutura abstrata, as entidades interconectadas são pontos e as interconexões são linhas num esquema; numa rede de computadores, as entidades interconectadas são computadores ou equipamentos de comunicação de dados e as interconexões são ligações de dados.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.141 Rede Dorsal (Backbone)?

Sub-rede que, numa rede de computadores, conecta nós de extremidade ou outras sub-redes e que se caracteriza pela comunicação de dados a alta velocidade.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.142 Rede e Sistemas?

Um dispositivo ou um grupo de dispositivos interligados ou associados, um ou mais dos quais efetuam o tratamento automático de dados digitais com base num programa.

- In https://www.cncs.gov.pt/pt/glossario/#linhasobservacao, mai/2023.

17.143 Rede e Sistemas de Informação?

Uma rede de comunicações eletrónicas na aceção do artigo 2º, alínea a), da Diretiva n.º 2002/21/CE, do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações electrónicas (directiva-quadro); b) Um dispositivo ou um grupo de dispositivos interligados ou associados, um ou mais dos quais efetuam o tratamento automático de dados digitais com base num programa; ou c) Os dados digitais armazenados, tratados, obtidos ou transmitidos por elementos indicados nas alíneas a) e b) tendo em vista a sua exploração, utilização, proteção e manutenção.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.144 Rede Privativa Virtual (VPN)?

Rede virtual de comunicação privada que utiliza uma infraestrutura pública de telecomunicações para transmitir dados que são protegidos devido à utilização de técnicas de cifragem ou de encapsulação.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.145 Redes Sociais?

São plataformas usadas para criar ligações sociais entre pessoas que partilham interesses ou atividades similares. Este sistema web providencia uma variedade de meios para que os utilizadores interajam, tais como chat, mensagem, email, vídeo, chat de voz, partilha de ficheiros, blogging, grupos de discussão, etc.

- In Literacy Handbook, CC 2017.

17.146 Registo de Nome de Domínio de Topo?

Uma entidade que administra e opera o registo de nomes de domínio da Internet no contexto de um domínio de topo específico.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.147 Resiliência?

Capacidade de adaptação rápida e/ou recuperação de qualquer tipo de disrupção, para permitir a continuidade das operações a um nível aceitável tendo por base os objetivos de missão e o impacto na segurança.

- In Diretiva Primária da OTAN sobre a segurança de sistemas de comunicação e informação n.º AC/35-D/2004-REV3, de 15 de novembro de 2013.

17.148 Risco?

Possibilidade de uma ameaça específica explorar as vulnerabilidades internas e externas de uma organização ou de um dos sistemas por ela utilizados, causando assim danos à organização e respetivos ativos corpóreos ou incorpóreos. Mede-se pela combinação entre a probabilidade de as ameaças ocorrerem e o respetivo impacto;

Uma circunstância ou um evento, razoavelmente identificáveis, com um efeito adverso potencial na segurança das redes e dos sistemas de informação.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE; Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.149 Risco de Segurança?

A probabilidade de as vulnerabilidades inerentes a sistemas de comunicação e informação serem exploradas por ameaças, levando ao comprometimento dos sistemas.

- In Diretiva INFOSEC da OTAN sobre a gestão de sistemas de comunicação e informação, n.º AC/35-D/2005-REV2, de 18 de outubro de 2010.

17.150 Risco Residual?

Risco que permanece após terem sido aplicadas medidas de segurança, dado que não é possível neutralizar todas as ameaças nem eliminar todas as vulnerabilidades.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

17.151 Roubo de Identidade?

Fraude cometida através do roubo da informação de identificação pessoal, reforçada pela digitalização massiva dos dados pessoais dos indivíduos, o que, grande parte das vezes, inclui informação relacionada com aspetos legais e civis.

- In ENISA Threat Landscape 2018.

17.152 Router?

Equipamento de interconexão, instalado num nó de uma rede de computadores, que se destina a otimizar a transmissão de dados, determinando qual o melhor caminho que eles devem seguir.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.153 Scan/Scanning?

Ataques baseados em pedidos realizados a um sistema com o intuito de descobrir pontos fracos. Também inclui processos de teste para recolha de informações sobre sistemas, serviços e contas. Exemplos: fingerd, consultas DNS, ICMP, SMTP (EXPN, RCPT, etc.), scanning de portos.

- In RNCSIRT, Taxonomia Comum da Rede Nacional de CSIRT.

17.154 Script kiddies?

Indivíduos com poucas competências na realização de ciberataques, mas que, ainda assim, os conseguem realizar através da aquisição de ferramentas de hacking fáceis de adquirir e usar. “Estas ferramentas podem tornar-se meios com muito alcance nas mãos de grupos com poucas capacidades. Além disso, quando se tenta quantificar o conhecimento disponível e poder de ataque dos script kiddies, consegue-se ter um vislumbre de um dos desafios de cibersegurança: jovens com alguma orientação podem tornar-se muito eficientes em ações de hacking.”

- In ENISA, Threat Landscape 2019.

17.155 Segurança da Informação?

Proteção dos sistemas de informação contra o acesso ou a modificação não autorizados da informação, durante o seu armazenamento, processamento ou transmissão, e contra a negação de serviço a utilizadores autorizados ou o fornecimento de serviço a utilizadores não autorizados, incluindo as medidas necessárias para detetar, documentar e contrariar tais ameaças.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.156 Segurança Informática?

Tomada de um conjunto de medidas de segurança (físicas, lógicas e administrativas) e de medidas de urgência em caso de situações imprevistas, de forma a assegurar a proteção dos bens informáticos de uma organização (hardware, software e dados), assim como a continuidade do serviço.
Esquematicamente pode dizer-se que segurança informática = confidencialidade + integridade + disponibilidade.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.157 Segurança das Redes e dos Sistemas de Informação?

A capacidade das redes e dos sistemas de informação para resistir, com um dado nível de confiança, a ações que comprometam a disponibilidade, a autenticidade, a integridade ou a confidencialidade dos dados armazenados, transmitidos ou tratados, ou dos serviços conexos oferecidos por essas redes ou por esses sistemas de informação, ou acessíveis através deles.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.158 Segurança das Redes?

Conjunto de regras que devem ser respeitadas no acesso a redes de comunicação, na navegação na Web, no uso de palavras-passe e de chaves criptográficas, e nos ficheiros anexados a mensagens de correio electrónico. Habitualmente são integradas num documento que expõe a arquitetura do ambiente de segurança da empresa.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.159 Sextortion?

Sextortion: “a prática de forçar alguém a fazer algo, particularmente a realizar atos sexuais [ou a pagar um resgate], através de uma ameaça de publicação de dados ou imagens de natureza íntima ou com cariz sexual da vítima [ameaça que por vezes não corresponde a uma possibilidade efetiva, apresentando-se detalhes técnicos, como a palavra-passe da vítima, de modo a tornar a ameaça mais credível]”.
(Adaptado de Cambridge Advanced Learner's Dictionary & Thesaurus)

- In Relatório de Cibersegurança em Portugal - Riscos & Conflitos - CNCS - jun/2022.

17.160 Serviço de Computação em Nuvem (Cloud)?

Um serviço digital que permite o acesso a um conjunto modulável e adaptável de recursos computacionais partilháveis.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.161 Serviço Digital?

Um serviço na aceção do artigo 1.º, n.º 1, alínea b), da Diretiva (UE) n.º 2015/1535 do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, relativa a um procedimento de informação no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação, pertencente a um dos tipos enumerados no anexo III da Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.162 Serviço de Certificação Electrónica?

A disponibilização de certificados qualificados para efeitos de produção de assinaturas eletrónicas qualificadas e de selos temporais de validação cronológica.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.163 Servidor?

Programa informático que recebe e satisfaz pedidos de outros programas (programas clientes), no mesmo ou noutros computadores. Computador onde corre o programa ou os programas servidores.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.164 Sharenting?

A partilha por parte dos pais de imagens e vídeos das crianças, ou comentários sobre situações engraçadas sobre as suas vidas, nas redes sociais, é designada como sharenting, o termo em língua inglesa que combina partilha (share) e parentalidade.

- In C. & Batista, S. (2019). EU Kids Online.

17.165 Shoulder Surfing?

O shoulder surfing é outra forma de crime cibernético, talvez a mais rudimentar de todas, mas igualmente eficaz. É muito provável que todos já tenhamos espreitado por cima do ombro de um colega de escola para ver o que escrevia nalgum teste… Pois bem, este tipo de crime começa de forma idêntica, mais precisamente quando alguém consegue recolher informação ou dados confidenciais da vítima através de observação directa, por exemplo, em locais com muitas pessoas como os transportes públicos, quando a vítima coloca palavras-passe ou códigos de segurança nos seus dispositivos electrónicos sem saber que está a ser observada;

A prática de espiar o utilizador de uma caixa multibanco ou outro dispositivo eletrónico com o objetivo de obter um número de identificação pessoal, uma password, etc.

- In Dicionário online léxico.

17.166 SIM swapping?

SIM swapping: “ocorre quando um agente malicioso, através de técnicas de engenharia social, adquire controlo sobre o cartão SIM do telemóvel da vítima utilizando dados pessoais furtados.”
(Europol, SIM swapping – a mobile phone scam)

O SIM card swap verifica-se quando alguém recolhe informação pessoal da vítima, directamente ou nas redes sociais, conseguindo fazer-se passar por ela numa loja de comunicações e solicitar uma segunda via do cartão de telemóvel. Esta manobra permite que todas as chamadas e SMS recebidas (como códigos de segurança ou autorização) sejam direccionadas para um cartão de telemóvel que está na posse do cibercriminoso, sem que a pessoa lesada se aperceba.

- In Relatório de Cibersegurança em Portugal - Riscos & Conflitos - CNCS - jun/2022 e https://www.publico.pt/2023/01/05/estudiop/noticia/cibercrime-protege-2033591, jan/2023.

17.167 Smart card?

Cartão de circuitos integrados, normalmente com a dimensão de um cartão de crédito, provido de um microprocessador e de memória, capaz de armazenar e atualizar informação sobre o utilizador, permitindo-lhe por exemplo efetuar transações de natureza financeira.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.168 Smishing?

Combinação das palavras SMS e phishing, é a tentativa por atacantes de obter dados pessoais, financeiros ou de segurança por mensagem de texto

- In Europol, Cyberscams.

17.169 Sistema Informático?

Significa qualquer dispositivo isolado ou grupo de dispositivos relacionados ou interligados, em que um ou mais de entre eles, desenvolve, em execução de um programa, o tratamento automatizado de dados;

Qualquer dispositivo ou conjunto de dispositivos interligados ou associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, protecção e manutenção.

- In Convenção de Budapeste sobre o Cibercrime (23.11.2001); Lei do Cibercrime n.º Lei 109/2009, de 15 de setembro.

17.170 Sistema Operativo?

Software de base de um computador destinado a controlar a execução de programas e a comunicação entre dispositivos e programas, assegurando as operações de entrada-saída, a atribuição de recursos aos diferentes processos, o acesso às bibliotecas de programas e aos ficheiros, assim como a compatibilidade dos trabalhos.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.171 Sistemas de Informação?

Um dispositivo ou grupo de dispositivos interligados ou associados, dos quais um ou mais executam, através de um programa, o tratamento automático de dados informáticos, bem como de dados informáticos armazenados, tratados, recuperados ou transmitidos por esse dispositivo ou grupo de dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção.

- In Diretiva n.º 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro do Conselho n.º 2005/222/JAI.

17.172 Sistemas de Nomes de Domínios?

Um sistema de nomes distribuídos hierarquicamente numa rede que encaminha pesquisas sobre nomes de domínio;

Sistema hierárquico de nomes na Internet, implementado através de uma base de dados distribuída, cuja principal utilidade é a conversão dos nomes dos domínios, mais fáceis de entender pelos seres humanos, nos endereços IP dos equipamentos que integram a rede.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União; Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.173 Software?

Totalidade ou parte dos programas, dos procedimentos, das regras e da documentação associada, pertencentes a um sistema de processamento de informação.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.174 Software Malicioso?

Programas informáticos destinados a perturbar, alterar ou destruir todos ou parte dos módulos indispensáveis ao bom funcionamento de um sistema informático.
Exemplos: vírus, vermes, cavalos de Troia.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.175 Spam?

Mensagens de correio eletrónico não solicitadas, geralmente enviadas de uma forma massiva e indiscriminada, que, para além do incómodo provocado aos utilizadores do correio, podem comprometer o bom funcionamento dos sistemas informáticos.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.176 Spoofing?

Mistificação IP (IP spoofing), que consiste na utilização do endereço IP de outro utilizador; mistificação do domínio (domain spoofing), que significa a utilização de um nome de domínio pertencente a outrém; mistificação do endereço eletrónico (e-mail spoofing), que é a utilização de outro endereço eletrónico que não o próprio do utilizador.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.177 Spyware?

O spyware, é um programa malicioso instalado, sem que a vítima se aperceba, no seu computador ou tablet, e que permite detectar o acesso a uma página de Internet protegida, registando os dados que a vítima aí introduz.

- In https://www.publico.pt/2023/01/05/estudiop/noticia/cibercrime-protege-2033591, jan/2023.

17.178 Tecnologias de Informação e de Comunicação?

Integração de métodos, processos de produção, hardware e software, com o objetivo de proporcionar a recolha, o processamento, a disseminação, a visualização e a utilização de informação, no interesse dos seus utilizadores.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.179 Tratamento de Incidentes?

Todos os procedimentos de apoio à deteção, análise e contenção de um incidente, e à resposta ao incidente.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

17.180 Tratamento do Risco?

Atenuação, eliminação, redução (mediante uma combinação adequada de medidas técnicas, materiais, organizativas e processuais), transferência ou monitorização do risco.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

17.181 Typosquatting?

Técnica usada para atrair o tráfego para um website redirecionando gralhas comuns em termos de pesquisa ou de websites populares. Quem pratica esta atividade pode tentar vender produtos, instalar malware no dispositivo de um utilizador ou até mesmo fazer uma declaração política. A versão extrema do typosquatting é semelhante ao phishing, em que um website impostor imita um website real, proporcionando assim ao utilizador uma falsa impressão de que acedeu ao website correto. O typosquatting também é referido como sequestro de URL.

- In adaptado de Techopedia.

17.182 Usabilidade?

Nível de eficiência de um utilizador na realização de determinadas tarefas num produto, por exemplo um sítio Web ou uma aplicação. A usabilidade pode ser medida objetivamente através de erros de desempenho cometidos e da produtividade alcançada, e subjetivamente através da caracterização das preferências do utilizador em relação à interface.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.183 Violação de dados pessoais?

Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, armazenados ou de outro modo tratados no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público.

- In RGPD; Lei n.º 46/2012, de 29 de agosto que transpõe a Diretiva n.º 2009/136/CE, na parte que altera a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, procedendo à primeira alteração à Lei n.º 41/2004, de 18 de agosto, e à segunda alteração ao Decreto-Lei n.º 7/2004, de 7 de janeiro.

17.184 Vírus?

Classe de software malicioso que tem a capacidade de se autorreplicar e ´infetar´ partes do sistema operativo ou de outros programas, com o intuito de causar a perda ou alteração da informação.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.185 Vishing?

Uso de mensagens de voz ou de chamadas telefónicas para roubar identidades e recursos financeiros. O termo resulta da combinação de voice e phishing.

- In adaptado de Techopedia.

17.186 Voip?

Tecnologia através da qual as informações de voz são transmitidas via protocolo IP.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

17.187 Vulnerabilidade?

Insuficiência, seja de que natureza for, que possa ser explorada por uma ou mais ameaças. A vulnerabilidade pode consistir numa omissão ou estar relacionada com uma insuficiência dos controlos no que se refere ao rigor, coerência ou exaustividade destes últimos, podendo ser de natureza técnica, processual, material, organizativa ou operacional;

Fraqueza de um sistema informático, revelada por um exame à sua segurança (por exemplo, devido a falhas na análise, conceção, implementação ou operação), que se traduz por uma incapacidade de fazer frente às ameaças informáticas que pesam sobre ele.

Falha em software ou componentes de hardware que permite que um atacante efetue ações que normalmente não seriam permitidas.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE e Decisão (UE, Euratom) n.º 2015/444 da Comissão, de 13 de março de 2015, relativa às regras de segurança aplicáveis à proteção das informações classificadas da EU; Associação para a Promoção e Desenvolvimento da Sociedade de Informação; CERT Carnegie Mellon University.

17.188 Wi-Fi?

Abreviatura de ´wireless fidelity´, termo usado para designar determinados tipos de redes locais sem fios.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Direitos do Homem
18.1 O que importa saber sobre a Convenção Europeia dos Direitos do Homem?

A Convenção Europeia dos Direitos do Homem é um tratado internacional aberto exclusivamente à assinatura dos Estados Membros do Conselho da Europa. A Convenção, que institui o Tribunal e regula o seu funcionamento, contém uma lista de direitos e liberdades que os Estados se comprometem a respeitar.

Trata-se de um importante instrumento de defesa dos direitos humanos de âmbito regional, e o primeiro com carácter legalmente vinculativo após a proclamação da Declaração Universal dos Direitos do Homem (DUDH), a 10 de dezembro de 1948. Portugal aderiu ao Conselho da Europa em 22 de Setembro de 1976, e aprovou para ratificação, pela Lei n.º 65/78, de 13 de Outubro, o texto da Convenção e respetivos protocolos.

A Convenção criou o Tribunal Europeu dos Direitos do Homem para proteger os cidadãos contra violações dos direitos humanos.

18.2 O que é o Tribunal Europeu dos Direitos do Homem?

O Tribunal Europeu dos Direitos do Homem é uma jurisdição internacional com sede em Estrasburgo, e é composto por um número de juízes igual aos dos Estados Membros do Conselho da Europa que ratificaram a Convenção para a proteção dos Direitos do Homem e das Liberdades Fundamentais. Atualmente o seu número ascende a quarenta e sete.

Os juízes têm assento no Tribunal a título individual e não representam nenhum Estado.

18.3 O que faz o Tribunal dos Direitos do Homem?

O Tribunal aplica a Convenção Europeia dos Direitos do Homem. A sua missão consiste em certificar-se de que os direitos e garantias definidos na Convenção são respeitados pelos Estados. O Tribunal aprecia as queixas (denominadas «petições») apresentadas por indivíduos ou, por vezes, por Estados. Sempre que constata uma violação por parte de um Estado Membro de um ou vários direitos e garantias consagrados na Convenção, o Tribunal profere uma sentença. Esta sentença tem força obrigatória: o país em causa é obrigado a executá-la.

18.4 Em que situação posso apresentar uma queixa junto do Tribunal Europeu dos Direitos do Homem?

Pode apresentar uma queixa perante o Tribunal sempre que se considerar vítima direta de uma ou mais violações dos direitos e garantias previstos na Convenção ou nos seus protocolos (e não sobre qualquer outro instrumento jurídico), nomeadamente:

  • do direito à vida;
  • do direito a um processo equitativo em matéria civil e penal;
  • do direito ao respeito pela vida privada e familiar;
  • da liberdade de expressão;
  • da liberdade de pensamento, de consciência e de religião; " do direito a um recurso efetivo;
  • do direito à proteção da propriedade;
  • do direito de voto e do direito a participar em eleições.

Tal violação, poderá envolver, por exemplo: tortura e maus-tratos de detidos; a legalidade de uma detenção; deficiências no julgamento de um processo civil ou penal; discriminação no exercício de um destes direitos; os direitos parentais; o respeito pela vida privada e familiar, pelo domicílio ou pela correspondência; restrições à expressão de uma opinião ou à transmissão ou receção de informações; liberdade de reunião e de associação; expulsões e extradições; confiscação de bens e expropriações.

18.5 Que condições devem existir para apresentar uma queixa?
  • Não é necessário ser cidadão de um dos Estados Membros do Conselho da Europa. Apenas é exigido que a violação invocada tenha sido cometida por um desses Estados sob a sua própria «jurisdição», o que geralmente corresponde ao seu território;
  • Pode ser uma pessoa singular ou coletiva (sociedade, associação, etc.);
  • É necessário que seja direta e pessoalmente vítima da infração denunciada. Não pode apresentar uma queixa contra uma lei ou um ato, apenas porque o considera injusto; também não pode apresentar uma queixa em nome de outras pessoas (a menos que essas pessoas estejam claramente identificadas e você seja o seu representante oficial).

Previamente, perante os tribunais nacionais:

  • Devem esgotar-se todos os recursos passíveis de remediar a situação objeto da queixa (trata-se muito frequentemente de um processo instaurado junto do tribunal competente, seguido, se necessário, de um recurso e até de um recurso a um tribunal superior, como o Supremo Tribunal ou o Tribunal Constitucional, no caso de existir);
  • O exercício destes recursos não é em si suficiente: impõe-se igualmente apresentar os motivos da sua queixa (isto é, as violações da Convenção que alega) no âmbito destes recursos;
  • A partir da data da decisão interna definitiva (em geral, a sentença da mais alta jurisdição), dispõe de um prazo de seis meses para apresentar a sua queixa. Uma vez expirado esse prazo, o Tribunal não pode aceitar a queixa.

A queixa pode ser apresentada contra:

  • Contra um ou vários Estados Partes da Convenção que, no seu entender, tenha/tenham violado (por ato ou omissão que o afete diretamente) a Convenção;
  • O ato ou omissão contestados devem emanar de uma autoridade pública desse(s) Estado(s);
  • O Tribunal não pode ocupar-se de queixas contra particulares ou instituições privadas, como empresas comerciais.
18.6 Como devo dirigir-me ao Tribunal no caso de me considerar vítima de uma violação da Convenção?

Enviando ao Tribunal o formulário de queixa devidamente preenchido e assinado, acompanhado dos documentos pertinentes, por correio para a seguinte morada:

The Registrar

European Court of Human Rights

Council of Europe

F-67075 Strasbourg cedex

Notas:

  • Pode escrever numa das línguas oficiais do Tribunal (Inglês ou Francês), mas também numa das línguas oficiais de um dos Estados Membros que ratificaram a Convenção.
  • O Secretário do Tribunal poderá solicitar-lhe documentos, informações ou esclarecimentos complementares relativos à queixa apresentada.
  • Deverá descarregar o formulário de queixa através do sítio internet do Tribunal, preenchê-lo cuidadosamente e de forma legível, assiná-lo e reenviá-lo o mais depressa possível. O formulário deve conter:
    • um breve resumo dos factos assim como os motivos da queixa;
    • a indicação dos direitos consagrados pela Convenção que considera terem sido violados;
    • os recursos já exercidos;
    • uma cópia das decisões proferidas no âmbito do processo por todas as autoridades públicas envolvidas (estes documentos não serão devolvidos, pelo que deverá enviar apenas cópias) ; e
    • a sua assinatura enquanto requerente ou a do seu representante.
  • Se pretender preservar o anonimato, deverá informar desde logo o Tribunal e fundamentar o seu pedido. O Presidente examinará a pertinência do seu pedido.
  • Nesta fase do processo, o requerente não é obrigado a fazer-se representar por um advogado. Se, ainda assim, pretende fazer-se representar junto do Tribunal, deve completar e assinar o quadro previsto no formulário para esse efeito.

Outras informações relativas às queixas:

  • O processo é escrito. Será informado por escrito de qualquer decisão tomada pelo Tribunal. A realização de audiências públicas será excecional.
  • A apreciação do seu dossiê será gratuita.
  • Ainda que no início do processo não tenha de se fazer representar por um advogado, precisará de o fazer no momento em que a sua queixa for notificada ao Governo. Contudo, na maioria dos casos, as queixas são declaradas inadmissíveis antes de serem notificadas aos Governos.
  • Só terá de suportar as suas próprias despesas (os honorários do advogado ou as despesas associadas a pesquisa e correspondência).
  • Uma vez apresentada a sua queixa, pode solicitar assistência judiciária. Esta assistência, que não é automática, não é concedida imediatamente, mas sim numa fase mais adiantada do processo.
  • O Tribunal examina, em primeiro lugar, se a sua queixa é admissível, o que significa que o caso deve satisfazer determinadas condições definidas na Convenção. Se não cumprir as condições indicadas, a sua queixa será rejeitada. No caso de ter alegado várias violações, o Tribunal pode declarar uma ou várias admissíveis e rejeitar outras.
  • Se a sua queixa ou uma das violações alegadas for declarada inadmissível, esta decisão é definitiva e irrevogável.
  • Se a sua petição ou uma das suas queixas for declarada admissível, o Tribunal incentivará as partes a chegarem a um acordo amigável. Na falta de uma resolução amigável, o Tribunal procede à apreciação da queixa quanto ao «fundo», ou seja, decide se houve ou não violação da Convenção.
  • Pode decorrer um ano até que o Tribunal proceda a uma primeira apreciação da sua queixa. Algumas queixas podem ser classificadas de urgentes e tratadas prioritariamente, em particular, no caso de existir uma ameaça com perigo iminente para a integridade física do requerente.
18.7 Que reparação poderei obter?

Se o Tribunal constatar uma violação, pode conceder uma «reparação razoável», que consiste num montante destinado a compensar os prejuízos. O Tribunal pode também exigir ao Estado condenado que proceda ao reembolso das suas despesas com o processo. Se o Tribunal não constatar qualquer violação por parte do Estado, não terá de pagar quaisquer despesas suplementares (nomeadamente as despesas incorridas pelo Estado requerido).

Notas:

  • O Tribunal não é competente para anular as decisões ou legislação nacionais.
  • A execução das sentenças não é da responsabilidade do Tribunal. Depois de proferida a sentença pelo Tribunal, a sua execução é da responsabilidade do Comité de Ministros do Conselho da Europa a quem incumbe zelar pela sua execução e assegurar o pagamento das eventuais compensações financeiras.
18.8 O que o Tribunal Europeu dos Direitos do Homem não faz?
  • O Tribunal não atua como uma instância de recurso superior aos tribunais nacionais: não julga novamente os processos nem é competente para anular ou modificar as suas decisões.
  • O Tribunal não intervém diretamente a favor do queixoso junto da autoridade que é objeto da queixa. Em circunstâncias excecionais, o Tribunal pode no entanto acordar a aplicação de medidas provisórias. Na prática, só o faz quando o requerente corre um sério risco de sofrer danos físicos.
  • O Tribunal não ajuda a encontrar nem paga um advogado para redigir a petição.
  • O Tribunal não informa sobre as disposições legais em vigor no Estado requerido.
Acesso a informação administrativa
19.1 Qual o diploma legal que regula o acesso aos documentos administrativos?

A Lei n.º 26/2016, publicada a 22 de agosto, aprovou o novo regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos, ("nova LADA"). Este diploma veio unificar as leis de acesso à informação administrativa geral (LADA) e a denominada informação administrativa ambiental (LAIA), tendo desta forma revogado:

  1. a Lei de Acesso aos Documentos Administrativos (regulada pela LADA), aprovada pela Lei n.º 46/2007, de 24 de agosto, alterada pelo Decreto-Lei n.º 214-G/2015, de 2 de outubro;
  2. a Lei de Acesso à Informação Ambiental (constante da denominada LAIA), aprovada pela Lei n.º 19/2006, de 12 de junho, também alterada pelo Decreto-Lei n.º 214-G/2015, de 2 de outubro, e através da qual foi transposta a Diretiva 2003/4/CE, do Parlamento Europeu e do Conselho, de 28 de janeiro.

O artigo 17.º do Código do Procedimento Administrativo, sob a epígrafe “Princípio da administração aberta”, especifica que "Todas as pessoas têm o direito de acesso aos arquivos e registos administrativos, mesmo quando nenhum procedimento que lhes diga diretamente respeito esteja em curso, sem prejuízo do disposto na lei em matérias relativas à segurança interna e externa, à investigação criminal, ao sigilo fiscal e à privacidade das pessoas."

A disposição surge, pois, como concretização do conteúdo dos conceitos associado aos Princípios Constitucionais que resultam do n.º 2 do artigo 268.º, princípios do arquivo aberto (“open file”) e da transparência administrativa, constitucionalmente especificados como: "1 - Os cidadãos têm o direito de ser informados pela Administração, sempre que o requeiram, sobre o andamento dos processos em que sejam directamente interessados, bem como o de conhecer as resoluções definitivas que sobre eles forem tomadas. 2 - Os cidadãos têm também o direito de acesso aos arquivos e registos administrativos, sem prejuízo do disposto na lei em matérias relativas à segurança interna e externa, à investigação criminal e à intimidade das pessoas."

Nesta perspetiva, convenciona-se no n.º 1 do artigo 2.º da Lei n.º 26/2016, que o acesso e a reutilização da informação administrativa são assegurados de acordo com os demais princípios da atividade administrativa, designadamente os princípios da igualdade, da proporcionalidade, da justiça, da imparcialidade e da colaboração com os particulares.

19.2 O que é um documento?

Qualquer objeto elaborado pelo homem com o fim de reproduzir ou representar uma pessoa, coisa ou facto.

- In artigo 362 do Código Civil.

19.3 Qual a diferença enter um documento estrito e um documento (de arquivo) electrónico?

Documento escrito é um objeto elaborado pelo homem por sua própria mão (manuscritos) ou por recurso ou emprego de meios mecânicos ou eletrónicos. Nos termos do artigo 363.º do Código Civil os documentos escritos podem ser autênticos ou particulares.

Dcumento eletrónico é, o documento elaborado mediante processamento eletrónico de dados.

Documento de arquivo eletrónico é o documento de arquivo produzido, transmitido e mantido com recurso a equipamentos eletrónicos.

- In art.º 2.º/a do Decreto-Lei n.º 290-D/99.

19.4 O que é informação?

É o conjunto estruturado de representações mentais codificadas (símbolos significantes) socialmente contextualizadas e passíveis de serem registadas num qualquer suporte material (papel, filme, banda magnética, disco compacto, etc.) e, portanto, comunicadas de forma assíncrona e multi-direccionada.

- In adaptado de Armando Malheiro da Silva e Fernanda Ribeiro – Das Ciências Documentais à Ciência da Informação, p. 37.

19.5 O que é um arquivo?

É um conjunto orgânico de documentos, independentemente da sua data, forma e suporte material, produzidos ou recebidos por uma pessoa jurídica, singular ou coletiva, ou por um organismo público ou privado no exercício da sua atividade e conservados a título de prova ou informação;

É um conjunto de documentos, qualquer que seja a sua data ou suporte material, reunidos no exercício da sua actividade por uma entidade, pública ou privada, e conservados, respeitando a organização original, tendo em vista objectivos de gestão administrativa, de prova ou de informação, ao serviço das entidades que os detêm, dos investigadores e dos cidadãos em geral.

- In adaptado de NP 4041; Decreto-Lei n.º 16/93, de 23 de janeiro (Regime geral dos arquivos e do património arquivístico) com as alterações produzidas pela Lei n.º 14/94 de 11 de maio.

19.6 O que é um documento de arquivo?

É a informação registada, produzida ou recebida no início, condução ou conclusão de uma criatividade individual ou organizacional, e que compreende suficiente conteúdo, contexto e estrutura para fazer prova dessa atividade. Consubstanciando qualquer suporte de informação sob forma escrita, visual, sonora, electrónica ou outra forma material, na posse dos órgãos e entidades referidos no artigo seguinte, ou detidos em seu nome.

- In daptado de Guide for Managing Electronic Records from Archival Perspective.

19.7 O que é um documento administrativo?

O art.º 3.º/1/a da Lei n.º 26/2016, estabelece que “Documento Administrativo” é “qualquer conteúdo, ou parte desse conteúdo, que esteja na posse ou seja detido em nome dos órgãos e entidades referidas no artigo seguinte, seja o suporte de informação sob forma escrita, visual, sonora, eletrónica ou outra forma material designadamente, aqueles relativos a;
i) Procedimentos de emissão de atos e regulamentos administrativos;

ii) Procedimentos de contratação pública, incluindo os contratos celebrados;

iii) Gestão orçamental e financeira dos órgãos e entidades;

iv) Gestão de recursos humanos, nomeadamente os dos procedimentos de recrutamento, avaliação, exercício do poder disciplinar e quaisquer modificações das respetivas relações jurídicas.”

Com efeito, documento administrativo é qualquer suporte de informação gráfico, sonoro, visual, informático ou registo de outra natureza, elaborado ou detido por órgão e entidade pública, designadamente, relatórios, estudos, pareceres, atas, contratos, autos, circulares, ofícios-circulares, ordens de serviço, despachos normativos internos, instruções e orientações de interpretação legal ou de enquadramento da atividade ou outros elementos de informação.

19.8 O que não é considerado documento administrativo?

Para os efeitos da "nova LADA", não se consideram documentos administrativos:
a) As notas pessoais, esboços, apontamentos, comunicações eletrónicas pessoais e outros registos de natureza semelhante, qualquer que seja o seu suporte;
b) Os documentos cuja elaboração não releve da atividade administrativa, designadamente aqueles referentes à reunião do Conselho de Ministros e ou à reunião de Secretários de Estado, bem como à sua preparação;
c) Os documentos produzidos no âmbito das relações diplomáticas do Estado português.

19.9 A que princípios deve obedecer o direito de acesso aos documentos administrativos?

O acesso e a reutilização dos documentos administrativos são assegurados de acordo com os princípios da publicidade, da transparência, da igualdade, da justiça e da imparcialidade (artigo 2.º/1 da "nova LADA".

19.10 Posso aceder a documentos administrativos?

O direito de acesso aos arquivos e registos administrativos é um direito decorrente da Constituição da República Portuguesa e da lei.

O regime de acesso a documentos administrativos que a "nova LADA" enuncia consta do artigo 5.º:

“1 – Todos, sem necessidade de enunciar qualquer interesse, têm direito de acesso aos documentos administrativos, o qual compreende os direitos de consulta, de reprodução e de informação sobre a sua existência e conteúdo.

2 – O direito de acesso realiza-se independentemente da integração dos documentos administrativos em arquivo corrente, intermédio ou definitivo”.

Da norma retira-se seguinte sentido e alcance:

  1. o acesso aos documentos administrativos é livre e generalizado: não há necessidade de apresentar qualquer justificação ou fundamentação;
  2. o particular tem o direito de saber se o documento que pretende existe ou não; e qual o seu conteúdo;
  3. a entidade administrativa requerida ou consulente não pode alegar, como motivo válido para não facultar a documentação, que esta é dificilmente acessível, por se encontrar em arquivo corrente, intermédio ou definitivo.

Na verdade, em termos objetivos, são livremente acessíveis os documentos ou informações a que se referem os artigos 10.º e 3.º, n.º 1, alínea a), isto é, sem necessidade de invocação de qualquer fundamentação legitimante.

19.11 Quais as formas para acesso a documentos administrativos?

O acesso a documentos administrativos pode efetuar-se, conforme opção do requerente, através dos seguintes meios:

  • Consulta
  • Reprodução
  • Certidão (cfr. art.º 13.º "nova LADA")
19.12 Que restrições existem no acesso a documentos administrativos?

Para além da restrição ao direito de acesso que se prende com documentos nominativos (n.º 5 do artigo 6.º), a "nova LADA" identifica no mesmo artigo ainda outras restrições ao direito de livre acesso, as quais incidem sobre:

  • Documentos que contenham informações cujo conhecimento seja avaliado como podendo pôr em risco interesses fundamentais do Estado (artigo 6.º/1);
  • Documentos protegidos por direitos de autor ou direitos conexos” (art.º 6.º/2);
  • Documentos administrativos preparatórios de uma decisão ou constantes de processos não concluídos (art.º 6.º/3);
  • Documentos relativos a “auditorias, inspeções, inquéritos, sindicâncias ou averiguações (art.º 6.º/4);
  • Documentos que contenham os chamados «segredos de empresa», que são acessíveis em condições idênticas às fixadas para o acesso a documentos nominativos ( art.º 6.º/6);
  • Documentos cujo acesso em determinado momento possa afetar a eficácia ou a capacidade operacional de serviços ou “causar danos graves e dificilmente reversíveis a bens ou interesses patrimoniais de terceiros que sejam superiores aos bens e interesses protegidos pelo direito de acesso à informação administrativa (art.º 6.º/7).

Repare-se que são restrições atinentes à tutela do segredo comercial ou industrial, ou relativo à propriedade literária, artística ou científica, à intimidade da vida privada, à segurança interna e externa, à investigação criminal.

Os documentos sujeitos a restrições de acesso são objeto de comunicação parcial sempre que seja possível expurgar a informação relativa à matéria reservada (art.º 6.º/8).

19.13 O que é um documento nominativo?

É documento nominativo o documento que contenha dados pessoais, na aceção do regime jurídico de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Este conceito, deve, por conseguinte, ser conjugado com o artigo 4.º/1 do RGPD: são dados pessoais, informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

19.14 Como posso ter acesso a documentos nominativos?

Um terceiro só tem direito de acesso a documentos nominativos:

  • Se estiver munido de autorização escrita do titular dos dados que seja explícita e específica quanto à sua finalidade e quanto ao tipo de dados a que quer aceder.
  • Se demonstrar fundamentadamente ser titular de um interesse direto, pessoal, legítimo e constitucionalmente protegido suficientemente relevante, após ponderação, no quadro do princípio da proporcionalidade, de todos os direitos fundamentais em presença e do princípio da administração aberta, que justifique o acesso à informação; declarações falsas nesta matéria são puníveis com pena de prisão até um ano ou com pena de multa.
  • Se decorridos 50 anos sobre a data da morte da pessoa a que respeitam os documentos ou, não sendo esta data conhecida, decorridos 75 anos sobre a data dos documentos.
19.15 Posso aceder aos meus dados de saúde?

A informação de saúde é propriedade do seu titular sendo as unidades do sistema de saúde os depositários. Salvo situações excecionais, cada pessoa tem direito de acesso à sua informação de saúde.

19.16 Como posso consultar informação administrativa na posse da UC?

Todos os interessados em consultar a informação administrativa, produzida ou na posse da UC, podem pedir a sua consulta presencial ou a sua reprodução (fotocópia ou digitalização), utilizando este modelo de requerimento, por:

  • Correio postal - Projeto Especial - Informação Administrativa e Proteção de Dados Rua Larga, Edifício FMUC (R/C Esq.) | 3004-504 COIMBRA | PORTUGAL.
  • Correio eletrónico epd[at]uc.pt.
19.17 Qual o prazo de resposta ao pedido de acesso?

De acordo com o estatuído no art.º 15.º, a entidade a quem foi dirigido o pedido de acesso, deve, no prazo de 10 dias:

  • Comunicar a data, local e modo para se efetivar a consulta, se requerida.
  • Emitir a reprodução ou certidão requeridas.
  • Comunicar por escrito as razões da recusa, total ou parcial, do acesso ao documento pretendido, bem como quais as garantias de recurso administrativo e contencioso dessa decisão.
  • Informar que não possui o documento e, se souber qual a entidade que o detém, remeter-lhe o requerimento, com conhecimento ao requerente.
  • Expor à Comissão de Acesso aos Documentos Administrativos (CADA) quaisquer dúvidas que tenha sobre a decisão a proferir, a fim de aquela entidade emitir parecer.
19.18 Quem deve assumir os encargos de reprodução?

Resulta do art.º 14.º/1 da "nova LADA", que a reprodução por fotocópia ou por qualquer meio técnico, designadamente visual, sonoro ou eletrónico se faça através de um único exemplar, sujeito a pagamento, pela pessoa que a solicitar, da taxa fixada.

Os interessados têm o direito de obter certidão, reprodução ou declaração autenticada dos documentos que constem dos processos a que acedam, mediante o pagamento das importâncias fixadas.

- In Despacho n.º 8617/2002 (2.ª série) do Ministério das Finaças (taxas correspondentes a cada tipo de reprodução).

19.19 A quem me posso queixar?

Os requerentes de pedidos de acesso a informação na posse da UC podem apresentar queixa das decisões, ou da falta de resposta, do Responsável pelo Acesso:

  • Junto dos Tribunais Administrativos.
  • Junto da CADA - Comissão de Acesso aos Documentos Administrativos, entidade pública independente, que tem como missão, nos termos da lei, zelar pelo cumprimento das disposições legais referentes ao acesso à informação administrativa.
19.20 Como apresento queixa à CADA?

A CADA é uma entidade pública independente que funciona junto da Assembleia da República conforme disposto no art.º 28.º da "nova LADA", dotada de independência face a outros órgãos do Estado, incluindo o Governo. Assim, a queixa deve ser-lhe apresentada, nomeadamente por correio eletrónico ou por via postal, acompanhada de cópia do requerimento de acesso aos documentos administrativos apresentado junto da entidade requerida e de outros elementos que sejam pertinentes para a análise.

19.21 Qual o prazo para apresentação de queixa à CADA?

A queixa deve ser apresentada no seguinte prazo, consoante os casos:

  • 20 dias (corridos) subsequente ao indeferimento do pedido acesso.
  • 20 dias (corridos) a contar do termo do prazo de resposta da entidade requerida (10 dias úteis).
19.22 Como se compatibiliza o acesso à informação administrativa com a proteção de dados pessoais?

Apesar de o RGPD ter a natureza de regulamento da União Europeia, a sua completa execução depende de legislação interna. A Lei n.º 58/2019 estabelece algumas regras no âmbito dos temas que foram deixados, pelo RGPD, à consideração dos Estados-Membros, pelo que existem algumas notas que merecem destaque, designadamente no que respeita a publicação em jornal oficial, acesso a documentos administrativos, publicação de dados no âmbito da contratação pública, tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos (Capítulo VI, artigos 25.º a 31.º):

  • Sempre que o dado pessoal «nome» seja suficiente para garantir a identificação do titular e a eficácia do tratamento, não devem ser publicados em jornais oficiais outros dados pessoais, sendo o responsável pelo tratamento a entidade que manda proceder à publicação;
  • O acesso a documentos administrativos que contenham dados pessoais rege-se pelo disposto na "nova LADA";
  • Caso seja necessária a publicação de dados pessoais, não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do contraente público e do cocontratante;
  • O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização dos mesmos, sempre que os fins visados possam ser atingidos por uma destas vias.

Paralelamente, a Lei n.º 58/2019 procedeu à alteração à Lei n.º 26/2016, de 22 de agosto (LADA), nomeadamente do artigo 6.º, que passou a ter redação (n.º 9) nos seguintes termos: Sem prejuízo das ponderações previstas nos números anteriores, nos pedidos de acesso a documentos nominativos que não contenham dados pessoais que revelem a origem étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, dados genéticos, biométricos ou relativos à saúde, ou dados relativos à intimidade da vida privada, à vida sexual ou à orientação sexual de uma pessoa, presume -se, na falta de outro indicado pelo requerente, que o pedido se fundamenta no direito de acesso a documentos administrativos.

Em termos arquivísticos e de informação, o que é...

20.1 Acervo documental

A totalidade dos documentos sob custódia de um serviço de arquivo ou outra entidade.

20.2 Acessibilidade

Possibilidade de consultar os documentos de arquivo de acordo com a legislação e a regulamentação em vigor, mas também em função do seu estado material de conservação, da sua classificação e da existência de instrumentos de pesquisa adequados. (trad. Dictionnaire de terminologie, 2002)

A acessibilidade de documentos também pode ser definida como a disponibilidade dos documentos para consulta resultante de uma avaliação prévia de acordo com as disposições legais e/ou regulamentares, do necessário tratamento arquivístico e do seu estado de conservação.

20.3 Acesso à informação

“Possibilidade de aceder à informação veiculada pelos documentos.”

- In IPQ, NP 4041, 2005.

20.4 Acondicionamento

Colocação dos documentos em unidades de instalação (p. ex. caixas, maços, livros, pastas, etc.) adequadas à sua conservação e preservação.

20.5 Armazenamento

Operação que consiste na colocação dos documentos nos depósitos de arquivo. Não pressupõe qualquer tratamento arquivístico. Também aplicável à guarda de documentos em suporte informático.

20.6 Arquivística

“Ciência que tem por objeto os arquivos, os princípios e métodos da sua constituição, conservação e comunicação.”

- In IPQ, NP 4041, 2005.

Tem, também, por objeto os arquivos, os princípios e métodos da sua organização e difusão.

20.7 Arquivo

a) “Conjunto orgânico de documentos, independentemente da sua data, forma e suporte material, produzidos ou recebidos por uma pessoa jurídica, singular ou colectiva, ou por um organismo público ou privado, no exercício da sua actividade e conservados a título de prova ou informação.

b) Instituição ou serviço responsável pela aquisição, conservação, organização e comunicação dos documentos de arquivo.

c) Depósito"

- In Dicionário, 1993.

É a mais ampla unidade arquivística. A cada proveniência corresponde um arquivo.

20.8 Arquivo corrente

Arquivo constituído por documentos correspondentes a procedimentos ainda não concluídos. Também denominado arquivo administrativo.

- In IPQ, NP 4041, 2005.

Local destinado à conservação de documentos de arquivo, de consulta frequente pela administração produtora, no exercício das suas atividades de gestão.

Corresponde à fase ativa, durante a qual os documentos são usados de forma regular pela entidade produtora, para fins administrativos, fiscais ou legais.

20.9 Arquivo histórico

Arquivo constituído por documentos correspondentes a procedimentos já concluídos […]. Também denominado arquivo definitivo.

- In IPQ, NP 4041, 2005.

Fundo ou núcleo constituído por documentos correspondentes a processos concluídos, depois de prescritas as respetivas condições de reabertura.

Local destinado à conservação permanente de documentos de arquivo, por princípio já não consultados pela entidade produtora e que foram selecionados em função do seu valor secundário.

Corresponde à fase inativa, na qual os documentos deixaram de ser utilizados pela entidade produtora no âmbito dos fins que motivaram a sua criação; devem, por isso, ser eliminados, a menos que possuam um valor secundário que justifique a sua conservação permanente.

20.10 Arquivo intermédio

Arquivo constituído por documentos correspondentes a procedimentos já concluídos, mas ainda suscetíveis de reabertura.

- In IPQ, NP 4041, 2005.

Local destinado à conservação e comunicação de documentos para consulta esporádica pela entidade produtora.

Corresponde a uma fase semi-ativa, durante a qual os documentos são ocasionalmente utilizados pela entidade produtora, para fins administrativos, fiscais ou legais.

20.11 Arquivo público

Arquivo produzido, à guarda ou propriedade de uma pessoa de direito público.

20.12 Arquivo privado

Arquivo produzido por uma pessoa de direito privado.

20.13 Auto de eliminação

Documento com a relação dos documentos de arquivo e/ou das unidades de instalação eliminados, que serve como prova da eliminação.

20.14 Auto de entrega

Documento produzido no âmbito da transferência de documentação para um serviço de arquivo ou para uma outra entidade, que serve como prova da transferência.Tem em anexo uma guia de remessa.

Ato, revestido das formalidades prescritas por lei, que culmina o processo de transmissão, a qualquer título, de documentos, e que deve ser assinado pelas partes envolvidas no momento da entrega material.

20.15 Avaliação

“Determinação do valor arquivístico de documentos ou arquivos, com vista à fixação do seu destino final: conservação permanente ou eliminação.”

- In IPQ, NP 4041, 2005.

A avaliação documental pode, também, ser definida como a determinação do valor arquivístico e/ou histórico dos documentos de arquivo, com vista à fixação do seu destino final, após o respetivo prazo legal de conservação.

20.16 Catálogo

“Instrumento de descrição documental que descreve, até ao nível do documento, a totalidade ou parte de um arquivo ou de uma coleção.”

- In Dicionário, 1993.

20.17 Ciclo de vida dos documentos

“Sucessão de fases – corrente, intermédia e definitiva – por que passam os documentos de arquivo, desde a sua produção até estar ultimado o procedimento que lhes deu origem.”

- In IPQ, NP 4041, 2005.

20.18 Circulação documental

Fases que os documentos passam dentro e fora da instituição, desde o momento em que são produzidos ou enviados pelo(s) remetente(s) até serem arquivados pelo(s) destinatário(s).

20.19 Classificação documental

“Operação que consiste na elaboração e/ou aplicação de um plano ou de um quadro de classificação a unidades arquivísticas, acervos documentais e colecções factícias.”

- In IPQ, NP 4041, 2005.

É considerada a componente inteletual da organização.

20.20 Classificação de segurança

“Restrição da comunicabilidade e utilização de documentos de arquivo, atribuída ou retirada por entidades definidas em legislação própria, por razões de segurança nacional: muito secreto, secreto, confidencial, reservado. Os documentos sujeitos a estas restrições são também designados por matéria(s) classificada(s).”

- In IPQ, NP 4041, 2005.

20.21 Código de classificação

Código atribuído às unidades arquivísticas – documento simples, documento composto, processo – no momento em que são classificadas.

20.22 Código de referência

Código alfanumérico atribuído a unidades de descrição que tem por objetivo identificá-las univocamente e estabelecer uma ligação com a descrição.

- In DGARQ, Orientações, 2010.

20.23 Coleção

“Unidade arquivística constituída por um conjunto de documentos do mesmo arquivo, organizada para efeitos de referência (ex.: os copiadores de correspondência expedida), para servir de modelo à produção de documentos com a mesma finalidade (ex.: colecções de formulários), ou de acordo com critérios de arquivagem (ex.: colecções de documentos de despesa). Opõe-se a processo.”

- In IPQ, NP 4041, 2005.

20.24 Comunicabilidade

“Possibilidade de consulta de documentos de arquivo, de acordo com as disposições legais e/ou regulamentares. Podem ser definidos níveis de acesso para diferentes tipos de utilizadores.”

- In IPQ, NP 4041, 2005.

20.25 Comunicação

“Função primordial do serviço de arquivo que visa facultar dados, informações, referências e documentos, difundir o conhecimento do seu acervo documental e promover a sua utilização.”

- In IPQ, NP 4041, 2005.

20.26 Conservação

Função primordial do serviço de arquivo que tem por objetivo assegurar a manutenção das caraterísticas essenciais dos arquivos/documentos de modo a garantir a sua eficácia através do tempo. Exerce-se mediante recurso à avaliação, recolha, custódia, preservação, acondicionamento, conservação física, restauro e tratamento arquivístico.

20.27 Conservação física

Conjunto de medidas de intervenção sistemática e direta nos documentos, com o objetivo de impedir e/ou neutralizar a sua degradação, sem alterar as caraterísticas físicas dos suportes.

20.28 Conservação permanente

“Custódia por tempo ilimitado dos documentos de arquivo.”

- In IPQ, NP 4041, 2005.

20.29 Consulta de documentos

Utilização dos documentos para efeitos de prova e/ou informação, de acordo com as necessidades informativas dos utilizadores.

20.30 Cota

“Código numérico, alfabético ou alfa-numérico que identifica a localização das unidades de instalação. Também designada referência de localização.”

- In IPQ, NP 4041, 2005.

20.31 Cotação

Operação que consiste em atribuir uma cota (código numérico, alfabético ou alfa-numérico) a cada documento ou unidade de instalação.

20.32 Curadoria digital

Área interdisciplinar que abrange várias etapas do ciclo de vida da informação, que inclui a gestão da informação desde a sua produção em ambiente digital, a produção da metainformação, a organização e avaliação da informação, a definição de boas práticas de digitalização, a preservação digital, entre outras atividades que possibilitam o acesso continuado e integral aos dados.

- In Sítio eletrónico Encontro Curadoria Digital.

20.33 Custódia

“Função primordial do serviço de arquivo que consiste na guarda física de documentos e/ou arquivos, com a consequente responsabilidade jurídica, sem necessariamente implicar a sua propriedade.”

- In IPQ, NP 4041, 2005.

20.34 Depósito

a) “Aquisição / alienação de documentos de arquivo a título precário. A documentação depositada fica sob custódia de outra entidade, mas não muda de proprietário e poderá estar sujeita a um regime próprio de conservação e/ou comunicação, previamente acordado.”

b) “Edifício, ou parte de um edifício, adequado à preservação dos documentos de arquivo.”

- In IPQ, NP 4041, 2005.

20.35 Descrição (arquivística)

“Operação que consiste na representação das unidades arquivísticas, acervos documentais e colecções factícias, através da sua referência e de outros elementos, nomeadamente os atinentes à sua génese e estrutura, assim como, sempre que for o caso, à produção documental que as tenha utilizado como fonte. A descrição arquivística tem como objectivo o controlo e/ou a comunicação dos documentos.”

- In IPQ, NP 4041, 2005.

A descrição documental também pode ser entendida como a operação que consiste na representação exata de uma unidade arquivística, e/ou de instalação, e das partes que a compõem, através da recolha, análise, organização e registo de informação que sirva para identificar, gerir, localizar e explicar a documentação de arquivo, assim como o contexto e o sistema de arquivo que o produziu.

20.36 Detentor de arquivos

Correspondem aos serviços de arquivo, mas também às bibliotecas, aos museus ou quaisquer outras entidades, desde que detentores de documentação de arquivo.

- In Sítio eletrónico DGLAB.

20.37 Difusão

Função do serviço de arquivo que visa promover o conhecimento do seu acervo documental.

20.38 Doação

“Aquisição / alienação da custódia de documentos de arquivo, a título gratuito, por vezes acompanhada de certas obrigações.”

- In IPQ, NP 4041, 2005.

20.39 Documento administrativo

Qualquer suporte de informação sob forma escrita, visual, sonora, eletrónica ou outra forma material, na posse dos órgãos e entidades do Estado e das Regiões Autónomas, ou detidos em seu nome, de acordo com a Lei n.º 46/2007, de 24 de agosto.

20.40 Documento composto

“Conjunto de documentos simples que corresponde a um mesmo procedimento, trâmite ou processamento administrativo ou judicial.”

- In IPQ, NP 4041, 2005.

20.41 Documento de arquivo

“Documento produzido a fim de provar e/ou informar um procedimento administrativo ou judicial. É a mais pequena unidade arquivística, indivisível do ponto de vista funcional. Pode ser constituído por um ou mais documentos simples.”

- In IPQ, NP 4041, 2005.

20.42 Documento eletrónico

“Documento existente sob uma forma electrónica acessível pela tecnologia informática (…). A forma de um documento electrónico original obedece a requisitos próprios de validação, como, por exemplo, a assinatura digital.”

- In IPQ, NP4041, 2005.

20.43 Documento simples

“Documento de arquivo, autónomo quanto ao processamento da sua produção (autor, código de comunicação, data, destinatário, etc.) mas não necessariamente quanto à informação veiculada ou ao suporte. O documento simples é susceptível de descrição individualizada, mas pode não corresponder à totalidade de um procedimento ou trâmite.”

- In IPQ, NP 4041, 2005.

20.44 Dossier

“Unidade arquivística constituída por um conjunto de documentos coligidos com o fim de informar uma decisão pontual.”

- In IPQ, NP 4041, 2005.

20.45 Eliminação (de documentos)

“Operação decorrente da avaliação que consiste na destruição dos documentos que foram considerados sem valor arquivístico. O processo a utilizar na eliminação deve assegurar a impossibilidade de reconstituir os documentos eliminados (por exemplo: corte, incineração, maceração e trituração).”

- In IPQ, NP 4041, 2005.

20.46 Empréstimo de documentos

Transferência temporária de documentos da Unidade de Arquivo para outra unidade administrativa e de gestão da UC, com fins de consulta, reprodução ou pesquisa. Implica a transferência da custódia dos documentos para a entidade requisitante.

20.47 Exposição física e/ou virtual

Apresentação, temporária ou permanente, física ou virtual, de documentos ou das suas reproduções, organizada por um serviço de arquivo a partir do seu próprio acervo documental ou de empréstimos, para fins educativos e culturais.

20.48 Fase ativa (dos documentos)

Primeira idade do ciclo de vida dos documentos de arquivo ligada ao seu valor legal e probatório. Os documentos são de utilização corrente, para fins administrativos, fiscais, legais, etc., por parte da entidade produtora. São necessários ao cumprimento das atividades que justificaram a sua criação.

20.49 Fase inativa (dos documentos)

Terceira idade do ciclo de vida dos documentos de arquivo ligada ao seu valor informativo ou arquivístico. Os documentos deixam de ter qualquer utilidade administrativa para a entidade produtora. Pelo seu valor informativo passam a ser vistos como uma fonte do conhecimento ou memória histórica da entidade produtora, em particular, e da sociedade, em geral.

20.50 Fase semi-ativa (dos documentos)

Segunda idade do ciclo de vida dos documentos de arquivo. Os documentos deixam de ser de utilização corrente uma vez que os procedimentos administrativos que suportam já foram concluídos. No entanto, pelo seu valor probatório podem vir ainda a ser necessários ao trabalho da entidade produtora.

20.51 Fundo

Conjunto orgânico de documentos de arquivo produzidos ou recebidos por um organismo no exercício da sua atividade. É a mais ampla unidade arquivística.

20.52 Gestão de depósitos

Implementação de um conjunto de medidas que visam o controlo dos acessos, das entradas e saídas de documentação, da taxa de ocupação do depósito, bem como a verificação das condições ambientais, das instalações elétrica e da segurança.

20.53 Gestão de documentos de arquivo

“Campo da gestão responsável por um controlo eficiente e sistemático da produção, recepção, manutenção, utilização e destino dos documentos de arquivo, incluindo os processos para constituir e manter prova e informação sobre actividades e transacções.”

- In IPQ, NP 4438-1, 2005.

A gestão de documentos também pode ser entendida como a implementação de um conjunto de medidas que visam a racionalização e eficácia na constituição, avaliação, aquisição, organização, conservação e comunicação dos arquivos.

20.54 Gestão eletrónica de documentos

Processo em que o conjunto documental ativo/arquivo corrente de uma instituição é gerido de forma eletrónica, sendo os documentos produzidos ou recebidos em formatos analógicos imediatamente submetidos a processo de digitalização, compreendendo indexação e, eventualmente, reconhecimento ótico de carateres, entrando eletronicamente no workflow do organismo.

20.55 Guia de fundos

Instrumento de descrição arquivística que descreve um ou mais acervos documentais ao nível mais abrangente, isto é, do fundo.

“Poderá incluir informação geral, normalmente sumária, sobre a(s) entidade(s) de custódia e menção de outras fontes de informação sobre os conjuntos documentais a que se refere. Nos guias exaustivos a descrição situa-se, por via de regra, ao nível dos conjuntos documentais mais vastos: arquivos ou colecções factícias”.

- In IPQ, NP 4041, 2005.

20.56 Guia de remessa

Instrumento de descrição arquivística que identifica, para efeitos de controlo e, eventualmente, de comunicação, as unidades arquivísticas transferidas para a custódia de um serviço de arquivo ou outra entidade. É parte integrante de um auto de entrega.”

- In IPQ, NP 4041, 2005.

A guia de remessa também pode definir-se como a relação dos documentos enviados a um arquivo e preparada pela entidade que os remete, para fins de identificação e controlo, podendo ser usada como instrumento de descrição documental, nomeadamente nos arquivos intermédios.

20.57 Identificação

Operação que consiste em reconhecer e/ou individualizar uma unidade arquivística através da sua forma, conteúdo ou outros dados pré-determinados, como por exemplo, a referência.

20.58 Incorporação

“Aquisição gratuita e a título definitivo de documentos de arquivo por um serviço de arquivo que sobre eles passa a ter jurisdição plena.”

- In IPQ, NP 4041, 2005.

Em princípio, a incorporação e as condições a que obedece são definidas por via legislativa ou regulamentar.

20.59 Indexação

“Operação que consiste em descrever ou identificar um documento relativamente ao seu conteúdo. No que toca às unidades arquivísticas, a escolha de termos considerados representativos poderá incidir sobre documentos simples ou compostos e, para além dos temas, deverá considerar elementos como: antropónimos, autor, data, designações sociais, destinatário, tipologia documental, topónimos e tradição documental.”

- In IPQ, NP 4041, 2005.

20.60 Ingresso

“Entrada de documentos e/ou arquivos num serviço de arquivo.”

- In IPQ, NP 4041, 2005.

20.61 Instalação

Colocação dos documentos em estantes ou outro mobiliário adequado à preservação dos documentos de arquivo.

20.62 Instrumentos de descrição

“Documento […] elaborado para efeitos de controlo e/ou comunicação, que descreve as unidades arquivísticas, acervos documentais ou colecções factícias. Os principais instrumentos de descrição são: roteiros, guias, inventários, catálogos, registos e índices.”

- In IPQ, NP 4041, 2005.

Os instrumentos de descrição documental também podem ser definidos como documentos secundários que referenciam e/ou descrevem as unidades arquivísticas tendo em vista o seu controlo e/ou acessibilidade. São instrumentos de descrição os registos, as guias de remessa, as relações de eliminação, as listas e diversos outros documentos como os acima enunciados.

20.63 Inventário

“Instrumento de descrição arquivística que, para efeitos de controlo e comunicação, representa um arquivo: o contexto da sua produção, o(s) plano(s) de classificação (ou, na sua ausência, o quadro) que presidiu / presidiram à sua organização, os conjuntos documentais que o constituem, respectiva articulação e unidades de instalação que ocupam. No inventário, que deve ser complementado por índices, a descrição não desce a níveis inferiores ao da série e respectivas subdivisões.”

- In IPQ, NP 4041, 2005.

O inventario também pode ser descrito como o instrumento de descrição documental que descreve um fundo até ao nível da série, referindo e enumerando as respetivas unidades de instalação, apresentando o quadro de classificação que presidiu à sua organização e devendo ser complementado por índices.

20.64 Meta-informação

“Conjunto dos dados que definem o contexto, estrutura e acesso dos documentos e registam o historial da sua utilização ao longo do tempo, fornecendo indicações sobre o seu conteúdo. Mais utilizado no âmbito dos documentos electrónicos. Também designado metadados.”

- In IPQ, NP 4041, 2005.

20.65 Metro linear

Unidade de medida utilizada para aferir o espaço ocupado pelos documentos nas estantes de depósitos de arquivo.

- In Cruz Mundet, Diccionario de Archivística, 2011.

20.66 Organização

“Conjunto de operações de classificação e ordenação de um acervo documental ou parte dele. É aplicável a qualquer unidade arquivística, mas a organização dos arquivos intermédios e definitivos tem de atender aos princípios da proveniência e do respeito pela ordem original.”

- In IPQ, NP 4041, 2005.

Segundo o princípio da proveniência, os documentos de um arquivo não podem ser misturados com documentos de outros arquivos, e de acordo com o princípio do respeito pela ordem original, a organização estabelecida pela entidade produtora deve ser conservada, a fim de se preservar as relações entre os documentos como testemunho do funcionamento daquela entidade.

20.67 Património arquivístico

Conjunto dos arquivos conservados num País que constitui parte essencial do seu património administrativo, histórico e cultural. A conservação deste património é assegurada através de disposições legais.

- In Dicionário de Terminologia Arquivística.

20.68 Plano de classificação

“Sistema de classes pré-definidas, concebido para a organização de um arquivo corrente. Em princípio, a elaboração de um plano de classificação deve atender às áreas em que se desenvolve a actuação da entidade produtora desse arquivo, às normas e práticas do seu funcionamento e às tipologias documentais concebidas para materializar essa actuação.”

- In IPQ, NP 4041, 2005.

20.69 Plano de preservação digital

“É um documento estratégico que contém políticas e procedimentos orientados para a constituição de uma estrutura técnica e organizacional que permita preservar de forma continuada documentos de arquivo electrónicos através de ações realizadas sobre os objetos digitais que os compõem.”

- In DGARQ, Recomendações, 2011.

20.70 Portaria de gestão de documentos

“Dispositivo obrigatório, de acordo com o Decreto-Lei nº 447/88, para a avaliação da documentação corrente da entidade.” Trata-se do “instrumento de gestão que contém o regulamento de gestão de documentos e em anexo a tabela de selecção e os modelos de auto de entrega, guia de remessa e auto de eliminação.”

- In DGARQ, Orientações, 2010.

Esta portaria consubstancia-se um diploma legal, publicado no Diário da República, que regulamenta os prazos de conservação de todos os documentos produzidos e recebidos por um organismo, os procedimentos para a eliminação dos documentos sem valor probatório ou informativo e para a remessa dos documentos para o Arquivo Intermédio e/ou Histórico. É constituída pelo Regulamento de Conservação Arquivística, do qual consta a Tabela de Seleção e os modelos dos autos de entrega, de eliminação e da guia de remessa.

20.71 Prazo de conservação

“Período de tempo fixado pela entidade produtora, geralmente de acordo com imperativos de natureza legal, fiscal, administrativa ou outra, durante o qual a documentação permanece sob responsabilidade do serviço produtor, no serviço de arquivo corrente ou noutro depósito de arquivo.”

- In DGARQ, Orientações, 2010.

20.72 Preservação

Processos e operações necessárias para assegurar a sobrevivência de documentos autênticos através do tempo.

20.73 Princípio da proveniência

Princípio básico da organização, segundo o qual deve ser respeitada a autonomia de cada arquivo, não misturando os seus documentos com os de outros.”

- In IPQ, NP 4041, 2005.

20.74 Princípio do respeito pela ordem original

“Princípio básico segundo o qual os documentos de um mesmo arquivo devem conservar a organização estabelecida pela entidade produtora, a fim de preservar as relações entre eles e, consequentemente, a sua autenticidade, integridade e valor probatório.”

- In IPQ, NP 4041, 2005.

20.75 Processo (arquivístico)

“Unidade arquivística constituída pelo conjunto dos documentos referente a qualquer acção administrativa ou judicial, sujeita a tramitação própria. Pode ser parte de um macroprocesso, no caso de procedimentos administrativos ou judiciais complexos, e/ou articular-se em subprocessos, correspondentes a fases com circuitos de decisão e/ou tipologias documentais próprias.”

- In IPQ, NP 4041, 2005.

20.76 Produtor de arquivos

Pessoa coletiva ou singular, ativa ou extinta, produtora de documentos de arquivo.

- In Sítio eletrónico DGLAB.

20.77 Quadro de classificação

Documento de arquivo que regista o esquema de organização de um acervo documental, estabelecido de acordo com os princípios da proveniência e respeito pela ordem original, para efeitos de descrição e/ou instalação.

20.78 Records continuum

Modelo visual e teórico que compreende um regime uniforme e coerente dos processos de registos a partir do momento da criação de registos (e antes da criação, na concepção de sistemas de registos), através da preservação e utilização dos registos como arquivos.

20.79 Recuperação de informação e documentos

Obtenção de dados, informações ou documentos arquivados ou memorizados.

20.80 Referência

Conjunto de elementos selecionados para identificar dados, informações, documentos, unidades arquivísticas.

20.81 Registo de autoridade arquivística

Registo que combina uma entrada de uma autoridade arquivística e elementos descritivos dessa mesma autoridade arquivística. Os registos de autoridades arquivísticas têm por objetivo identificar, de forma unívoca, as entidades produtoras de arquivos. Registam, também, a sua história, o contexto de criação, atuação e extinção e estabelecem relações com outras entidades, funções e arquivos.

- In CIA, ISAAR(CPF), 2004.

20.82 Regulamento de arquivo

“Documento [...] que regista o conjunto de regras que definem a organização e funcionamento de um serviço de arquivo.”

- In IPQ, NP 4041, 2005.

20.83 Seleção (de documentos)

“Operação decorrente da avaliação e que consiste em separar os documentos de arquivo de conservação permanente daqueles que poderão ser objecto de eliminação.”

- In IPQ, NP 4041, 2005.

20.84 Série documental

“Unidade arquivística constituída por um conjunto de documentos simples ou compostos a que, originariamente, foi dada uma ordenação sequencial, de acordo com um sistema de recuperação da informação. Em princípio, os documentos de cada série correspondem ao exercício de uma mesma função ou actividade, dentro de uma mesma área de actuação.”

- In IPQ, NP 4041, 2005.

20.85 Sistema de arquivo

Conjunto de elementos (entidades, meios, procedimentos) que funcionam de modo articulado, tendo em vista a gestão dos documentos produzidos/recebidos por um organismo no exercício das suas atividades. São elementos de um sistema de arquivo os documentos, as instalações, os equipamentos, os recursos humanos, as regras, os instrumentos técnicos, etc.

20.86 Sistema de gestão de arquivo

“Sistema de informação que integra, gere e fornece acesso a documentos de arquivo, ao longo do tempo.”

- In IPQ, NP 4438-1 e 2, 2005.

20.87 Tabela de seleção

“Relação dos documentos de arquivo de um organismo ou administração que estabelece os que devem ter conservação permanente e fixa os prazos e condições de eliminação dos restantes. A tabela de selecção regista o resultado da avaliação.”

- In Dicionário, 1993.

20.88 Tesauro

“Lista estruturada de termos escolhidos (descritores) para representar o conteúdo de documentos, explicitando as relações hierárquicas, de equivalência e/ou de preferência entre eles. Em princípio, um tesauro tem um campo de aplicação específico (vocabulário de arquitectura, terminologia arquivística, etc.) e é acompanhado de regras de utilização.”

- In IPQ, NP 4041, 2005.

20.89 Tramitação documental

Conjunto de procedimentos e requisitos legais associados aos documentos, desde a sua produção ou receção, necessários ao cumprimento de uma determinada atividade administrativa.

20.90 Transferência de documentos

“Mudança de documentos, arquivos ou acervos documentais de um depósito de arquivo para outro, com ou sem alteração de custódia.”

- In IPQ, NP 4041, 2005.

20.91 Tratamento de arquivo

“Conjunto dos procedimentos técnicos que têm por objectivo a identificação, organização e descrição arquivística dos documentos de arquivo e dos dados e informações por eles veiculadas.”

- In IPQ, NP 4041, 2005.

20.92 Unidade arquivística

“Documento de arquivo (…) e/ou cada um dos conjuntos em que se articula, consoante a organização que originalmente lhe(s) foi dada pela entidade produtora: processo, colecção, dossier, série, arquivo e respectivas subdivisões.”

- In IPQ, NP 4041, 2005.

Também se pode definir como documento simples ou conjunto de documentos de um mesmo arquivo (processo, coleção, dossier, série/sub-série, classe/sub-classe, fundo). Estes conjuntos resultam da organização dada ao arquivo pela entidade produtora.

20.93 Unidade de descrição

“Documento ou conjunto de documentos, sob qualquer forma física, tratado como um todo e que, como tal, serve de base a uma descrição singular.”

- In CIA, ISAD(G), 1999.

20.94 Unidade de instalação

“Unidade básica de acondicionamento e cotação das unidades arquivísticas. São unidades de instalação caixas, livros, maços, pastas, rolos, etc.”

- In IPQ, NP 4041, 2005.

Ou seja, é uma unidade básica de cotação, instalação e inventariação das unidades arquivísticas. São unidades de instalação também as disquetes, bobinas, cassetes, cd’s, etc.

20.95 Valor arquivístico

“Valor atribuído a um documento de arquivo ou outra unidade arquivística, para efeitos de conservação permanente num serviço de arquivo. Resulta do seu valor probatório e/ou da relevância do seu valor informativo.”

- In IPQ, NP 4041, 2005.

Também chamado valor secundário.

20.96 Valor informativo

Valor decorrente da informação veiculada por um documento de arquivo ou outra unidade arquivística, para a administração produtora, assim como para os utilizadores. São especialmente relevantes os que, independentemente do fim para que foram elaborados, testemunham a constituição e funcionamento dessa administração e/ou forneçam dados ou informações sobre pessoas, organizações, locais ou assuntos.

20.97 Valor legal

“Valor decorrente da relevância de um documento de arquivo, para comprovar, perante a lei, um facto ou constituir um direito.”

- In IPQ, NP 4041, 2005.

20.98 Valor probatório

“Valor inerente aos documentos de arquivo, na medida em que consignam ou comprovam factos, constituem direitos e obrigações e são reconhecidos como garantia e fundamento de actos, factos e acontecimentos.”

- In IPQ, NP 4041, 2005.

Também chamado valor primário.

20.99 Workflow

Universo composto pelos circuitos e tramitações documentais que acompanham, embora nem sempre se sobrepondo, a circulação e distribuição de tarefas, no contexto da atividade funcional de um organismo.

Em estatística, o que é...

21.1 Actividade estatística oficial

É o conjunto de métodos, técnicas e procedimentos utilizados na produção e difusão de estatísticas oficiais.

- In Lei Lei do Sistema Estatístico Naciona (Lei n.º 22/2008 de 13 de maio).

21.2 Estatísticas oficiais

É a informação estatística produ- zida, em regra, no âmbito da execução do programa da acti- vidade estatística do SEN e das organizações internacionais das quais Portugal é membro, com respeito pelas normas técnicas nacionais e internacionais e com observância dos princípios: Autoridade estatística; Independência técnica; Segredo estatístico; Qualidade; Acessibilidade estatística; Cooperação entre autoridades estatísticas

- In Lei Lei do Sistema Estatístico Naciona (Lei n.º 22/2008 de 13 de maio).

21.3 Dados estatísticos individuais

São os dados que permitem a identificação directa das unidades estatísticas ou que, pela sua natureza, estrutura, conteúdo, importância, número, relação com outros dados ou grau de desagrega- ção, permitam, sem envolver um esforço e custo despro- porcionados, a sua identificação indirecta.

- In Lei Lei do Sistema Estatístico Naciona (Lei n.º 22/2008 de 13 de maio).

21.4 Dados estatísticos individuais anonimizados

São os dados modificados de modo a minimizar, de acordo com a melhor prática metodológica e sem envolver um esforço e custo desproporcionados, a possibilidade de identificação das unidades estatísticas a que se referem.

- In Lei Lei do Sistema Estatístico Naciona (Lei n.º 22/2008 de 13 de maio).

21.5 Dados administrativos

São dados que são recolhidos por entidades do sector público sobre pessoas singulares ou colectivas, incluindo os dados individuais, com base em procedimentos administrativos que têm normalmente um fim primário que não é estatístico.

- In Lei Lei do Sistema Estatístico Naciona (Lei n.º 22/2008 de 13 de maio).

21.6 Metainformação estatística

É a informação que des- creve as características das séries e dos dados estatísticos, bem como os conceitos e metodologias relevantes envol- vidos na sua produção e utilização.

- In Lei Lei do Sistema Estatístico Naciona (Lei n.º 22/2008 de 13 de maio).

Referências: