Perguntas Frequentes

É um diploma que entrou na nossa ordem jurídica em 25 de maio de 2018, através do Regulamento (EU) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, que pretende responder aos desafios colocados pela revolução tecnológica ocorrida nas últimas décadas e proteger melhor os dados sobre as pessoas, os direitos dos cidadãos da UE e a livre circulação de dados.

A quantidade de dados armazenados e transacionados, estruturados e não estruturados, não limitados às fronteiras, aumentou e aumentará exponencialmente nos próximos anos, pelo que a recolha e utilização dos dados pessoais é uma preocupação cada vez maior dos titulares dos dados e das organizações, obrigando por isso à introdução de um enquadramento jurídico mais rigoroso.

Para estar em conformidade com o RGPD, é fundamental que as organizações percebam que informação pessoal possuem, para que a utilizam, onde e como a armazenam e que sistemas tecnológicos, modelos organizativos e processos é que vão ter de alterar.

O RGPD tem como principais objetivos que o cidadão recupere o controlo sobre os seus dados pessoais, nomeadamente através de novos direitos, como aceder, alterar, transferir, apagar ou solicitar a sua informação na qualidade de titular dos dados.

• Maior amplitude do conceito de dados pessoais - Passa a incluir, nomeadamente, dados de localização e identificadores por via eletrónica (como endereços IP, cookies). Para além disso, passam a existir definições precisas no que respeita a “perfis”, "pseudonimização", "dados genéticos", "dados biométricos e "dados relativos à saúde".
• Direito ao esquecimento (apagamento), direito de portabilidade dos dados, direito ao consentimento e direito de oposição ao profiling - Os titulares dos dados passam a ter o direito a requerer a eliminação dos seus dados pessoais mediante determinadas circunstâncias. Passam, também, a poder transferir os seus dados de um responsável pelo tratamento para outro responsável e as organizações ficam obrigadas a fornecer ao titular dos dados, num formato de uso corrente e de leitura automática, os dados que aquele lhe tenha transmitido. Passam igualmente a gozar de regras mais exigentes para o consentimento (que pode ser retirado a qualquer momento) e também ao direito de se oporem ao profiling (processamento de informação, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais).
• Reforço das obrigações das organizações - Para além da obrigação de adoção de políticas e procedimentos de segurança de dados, como a pseudonimização ou a cifragem de dados, é criada a figura do Data Protection Officer (DPO) / Encarregado de Proteção de Dados (EPD).
• Regras especiais para menores - O RGPD prevê a impossibilidade de menores, com idade inferior a 16 anos, prestarem o seu consentimento para tratamentos de dados em serviços online (oferta direta de serviços da sociedade da informação às crianças), ficando, no entanto, ao critério de cada Estado-membro determinar se os jovens com idades compreendidas entre os 13 e 16 anos poderão ter acesso a serviços online.
• Obrigação de comunicar quebras de segurança - As organizações passam a estar obrigadas a notificar os casos de violação de dados pessoais às autoridades competentes e aos próprios titulares dos dados.
• Accountability - Desaparece a obrigação de notificação/autorização à CNPD, tornando-se esta um órgão fiscalizador. Há uma mudança de paradigma, que obriga os responsáveis pelo tratamento de dados de serem capazes de, a qualquer momento, demonstrar o cumprimento das exigências previstas no RGPD.
• Encarregado de Proteção de Dados (EPD) - As autoridades e organismos públicos estão obrigados a contratar/nomear um EPD, o qual deve ter conhecimentos especializados no domínio do direito e das práticas da proteção de dados, considerando que a sua principal função é controlar o cumprimento das regras do novo Regulamento pela organização.
• Avaliação de impacto sobre a proteção de dados - Os tratamentos de dados pessoais suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas singulares têm de ser precedidos de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD), designadamente nos casos estipulados no n.º 3, art. 35.º do RGPD e no Regulamento 798/2018, de 30 novembro.

O Regulamento não necessita de transposição. É diretamente aplicável a todos os Estados Membros em simultâneo.

As transferências de dados são proibidas para fora da UE, exceto se reunidas as condições previstas no capítulo V do RGPD.

Com efeito, na transferência de dados pessoais para fora da UE, o RGPD exige que seja assegurado um elevado nível de proteção dos dados pessoais, compatível com o nível de proteção conferido pelo próprio RGPD. Isto é, só são legais as transferências internacionais realizadas para jurisdições fora da UE consideradas “seguras”, através dos diversos institutos jurídicos que o próprio RGPD regulamenta.

A noção de violação de dados pessoais lembra imediatamente a fuga de dados pessoais em benefício de terceiros não autorizados (por exemplo, a pirataria de dados por um indivíduo mal intencionado). É este o caso, mas a definição do termo é, na verdade, mais ampla:

• Perder a disponibilidade dos dados pessoais;
• Prejudicar a integridade dos dados pessoais;
• Prejudicar a confidencialidade dos dados pessoais.

Portanto, uma violação de dados pode constituir não só uma fuga de dados, mas também a perda permanente de dados.
O RGPD impõe novas obrigações aos responsáveis pelo tratamento e aos subcontratados em termos de notificações de violação de dados.

Os cidadãos podem apresentar as suas queixas à Comissão Nacional de Proteção de Dados (CNPD), enquanto autoridade nacional de controlo, responsável por assegurar que as regras contidas no documento são cumpridas.

A não conformidade com o RGPD, pode conduzir a multas até 20.000.000€ ou 4% da faturação global da organização (consoante o montante mais elevado).

As entidades têm até 72 horas para comunicar à CNPD eventuais violações de dados pessoais. Se essa violação for considerada de alto risco para os direitos e liberdades dos cidadãos e se esse risco não tiver sido mitigado, então o titular também tem o direito a ser informado dessa fuga. É possível apresentar uma queixa à CNPD e, em caso de prejuízo, intentar uma ação judicial a requerer indemnização.

Sim, pode haver, caso a empresa ou entidade não tenha respeitado as leis da proteção de dados e, na sequência disso, o cidadão tenha sofrido prejuízos materiais ou de outro tipo, nomeadamente, danos de reputação.

A Lei n.º 58/2019, de 8 de agosto, é a nova Lei de Proteção de Dados, que assegura a execução do RGPD na ordem jurídica portuguesa. Entrou em vigor no dia 9 de agosto e revoga a anterior LPDP (Lei n.º 67/98).

Há três razões para a existência desta nova Lei, designadamente:

Um: o RGPD deixa aos Estados-Membros a decisão sobre algumas matérias específicas, tais como dados especialmente protegidos, tratamento de dados dos trabalhadores, idade mínima de menores, etc..

Dois: o RGPD determina que cada Estado-Membro nomeie, por ato legislativo, a autoridade de controlo encarregue da fiscalização da sua aplicação.

Três: entendem alguns autores que as contraordenações e os crimes são matéria da exclusiva competência da Assembleia da República. Assim, as normas do RGPD sobre as contraordenações não são diretamente aplicáveis, daí a necessidade de serem transpostas por ato legislativo nacional.

Entrou também em vigor uma lei específica de proteção de dados para os tratamentos efetuados por autoridades competentes para a deteção, prevenção, investigação e repressão de infrações penais e para a execução de sanções penais – Lei n.º 59/2019, de 8 de agosto.

Estes três instrumentos legais (RGPD, Lei n.º 58/2018 e Lei n.º 59/2019) constituem a nova legislação de proteção de dados pessoais.

I. Autoridade de Controlo (Capítulo II, artigos 3.º a 8.º)

• A Comissão Nacional de Proteção de Dados (CNPD) é designada como a autoridade de controlo nacional para efeitos do RGPD e da lei que agora entra em vigor (Alteração e Republicação da Lei n.º 43/2004, de 18 de agosto).
• Prevê a cooperação com o Instituto Português de Acreditação, I. P. (IPAC, I. P.) em matéria de acreditação dos organismos de certificação em sistemas de proteção de dados.
• Reforça que compete à CNPD fomentar a elaboração de códigos de conduta que regulem atividades determinadas, os quais devem tomar em atenção as necessidades específicas das micro, pequenas e médias empresas.
• Refere que a CNPD difunde uma lista de tipos de tratamento de dados cuja avaliação prévia de impacto não é obrigatória.
• Obriga as entidades públicas e privadas a colaborar com a CNPD, quando necessário, para o cabal cumprimento das suas competências, designadamente examinar o sistema informático e os ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.

II. Funções do Encarregado de Proteção de Dados (Capítulo III, art.^os 9.º a 13.º)

• Para além das competências que são confiadas ao EPD, nos termos do disposto no RGPD, cabem-lhe ainda as seguintes funções:

a) assegurar a realização de auditorias de proteção de dados, quer periódicas, quer não programadas;

b) sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;

c) assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

• O encarregado de proteção de dados, bem como os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade que acresce aos deveres de sigilo profissional previstos na lei.

III. Disposições especiais - consentimento de menores, proteção de pessoas falecidas, portabilidade e interoperabilidade, videovigilância, dever de segredo, prazo de conservação, transferências de dados e tratamento de dados pessoais por entidades públicas para finalidades diferentes (Capítulo V, art.º^s 16.º a 23.º)

• Refere que o consentimento de menores relativo à oferta direta de serviços da sociedade de informação só é admissível quando os menores já tenham completado 13 anos de idade.
• Prevê a necessidade de proteção de dados pessoais especiais de pessoas falecidas.
• Clarifica que o direito de portabilidade dos dados abrange apenas os dados fornecidos pelos respetivos titulares.
• Esclarece que, sempre que a interoperabilidade dos dados entregues à Administração Pública não seja tecnicamente possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam entregues num formato digital aberto, de acordo com o Regulamento Nacional de Interoperabilidade Digital em vigor.
• Impõe regras e limites na utilização de Videovigilância (ver ponto 6).
• Clarifica algumas dúvidas em relação ao prazo de conservação de dados pessoais, como os dados relativos a declarações contributivas para efeitos de aposentação ou reforma, que podem ser conservados sem limite de prazo.

IV. Situações específicas de tratamento de dados pessoais – liberdade de expressão, publicação em jornal oficial, acesso a documentos administrativos, publicação de dados no âmbito da contratação pública, relações laborais, tratamento de dados de saúde e dados genéticos, bases de dados ou registos centralizados de saúde, tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos (Capítulo VI, art.^os 24.º a 31.º)

• A proteção de dados pessoais não prejudica o exercício da liberdade de expressão, informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para fins de expressão académica, artística ou literária, mas não legitima a divulgação de dados pessoais como moradas e contactos, à exceção daqueles que sejam de conhecimento generalizado.
• Sempre que o dado pessoal «nome» seja suficiente para garantir a identificação do titular e a eficácia do tratamento, não devem ser publicados em jornais oficiais outros dados pessoais, sendo o responsável pelo tratamento a entidade que manda proceder à publicação.
• Caso seja necessária a publicação de dados pessoais, não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do contraente público e do cocontratante.
• O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador, devendo assegurar-se que apenas se utilizem representações dos dados biométricos e que o respetivo processo de recolha não permita a reversibilidade dos referidos dados.
• Estabelece que o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais:

a) se do tratamento resultar uma vantagem jurídica ou económica para o Trabalhador;
b) se esse tratamento for necessário para a execução de um contrato no qual o trabalhador seja parte, ou necessário para diligências pré-contratuais.

• Inclui requisitos de confidencialidade e sigilo associados ao tratamento de dados de saúde e dados genéticos. O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação.
• O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização dos mesmos, sempre que os fins visados possam ser atingidos por uma destas vias.

V. Tutela administrativa, responsabilidade civil, tutela jurisdicional, representação dos titulares dos dados, legitimidade da CNPD (Capítulo VII, secção I, art.^os 32.º a 36.º)

• Em termos de responsabilidade civil, indica que qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de obter do responsável ou subcontratante a reparação pelo dano sofrido.

VI. Contraordenações (Capítulo VII, secção II a IV, art.^os 37.º a 56.º)

• O legislador nacional introduz algumas novidades no regime das contraordenações. As contraordenações muito graves são punidas com coima:

a) de 5 000€ a 20 000 000€ ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) de 2 000€ a 2 000 000€ ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) de 1 000€ a 500 000€, no caso de pessoas singulares.

• As contraordenações graves são punidas com coima:

a) de 2 500€ a 10 000 000€ ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) de 1 000€ a 1 000 000€ ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) de 500€ a 250 000€, no caso de pessoas singulares.

• Esta Lei vem estabelecer como critérios de determinação da medida da coima, além dos previstos no RGPD, os seguintes:

a) A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço anual, no caso de pessoa coletiva;
b) O caráter continuado da infração;
c) A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados.

• Outra novidade inserida no diploma é a de estipular que, à exceção dos casos de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável. O montante das coimas cobradas reverte em 60% para o Estado e em 40% para a CNPD.
• Apresenta lista dos crimes puníveis com pena de prisão, como a utilização de dados de forma incompatível com a finalidade da recolha, o acesso indevido, o desvio de dados, a viciação ou destruição de dados, a inserção de dados falsos, a violação do dever de sigilo e a desobediência.

VII. Entidades Públicas (art.^os 44.º e 59.º)

• No âmbito de aplicação das contraordenações, as coimas previstas no RGPD e na presente lei aplicam-se de igual modo às entidades públicas e privadas, mas as entidades públicas, podendo as primeiras, fundamentar e solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos, a contar da entrada em vigor da Lei n.º 58/2019.

VIII. Legislação alterada e revogada (artigos 65.º e 66.º)

• Este diploma procede à alteração à Lei n.º 26/2016, de 22 de agosto (nova LADA), nomeadamente do artigo 6.º do regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos que passa a ter a seguinte redação:

«Artigo 6.º

[...]

9 — Sem prejuízo das ponderações previstas nos números anteriores, nos pedidos de acesso a documentos nominativos que não contenham dados pessoais que revelem a origem étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, dados genéticos, biométricos ou relativos à saúde, ou dados relativos à intimidade da vida privada, à vida sexual ou à orientação sexual de uma pessoa, presume -se, na falta de outro indicado pelo requerente, que o pedido se fundamenta no direito de acesso a documentos administrativos.»

• A norma revogatória faz caducar a Lei n.º 67/98, de 26 de outubro, que transpõe para a ordem jurídica portuguesa a Diretiva 95/45/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção de pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados.
• São também revogados o n.º 3 do art.º 15.º e o n.º 2 do art.º 17.º da Lei n.º 43/2004, de 18 de agosto (Lei de organização e funcionamento da CNPD), alterada pela Lei n.º 55-A/2010, de 31 de dezembro (Orçamento do estado para 2011).

Mantêm-se válidos os princípios gerais aplicáveis aos tratamentos de dados e, nessa medida, as orientações da CNPD podem continuar a ser usadas como referência. No entanto, a CNPD irá proceder à sua atualização em conformidade com o novo quadro legal.

Sim, mantém-se válidas em tudo o que não contrarie o disposto no RGPD e na Lei n.º 58/2019, e desde que os tratamentos de dados pessoais não tenham sofrido alterações. Adicionalmente, os responsáveis pelo tratamento dos dados têm de cumprir as exigências do RGPD, à exceção da realização de avaliações de impacto sobre a proteção de dados, previstas no artigo 35.º do RGPD, para os tratamentos de dados pessoais já autorizados.

Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desaparece com a aplicação do RGPD. Já não é necessário solicitar autorização à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD.

"Informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.”

Consulte aqui para alguns exemplos.

São identificadores que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, a saúde e a genética, a biometria que identifique uma pessoa de forma inequívoca, a vida sexual ou orientação sexual, as condenações penais e infrações, as aptidões intelectuais e profissionais, os traços de personalidade ou desempenho profissional, entre outros aspetos sensíveis da vida de uma pessoa.

Consulte aqui para consultar mais informação.

Inclui categorias especiais de dados pessoais (artigo 9.º do RGPD), "bem como dados pessoais relacionados com condenações penais e infrações, tal como definido no artigo 10.º. Um exemplo seria um hospital geral que mantenha registos médicos dos doentes ou um investigador privado que mantenha informações acerca dos autores das infrações. Para além destas disposições do RGPD, algumas categorias de dados podem ser consideradas como categorias que aumentam os possíveis riscos para os direitos e as liberdades dos indivíduos. Estes dados pessoais são considerados sensíveis (na aceção comum deste termo) porque estão associados a atividades privadas e familiares (tais como comunicações eletrónicas cuja confidencialidade deve ser protegida) ou porque afetam o exercício de um direito fundamental (tais como dados de localização cuja recolha põe em causa a liberdade de circulação) ou porque a sua violação implica claramente que a vida quotidiana do titular dos dados será gravemente afetada (tais como dados financeiros que possam ser utilizados numa fraude de pagamentos). A este respeito, pode ser relevante saber se os dados já foram tornados públicos pelo titular dos dados ou por terceiros. O facto de os dados pessoais já terem sido tornados públicos pode ser considerado um fator pertinente para avaliar se, possivelmente, os dados seriam ou não utilizados para determinados fins. Este critério pode também incluir dados como documentos pessoais, mensagens de correio eletrónico, diários, notas de dispositivos eletrónicos de leitura equipados com funções de introdução de notas, bem como informações muito pessoais incluídas em aplicações onde ficam registados eventos da vida dos indivíduos".

- In Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º.

O "RGPD não define o que constitui grande escala, contudo o considerando 91 fornece alguma orientação. Em qualquer caso, o Grupo de Trabalho do Artigo 29.º recomenda que os seguintes fatores, em especial, sejam considerados quando se determina se o tratamento é ou não efetuado em grande escala:

a. o número de titulares de dados envolvidos, quer através de um número específico, quer através de uma percentagem da população pertinente;

b. o volume de dados e/ou a diversidade de dados diferentes a tratar;

c. a duração da atividade de tratamento de dados ou a sua pertinência;

d. a dimensão geográfica da atividade de tratamento."

- In Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º.

Por "exemplo, com origem em duas ou mais operações de tratamento de dados realizadas com diferentes finalidades e/ou por diferentes responsáveis pelo tratamento de dados de tal forma que excedam as expectativas razoáveis do titular dos dados".

- In Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º.

O "tratamento deste tipo de dados constitui um critério devido ao acentuado desequilíbrio de poder entre os titulares dos dados e o responsável pelo tratamento dos dados, significando isto que os indivíduos podem não ser capazes de consentir, ou opor-se, facilmente ao tratamento dos seus dados ou de exercer os seus direitos. Os titulares de dados vulneráveis podem incluir crianças (estas podem ser consideradas incapazes de consentir ou opor-se consciente e criteriosamente ao tratamento dos seus dados), empregados, segmentos mais vulneráveis da população que necessitem de proteção especial (pessoas com doenças mentais, requerentes de asilo, idosos, doentes, etc.) e todos os casos em que possa ser identificado um desequilíbrio na relação entre a posição do titular dos dados e o responsável pelo tratamento".

- In Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º.

Os titulares de dados pessoais tratados na UC, podem ser:

• Estudantes da UC;
• Candidatos à UC
• Colaboradores externos;
• Colaboradores internos;
• Fornecedores;
• Clientes;
• Membros de júri de concursos de recrutamento de pessoal;
• Candidatos a procedimentos concursais de recrutamento ou de mobilidade interna.

Atualmente não existem minutas oficiais, mas a CNPD não exclui a possibilidade de vir a disponibilizar alguns textos padrão, quando em causa estiverem tratamentos de dados pessoais mais simples.

De qualquer forma, o EPD-UC disponibiliza na sua página oficial, a todos os trabalhadores da organização, um conjunto de minutas elaboradas para situações específicas.

O consentimento é uma das circunstâncias que torna legal o tratamento dos dados pessoais. Um dos aspetos fundamentais do RGPD é a forma como este consentimento tem que ser obtido. Tem que ser livre, específico para uma determinada finalidade, inequívoco e informado, o que implica conhecimento de todos os dados pessoais objeto de tratamento. O pedido de consentimento deve ser apresentado “de forma clara e concisa, utilizando linguagem de fácil entendimento e diferenciar-se de outras informações como sejam ‘’os termos e condições”. Este documento deve, ainda, incluir o tipo de uso que será feito dos dados e incluir os contactos da entidade que vai processar essa informação.

O consentimento tem, pois, de ser inequívoco, isto é, a pessoa tem de manifestar a sua vontade em autorizar. Tem também de prestar as informações que previstas no art.º 13.º do RGPD, adequadas ao seu caso concreto, não se esquecendo de informar o titular dos dados de que pode revogar o consentimento a todo o momento e indicando o meio como o pode fazer.

O consentimento tem, ainda, de ser específico, devendo ser diferenciado, por exemplo, quando haja utilização de dados para fins distintos ou quando haja comunicação de dados a terceiros, e acompanhado sempre da informação necessária relativa a cada situação. Também não é possível fazer depender a execução de um contrato do consentimento do titular dos dados.

Até agora o consentimento podia ser tácito, ou seja, incluído numa longa lista de termos e condições que raramente as pessoas liam. Isso deixa de ser válido. Se um tratamento de dados foi autorizado com base num consentimento que não cumpre as novas regras, este não tem validade, pelo que a entidade que trata esses dados terá que pedir novamente um novo consentimento informado, nas condições exigidas pelo RGPD.

Antes de mais, deve verificar-se se o consentimento do titular é o fundamento de legitimidade adequado quando está em causa uma relação contratual com um utente/cliente, uma vez que o tratamento de dados necessário à execução de um contrato não precisa do consentimento do utente/cliente.

Se estiver em causa o tratamento de dados pessoais adicionais em relação ao contrato e se o consentimento obtido anteriormente foi dado de forma implícita, então será necessário obter um novo consentimento do titular dos dados, nas condições exigíveis pelo RGPD. Por exemplo, se o consentimento foi dado para uma determinada finalidade e se pretende fazer uso dos dados para outros fins, então deverá obter um novo consentimento.

Não. Os tratamentos de dados pessoais, no âmbito da gestão dos recursos humanos, têm como fundamentos de legitimidade a execução do contrato de trabalho e a lei. O consentimento dos trabalhadores não é, de uma maneira geral, considerado válido, pois raramente poderá ser dado em condições de liberdade, atendendo ao desequilíbrio de poder entre as partes.

As listas de distribuição e o email constituem o canal predominante pelo qual as organizações tentam alcançar novos utentes/clientes, bem como manter o relacionamento com os já existentes.

Efetivamente, o RGPD veio exigir alterações significativas na maneira como as organizações conduzem as suas práticas de contacto por email.

Assim, a recolha e utilização de endereços de email deve ter presente os seguintes conceitos:

O “Opt in” é a autorização dada por um titular de dados, para receber mensagens de uma determinada instituição.

O “Double Opt in” é um “Opt in” reforçado. O Responsável pelo tratamento de dados, após enviar a primeira mensagem, envia uma segunda, geralmente um link, de confirmação. Para que o consentimento seja confirmado, é necessário que o titular dos dados faça a validação do link, ou seja, existe uma dupla confirmação. A validação pode mencionar “por favor confirme a sua subscrição”, sem indicar quaisquer dados adicionais.

O “Soft Opt In” refere-se a uma forma implícita de garantir o envio de comunicações institucionais para os titulares dos dados, quando já exista um relacionamento prévio estabelecido entre as partes. Neste caso, entende-se que a relação entre as partes já permite o envio de mensagens entre elas.

O “Opt out” aplica-se quando o destinatário indica explicitamente que não deseja receber mensagens de uma lista especifica ou global.

Sim, a designação do EPD é obrigatória sempre que:

• Independentemente dos dados objeto de tratamento, este for efetuado por autoridade ou organismo público (al. a) do art.º 37.º/1)^[1], à exceção dos tribunais no exercício da sua função jurisdicional^[2];
• As “atividades principais” do RT/S consistirem em operações de tratamento que exijam controlo regular e sistemático dos titulares dos dados em grande escala (al. b) do art.º 37.º/1, reforçada pela al. a) do art.º 13 da Lei 58);
• As “atividades principais” do RT/S consistirem em operações de tratamento em grande escala de categorias especiais de dados^[3] ou^[4] de dados pessoais relacionados com condenações penais e infrações (al. c) do art.º 37/1 reforçada pela al. b) do art.º 13 da Lei 58);
• Noutras situações em que o direito da União ou dos Estados-Membros o exija (art.º 37.º/4).

Excetuando os casos em que seja evidente que uma organização não é obrigada a designar um EPD, o GT 29 recomenda que o RT/S documente a análise interna efetuada no sentido de determinar se deve ou não ser nomeado um EPD, com vista a poder comprovar que os fatores pertinentes foram devidamente tomados em consideração^[5]. Esta análise deve fazer parte da documentação no âmbito do princípio da responsabilidade e pode vir a ser solicitada pela autoridade de controlo, devendo ser atualizada sempre que necessário, por exemplo, caso os RT/S iniciem novas atividades ou prestem novos serviços que possam ser abrangidos pelo art.º 37.º/1 (designação do EPD).

Ademais, mesmo quando não é obrigatório designar um EPD, as organizações poderão considerar conveniente designá-lo a título voluntário. Nestes casos são extensíveis à sua nomeação, posição e atribuições os requisitos aplicáveis à designação obrigatória.

[1] O art.º 12.º da Lei 58/2019 de 8 de agosto, que assegura a execução do RGPD em Portugal, (doravante designada como Lei 58) particulariza a designação de EPD em entidades públicas.

[2] Art.º 32.º da Diretiva (UE) 2016/680.

[3] Nos termos do art.º 9.º, estas categorias abrangem os dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

[4] O art.º 37.º/1, al. c), utiliza a conjunção «e». O motivo da utilização conjunção «ou» em vez de «e» deve-se ao facto não haver nenhuma razão estratégica para que os dois critérios tenham de ser aplicados simultaneamente.

[5] “Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.” (art.º 24.º/1).

As “atividades principais” (al. b) e c) do art.º 37.º/1) podem entender-se como as operações essenciais para alcançar os objetivos do RT/S, as quais incluem também todas as atividades em que o tratamento de dados constitui parte indissociável das atividades do RT/S. Por exemplo, os hospitais devem nomear um EPD porque o tratamento de dados relativos à saúde deve ser considerado uma das atividades principais, ao contrário de determinadas atividades de apoio à atividade principal, como a remuneração dos seus trabalhadores ou atividades comuns de apoio informático (atividades de funções acessórias).

Entende-se por entidades públicas (art.º 12.º/2 da Lei 58):

• O Estado;
• As regiões autónomas;
• As autarquias locais e as entidades supranacionais previstas na lei;
• As entidades administrativas independentes e o Banco de Portugal;
• Os institutos públicos;
• As instituições de ensino superior públicas, independentemente da sua natureza;
• As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;
• As associações públicas.

Existe pelo menos um EPD (art.º 12.º/3 da Lei 58):

• Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;
• Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;
• Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;
• Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;
• Por cada entidade, no caso das demais entidades referidas no número anterior, sendo designada pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.

O RGPD não define o que constitui um tratamento de “grande escala”, mas o GT 29 recomenda que sejam tomados em consideração os seguintes fatores:

• o número de titulares de dados afetados – como número concreto ou em percentagem da população em causa;
• o volume de dados e/ou o alcance dos diferentes elementos de dados objeto de tratamento;
• a duração, ou permanência, da atividade de tratamento de dados;
• o âmbito geográfico da atividade de tratamento.

Consideram-se como exemplos de tratamento de grande escala:

• o tratamento de dados de doentes no exercício normal das atividades de um hospital;
• o tratamento de dados de viagem das pessoas que utilizam o sistema de transportes públicos de uma cidade;
• o tratamento em tempo real de dados de geolocalização de clientes de uma cadeia de restauração rápida internacional para fins estatísticos;
• o tratamento de dados de clientes no exercício normal das atividades de uma companhia de seguros ou de um banco;
• o tratamento de dados pessoais para fins de publicidade comportamental por um motor de busca;
• o tratamento de dados (conteúdo, tráfego, localização) por operadoras.

Como exemplos de não tratamento de grande escala, considera-se:

• o tratamento de dados de doentes pacientes por um médico;
• o tratamento de dados pessoais relacionados com condenações penais e infrações por um advogado.

A noção de “controlo regular e sistemático” (al. b) do art.º 37.º/1) dos titulares dos dados não está definida no RGPD, mas inclui claramente todas as formas de seguimento e de definição de perfis.

Na interpretação do GT 29, “regular” significa, neste caso, uma ou mais das seguintes características:

• Contínuo ou que ocorre a intervalos específicos num determinado período;
• Recorrente ou repetido em horários estipulados;
• Constante ou periódico.

Na interpretação do GT29, “sistemático” significa, neste caso, uma ou mais das seguintes características:

• Que ocorre de acordo com um sistema;
• Predefinido, organizado ou metódico;
• Realizado no âmbito de um plano geral de recolha de dados;
• Efetuado no âmbito de uma estratégia.

São exemplos de atividades que podem constituir um controlo regular e sistemático dos titulares de dados:

• a exploração de uma rede de telecomunicações;
• a prestação de serviços de telecomunicações;
• a reorientação de mensagens de correio eletrónico;
• as atividades de promoção comercial baseadas em dados;
• a definição de perfis e pontuação para fins de avaliação dos riscos;
• a localização;
• os programas de fidelização;
• a publicidade comportamental;
• o controlo de dados relativos ao bem-estar, à condição física e à saúde através de dispositivos usáveis;
• a televisão em circuito fechado;
• os dispositivos ligados por contadores inteligentes, automóveis inteligentes, domótica, etc.

Sim, pode ser designado um único EPD para várias autoridades ou organismos públicos, tendo em conta a respetiva estrutura organizacional e dimensão. Uma vez que o EPD tem a seu cargo um conjunto de funções, o RT/S deve assegurar que um único EPD, com a ajuda de uma equipa, se necessário, possa cumprir as suas funções de forma eficiente, apesar de ter sido nomeado para várias autoridades e organismos públicos (art.º 37.º, n.os 2 e 3).

O EPD deve estar “facilmente acessível a partir de cada estabelecimento”, i.e., as comunicações devem ser efetuadas na língua ou nas línguas utilizadas pelas autoridades de controlo e pelos titulares de dados em causa.

A disponibilidade de um EPD (quer fisicamente nas mesmas instalações que os trabalhadores, quer através de uma linha direta ou de outros meios de comunicação seguros) é essencial para garantir que os titulares dos dados possam contactá-lo (art.º 37.º/6).

Sim, o EPD pode ser um elemento do pessoal da entidade RT/S, ou exercer as suas funções com base num contrato de prestação de serviços.

Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de interesses dos membros das equipas, o GT 29 recomenda que o contrato de prestação de serviços preveja uma clara repartição das tarefas no seio da equipa do EPD externo e a designação de uma única pessoa como contacto principal e pessoa “responsável” do cliente (art.º 37.º/6).

No sentido de assegurar que o EPD esteja acessível, o GT 29 recomenda que o EPD esteja localizado na UE, independentemente de o RT/S estar ou não estabelecido na UE.

O art.º 37.º/5, dispõe que o EPD “é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no art.º 39.º”. O considerando 97 prevê que o nível necessário de conhecimentos especializados deverá ser determinado em função das operações de tratamento de dados realizadas e da proteção exigida para os dados pessoais objeto de tratamento.

O nível necessário de competências não é definido de forma rigorosa, mas deve coadunar-se com a sensibilidade, a complexidade e a quantidade de dados tratados por uma organização. Por exemplo, se a atividade de tratamento de dados for particularmente complexa, ou se estiver em causa uma grande quantidade de dados sensíveis, o EPD poderá́ necessitar de um nível de competências e de apoio mais elevado. Outra variação depende do facto de a organização transferir sistematicamente os dados pessoais para fora da UE ou de estas transferências serem ocasionais. Neste sentido, o EPD deve ser escolhido de forma criteriosa, tendo devidamente em conta as questões de proteção de dados suscitadas no âmbito da organização.

Embora o art.º 37.º/5, não explicite quais as qualidades profissionais que devem ser consideradas aquando da nomeação do EPD, como atributos pertinentes, os EPD devem ter competências no domínio da legislação nacional e comunitária em matéria de proteção de dados e um conhecimento profundo do RGPD. É igualmente conveniente que as autoridades de controlo promovam formações adequadas e regulares destinadas aos EPD. O EPD deve ter bons conhecimentos do setor empresarial e da organização do responsável pelo tratamento e também das operações de tratamento efetuadas, bem como dos sistemas de informação, da segurança dos dados e das necessidades de proteção de dados do responsável pelo tratamento.

No caso das autoridades ou organismos públicos, o EPD deve igualmente ter um conhecimento sólido das regras e dos procedimentos administrativos da organização.

A capacidade para desempenhar as funções atribuídas ao EPD deve ser interpretada como um atributo respeitante não só́ às suas qualidades e conhecimentos pessoais, mas também à sua posição no seio da organização. As qualidades pessoais devem incluir, por exemplo, a integridade e um elevado nível de ética profissional; a principal preocupação do EPD deve consistir em permitir o cumprimento do RGPD. O EPD desempenha um papel determinante na promoção de uma cultura de proteção de dados no seio da organização e contribui para dar cumprimento aos elementos essenciais do RGPD, tais como os princípios do tratamento de dados (Capítulo II), os direitos dos titulares de dados (Capítulo III), a proteção de dados desde a conceção e por defeito (art.º 25.º), os registos das atividades de tratamento (art.º 30.º), a segurança do tratamento (art.º 32.º) e a notificação e comunicação de violações de dados (art.os 33.º e 34.º).

As funções do EPD podem igualmente ser exercidas com base num contrato de prestação de serviços celebrado com uma pessoa ou uma organização fora do âmbito da organização do RT/S. Neste último caso, é essencial que cada membro da organização que exerça as funções de EPD cumpra todos os requisitos aplicáveis da Secção 4 do RGPD (p. ex., é essencial que nenhum interveniente tenha um conflito de interesses). É igualmente importante que cada um destes membros esteja protegido pelas disposições do RGPD (p. ex., garantindo a impossibilidade de rescisão abusiva do contrato de prestação de serviços para atividades enquanto EPD, ou de destituição abusiva de qualquer membro da organização que executa as tarefas de EPD). Simultaneamente, as competências e os pontos fortes individuais podem ser combinados de modo que várias pessoas, trabalhando em equipa, possam servir os seus clientes de forma mais eficiente.

Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de interesses dos membros das equipas, recomenda-se uma clara repartição das tarefas no seio da equipa do EPD e a designação de uma única pessoa como contacto principal e pessoa «responsável» para cada cliente.

Em suma, as competências e conhecimentos especializados pertinentes do EPD, devem incluir:

• Competências no domínio das normas e práticas de proteção de dados nacionais e europeias, incluindo um conhecimento profundo do RGPD;
• Conhecimento das operações de tratamento efetuadas;
• Conhecimento das tecnologias da informação e da segurança dos dados
• Conhecimento do setor empresarial e da organização;
• Capacidade para promover uma cultura de proteção de dados no seio da organização (art.º 37.º/5).

O EPD “é designado com base nos requisitos previstos no art.º 37.º/5 do RGPD, não carecendo de certificação profissional para o efeito” (art.º 9.º/1 da Lei 58).

O EPD não é pessoalmente responsável pelo incumprimento dos requisitos de proteção de dados. Compete ao RT/S assegurar e comprovar que o tratamento respeita o Regulamento aplicável. O cumprimento das normas de proteção de dados é da competência do RT/S.

O art.º 37.º/7 não exige que os contactos publicados incluam o nome do EPD. Ainda que a publicação desta informação possa constituir uma boa prática^[1], cabe ao RT/S e ao EPD decidirem se tal é necessário ou útil nas circunstâncias concretas. No entanto, a comunicação do nome do EPD à autoridade de controlo é essencial para que o EPD possa funcionar como ponto de contacto entre a organização e a autoridade de controlo (al. e) do art.º 39.º/1).

Os contactos do EPD devem incluir informações que permitam aos titulares dos dados e às autoridades de controlo contactar facilmente o EPD (endereço postal, número de telefone e/ou endereço de correio eletrónico). Se necessário, para efeitos de comunicação com o público, podem igualmente ser disponibilizados outros meios de comunicação, por exemplo uma linha direta específica, ou um formulário específico de contacto do EPD, disponível no sítio Web da organização.

[1] A título de boa prática, o GT 29 recomenda que a organização informe os seus trabalhadores do nome e contactos do EPD, por exemplo, através da intranet da organização, nas listas telefónicas internas e em organogramas.

Sim, os dados do EPD têm de ser comunicados à CNPD, em formulário próprio.

O EPD está vinculado à obrigação de sigilo/confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros (art.º 38.º/5). Esta confidencialidade é igualmente importante para que os trabalhadores possam apresentar queixas ao EPD (o art.º 10.º/1 da Lei 58 reforça essa obrigação de confidencialidade).

Nos termos do art.º 38.º, o RT/S deve assegurar que o EPD seja “envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais”.

O RT/S deve assegurar que o EPD é informado e consultado durante a fase inicial, para facilitar o cumprimento do RGPD e promover uma abordagem de proteção da privacidade desde a conceção, devendo este ser o procedimento normal da governação da organização. Além disso, é importante que o EPD seja encarado como interlocutor no seio da organização e que faça parte dos grupos de trabalho incumbidos de gerir as atividades de tratamento de dados nessa organização.

Por conseguinte, a organização deve assegurar, por exemplo, que:

• O EPD é convidado a participar regularmente nas reuniões dos quadros de gestão médios e superiores;
• A sua presença é recomendada sempre que sejam adotadas decisões com implicações na proteção de dados;
• Todas as informações pertinentes sejam transmitidas oportunamente ao EPD, para que este possa prestar um aconselhamento adequado;
• O parecer do EPD é sempre devidamente ponderado. Em caso de desacordo, o GT 29 recomenda, como boa prática, que sejam enunciados os motivos para não seguir o parecer do EPD;
• O EPD é imediatamente consultado após a ocorrência de uma violação de dados ou outro incidente;
• Se for caso disso, o RT/S pode elaborar orientações ou programas em matéria de proteção de dados que definam em que momento o EPD deve ser consultado.

O art.º 38.º/2 exige que a organização apoie o seu EPD, “fornecendo-lhe os recursos necessários ao desempenho das suas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento”. Em função da natureza das operações de tratamento e das atividades e dimensão da organização, devem ser concedidos os seguintes recursos ao EPD:

• Apoio ativo às suas funções por parte dos quadros de gestão superiores;
• Tempo suficiente para que este possa desempenhar as suas tarefas;
• Apoio adequado em termos de recursos humanos, financeiros, infraestruturas (locais, instalações, equipamento), sempre que necessário;
• Comunicação oficial da sua nomeação a todo o pessoal, a fim de divulgar a sua existência e missão dentro da organização;
• Acesso a outros serviços no seio da organização, para que este possa receber apoio, contributos ou informações essenciais por parte destes outros serviços;
• Formação contínua que lhe possibilite manter-se atualizado no que diz respeito aos desenvolvimentos no domínio da proteção de dados. O objetivo deve ser uma melhoria permanente do nível das suas competências, incentivando-o a participar em cursos de formação sobre proteção de dados e noutras iniciativas de desenvolvimento profissional, tais como conferências sobre privacidade, seminários, etc.;
• Uma equipa do EPD, consoante a dimensão e a estrutura da organização. Nestes casos, a estrutura interna da equipa e as funções e responsabilidades de cada um dos seus membros devem estar claramente definidas. De igual modo, se a função do EPD for exercida por um prestador de serviços externo, um conjunto de pessoas que trabalham para essa entidade poderá́ exercer de modo eficaz as funções de EPD enquanto equipa, sob a responsabilidade de um contacto principal designado para o cliente.

De modo geral, quanto mais complexas e/ou sensíveis forem as operações de tratamento, mais recursos devem ser concedidos ao EPD. A missão de proteção de dados deve ser eficaz e dotada de recursos suficientes para o tratamento de dados efetuado.

O EPD tem pelo menos as seguintes funções (art.º 39.º/1):

• Informa e aconselha o RT/S, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
• “Controla a conformidade” com o presente regulamento, com outras disposições de proteção de dados da UE ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
• Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do art.º 35.º;
• Coopera com a autoridade de controlo;
• Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o art.º 36.º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.

E ainda (art.º 11.º da Lei 58):

• Assegura a realização de auditorias, quer periódicas, quer não programadas;
• Sensibiliza os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;
• Assegura as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

A al. b) do art.º 39.º/1, incumbe o EPD, entre outras funções, de controlar a conformidade com o RGPD. O considerando 97 especifica, por outro lado, que o EPD deve assistir "o responsável pelo tratamento [...] ou o subcontratante [...] no controlo do cumprimento do presente regulamento a nível interno".

No âmbito destas atribuições de controlo da conformidade, os EPD podem, nomeadamente:

• Recolher informações para identificar as atividades de tratamento;
• Analisar e verificar a conformidade das atividades de tratamento;
• Prestar informações e aconselhamento e formular recomendações ao RT/S.

O controlo da conformidade não significa que a responsabilidade pessoal do EPD seja imputada em caso de incumprimento. O RGPD esclarece que compete ao responsável pelo tratamento, e não ao EPD, aplicar “as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento” (art.º 24.º/1). O cumprimento das regras de proteção de dados é uma competência empresarial do responsável pelo tratamento de dados, e não do EPD.

Nos termos do art.º 35.º/1, cabe ao responsável pelo tratamento, e não ao EPD, proceder, quando necessário, a uma avaliação de impacto sobre a proteção de dados (AIPD). Todavia, o EPD pode desempenhar um papel importante e útil, prestando assistência ao responsável pelo tratamento. Aplicando o princípio da proteção de dados desde a conceção, o art.º 35/2, dispõe expressamente que, ao efetuar uma AIPD, o responsável pelo tratamento deve “solicitar o parecer” do EPD. Por sua vez, a al. c) do art.º 39.º/1, determina que o EPD deve “prestar aconselhamento, quando tal lhe for solicitado, no que respeita à AIPD, e controlar a sua realização nos termos do art.º 35.º”.

O GT 29 recomenda que o responsável pelo tratamento solicite o parecer do EPD sobre as seguintes questões, entre outras^[1]:

• Se deve ou não efetuar uma AIPD;
• Qual a metodologia a seguir na realização de uma AIPD;
• Se deve realizar a AIPD internamente ou externalizá-la;
• Quais as salvaguardas (incluindo medidas técnicas e organizativas) a aplicar no sentido de atenuar os eventuais riscos para os direitos e interesses dos titulares de dados;
• Se a avaliação de impacto sobre a proteção de dados foi ou não corretamente efetuada e se as suas conclusões (se o tratamento deve ou não ser realizado e quais as salvaguardas a aplicar) estão em conformidade com o RGPD.
• Se o responsável pelo tratamento discordar do parecer emitido pelo EPD, a documentação da AIPD deve justificar especificamente, por escrito, os motivos pelos quais o parecer não foi tido em conta^[2].

O GT 29 recomenda, além disso, que o responsável pelo tratamento indique claramente, por exemplo, no contrato com o EPD, bem como nas informações prestadas aos trabalhadores e aos quadros de gestão (e a outras partes interessadas, se for caso disso), as tarefas específicas do EPD e o respetivo âmbito de aplicação, nomeadamente no que diz respeito à realização da AIPD.

[1] O art.º 39.º/1, menciona as funções do EPD e indica que o EPD tem, «pelo menos», as seguintes funções. Por conseguinte, nada impede que o responsável pelo tratamento atribua ao EPD outras funções, além das explicitamente referidas no artigo 39.º/1, ou que especifique as tarefas de forma mais pormenorizada.

[2] O artigo 24.º/1, dispõe o seguinte: «Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades».

O art.º 39.º/2, exige que o EPD tenha “em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento”.

Este artigo alude a um princípio geral e assente no bom senso, que pode revelar-se pertinente em muitos aspetos do trabalho diário do EPD. Essencialmente, exige que os EPD estabeleçam prioridades nas suas atividades e centrem os seus esforços nas questões que apresentam maiores riscos em matéria de proteção de dados. Tal não implica que os EPD devam negligenciar o controlo da conformidade das operações de tratamento de dados que, em termos comparativos, acarretam um nível de risco mais reduzido, indiciando antes que devem centrar-se fundamentalmente nos domínios de maior risco.

Esta abordagem seletiva e pragmática deve apoiar os EPD na sua missão de prestar aconselhamento ao responsável pelo tratamento sobre:

• a metodologia a seguir na realização de uma AIPD;
• os domínios que devem ser objeto de auditorias internas ou externas sobre a proteção de dados;
• as ações de formação internas a disponibilizar ao pessoal ou aos quadros de gestão responsáveis pelas atividades de tratamento de dados;
• as operações de tratamento às quais o responsável pelo tratamento deve consagrar uma parte mais significativa do seu tempo e recursos.

Nos termos do art.º 30.º, n.^os 1 e 2, é o RT/S, e não o EPD, que “conserva um registo de todas as atividades de tratamento sob a sua responsabilidade” ou “conserva um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento”. Este instrumento permite ao responsável pelo tratamento e à autoridade de controlo, a pedido destes, obter uma perspetiva geral de todas as atividades de tratamento de dados pessoais levadas a cabo por uma organização. Trata-se, portanto, de um requisito prévio da conformidade e, como tal, constitui uma medida de responsabilização eficaz.

O art.º 39.º/1, prevê uma lista das funções mínimas que devem incumbir ao EPD. Por conseguinte, nada impede que o RT/S atribua ao EPD a função de conservar o registo das atividades de tratamento sob a responsabilidade do RT/S. Esses registos devem ser considerados um dos instrumentos que permitem ao EPD desempenhar as suas funções de controlo da conformidade e de prestação de informações e aconselhamento ao RT/S (art.º 39.º/1, al. c), e art.º 30.º).

Na prática e por norma, os EPD criam inventários e mantêm um registo das operações de tratamento baseado nas informações que recebem dos vários departamentos da sua organização que tratam dados pessoais. Esta prática foi estabelecida ao abrigo de muitas disposições legislativas nacionais em vigor e em conformidade com as normas de proteção de dados aplicáveis às instituições e aos órgãos da UE^[1].

[1] Art.º 24.º/1, al. d), do Regulamento (CE) n.º 45/2001.

O art.º 38.º/6, permite que o EPD possa “exercer outras funções e atribuições”. Porém, exige que a organização assegure que “essas funções e atribuições não resultam num conflito de interesses”.

A ausência de conflitos de interesses está intimamente ligada ao requisito de independência dos EPD. Embora os EPD estejam autorizados a desempenhar outras tarefas, só podem ser incumbidos de outras funções e atribuições se estas não derem origem a conflitos de interesses. Deste modo, o EPD não pode exercer um cargo dentro da organização que o leve a determinar as finalidades e os meios do tratamento de dados pessoais. Devido à estrutura organizacional específica de cada organização, este aspeto deve ser apreciado caso a caso.

Regra geral, os cargos suscetíveis de gerarem conflitos no seio da organização podem incluir os cargos de direção superiores, mas também outras funções em níveis inferiores da estrutura organizacional, se esses cargos ou funções levarem à determinação das finalidades e dos meios de tratamento. Além disso, pode igualmente surgir um conflito de interesses se, por exemplo, um EPD externo for chamado a representar o RT/S perante os tribunais no âmbito de processos respeitantes a questões de proteção de dados art.º 38.º, n.os 3 e 6).

Consoante as atividades, a dimensão e a estrutura da organização, é aconselhável, como boa prática, que o RT/S:

• Identifique os cargos que se afigurariam incompatíveis com as funções de EPD;
• Aprove normas internas para o efeito, com o intuito de evitar conflitos de interesses;
• Inclua uma explicação mais geral sobre os conflitos de interesses;
• Declare que os respetivos EPD não têm conflitos de interesses no que se refere às suas funções enquanto EPD, como forma de divulgação deste requisito;
• Inclua salvaguardas no regulamento interno da organização e assegurem que o anúncio de vaga para o lugar de EPD ou o contrato de prestação de serviços seja suficientemente preciso e pormenorizado, com vista a evitar conflitos de interesses.

Neste contexto, importa igualmente ter em conta que os conflitos de interesses podem assumir formas diferentes em função do vínculo laboral do EPD, enquanto colaborador interno ou externo.

Existem várias salvaguardas para permitir ao EPD atuar de forma independente, nomeadamente:

• O RT/S não dá instruções relativas ao exercício das funções do EPD;
• O RT/S não pode destituir nem penalizar o EPD pelo exercício das suas funções;
• Não existe conflito de interesses com outras possíveis funções e atribuições.

Nos termos do art.º 39.º/ 1, alíneas d) e e), o EPD “coopera com a autoridade de controlo” e serve de “ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o art.º 36.º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto”.

Estas funções enquadram-se no papel ponto de contacto no sentido de facilitar (“facilitador”) o acesso da autoridade de controlo aos documentos e informações necessários para o desempenho das funções elencadas no art.º 57.º, bem como para o exercício dos seus poderes de investigação, de correção, consultivos e de autorização, tal como referidos no art.º 58.º. A obrigação de sigilo/confidencialidade não proíbe o EPD de contactar, consultar e solicitar o parecer da autoridade de controlo, conforme previsto na al. e) do art.º 39.º/1.

Em conformidade com o art.º 38.º/3, o EPD não pode ser destituído nem penalizado (sequer ameaçado) pelo RT/S pelo facto de exercer as suas funções. Este requisito beneficia o EPD de proteção suficiente no desempenho das suas funções, reforça a sua autonomia e ajuda-o a garantir uma atuação independente. Quanto mais garantias existirem contra a destituição abusiva, maior será a probabilidade de o EPD poder atuar de forma independente.

Para efeitos de cumprimento de obrigação legal:

Tratamento de dados pessoais no âmbito de uma obrigação legal, como por exemplo na qualidade de organismo pagador.

Para exercício de funções de interesse público:

Tratamento de dados pessoais necessário ao exercício de funções de interesse público de que está investida a UC.

Para execução de contrato:

Tratamento de dados necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados.

Com o consentimento dos titulares:

Tratamento de dados pessoais que depende do consentimento do respetivo titular. Neste caso, o titular tem o direito de retirar a qualquer momento o consentimento prestado, sem comprometer a licitude do tratamento que tenha sido efetuado com base nesse consentimento. O consentimento pode ser retirado utilizando os seguintes meios e contactos:

• Endereço de Correio eletrónico: epd[at]uc.pt
• Comunicação escrita dirigida ao responsável pelo tratamento.

O período de tempo durante o qual os dados pessoais são armazenados e conservados varia de acordo com a finalidade para a qual a informação é tratada.

Sempre que não exista uma exigência legal específica, os dados serão armazenados e conservados apenas pelo período mínimo necessário para a prossecução das finalidades que motivaram a sua recolha ou o seu posterior tratamento, nos termos definidos na lei.

A maioria desses dados são necessários para responder a inquéritos oficiais como o RAIDES. De forma a cumprir este desiderato, a UC mantém esta informação durante todo o tempo de permanência do aluno na Universidade e por mais dois anos, após a sua última inscrição.

Os candidatos que não se transformam em alunos, seja porque não foram aceites, seja porque desistem antes de iniciar, seja porque o procedimento se esgota no final da candidatura, têm os seus dados pessoais eliminados no final do período necessário para garantir os prazos de reclamação, com exceção dos dados de faturação, caso tenha existido pagamentos, que são eliminados findo o prazo legal.

Os dados pessoais dos trabalhadores recolhidos pelas unidades orgânicas e serviços da UC, são obrigatórios no âmbito do emprego na função pública.

O RGPD tem medidas muito claras relativamente a estes casos. Existem prazos para comunicar ao Encarregado da Proteção de Dados, que por sua vez, terá que informar a Comissão Nacional de Proteção de Dados num máximo de 72h, após a tomada de conhecimento de que os dados foram comprometidos. Se a violação do RGPD puder afetar significativamente o titular dos dados, poderá ser necessário informá-lo(s).

O RGPD não faz distinção pelo suporte (papel ou digital). Em todos os casos é necessário assegurar a efetiva destruição dos dados. Se os dados estiverem em papel, deve ser usada uma destruidora de papel. CDs/DVDs devem também ser efetivamente destruídos. Num computador depois de apagados, é importante assegurar que os ficheiros são igualmente destruídos do "Recycle Bin".

Com o RGPD, já não é necessário pedir autorização à CNPD para ter um sistema de videovigilância. Assim, já não é preciso preencher qualquer formulário ou pagar taxa, nem prestar qualquer informação desta natureza à CNPD.

No entanto, para poder instalar um sistema de videovigilância tem de se atender a vários requisitos legais, que incluem, além do RGPD, a Lei n.º 34/2013 de 16 de maio, que regula a atividade de segurança privada, as disposições do Código do Trabalho, o disposto no art.º 19.º da Lei n.º 58/2019, de 8 de agosto, e outra legislação aplicável a cada situação em concreto.

Sim, em tudo o que não contrariem o disposto no RGPD e/ou na Lei n.º 58/2019 (art.º 19.º). Os responsáveis pelo tratamento devem cumprir as condições estabelecidas nas autorizações para o tratamento de dados pessoais através de videovigilância.

Não é necessário realizar qualquer notificação ou comunicação à CNPD, devendo as imagens captadas respeitar o disposto no art.º 19º da Lei 58/2019. No entanto, qualquer colocação de câmaras em locais não abrangidos pela autorização, originará a caducidade desta.

De acordo com o RGPD, compete ao responsável pelo tratamento analisar previamente se o tratamento de dados pessoais, decorrente da utilização de um sistema de videovigilância, cumpre os requisitos do RGPD e demais legislação aplicável.

A instalação de videovigilância tem por objetivo a proteção de pessoas e bens, seja pelo seu potencial efeito dissuasor, seja para permitir a identificação do perpetrador em processo criminal. Por isso, a colocação das câmaras deve ter em conta a estrita necessidade de manter um perímetro de segurança e de controlar os acessos a partir do exterior, de modo adequado às circunstâncias do local e proporcionado para não restringir excessivamente os direitos dos cidadãos.

Assim, as câmaras não deverão abranger, designadamente, áreas de espera em consultório médico, zonas de descanso ou lazer, o interior dos elevadores, salas de aula, salas de refeições, esplanadas, vestiários, interior e acessos a casas de banho, interior de ginásios.

Na colocação das câmaras, deve ser tido especial cuidado para que estas não permitam captar imagens da digitação de códigos de segurança em terminais de pagamento.

As câmaras não podem incidir sobre a via pública ou a propriedade de terceiros.

Nos termos da redação do n.º 3 do art.º 19.º da Lei 58/2019, “nos estabelecimentos de ensino, as câmaras de videovigilância só podem incidir sobre os perímetros externos e locais de acesso, e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção, como laboratórios ou salas de informática.”

No contexto laboral, mantêm-se vigentes as condições impostas pelo Código do Trabalho para a vigilância à distância, à exceção da necessidade de solicitar autorização da CNPD, que é incompatível com o RGPD.

Assim, a videovigilância não pode ser usada para controlo do desempenho dos trabalhadores, não devendo, por isso, incidir regularmente sobre estes, o que exclui a abrangência das áreas de laboração, seja em linha de produção, armazém ou trabalho administrativo em escritório.

Os trabalhadores têm de ser informados sobre a existência do sistema de videovigilância, bem como de todas as questões relevantes quanto ao seu funcionamento.

Em conformidade com a Lei n.º 34/2013, de 16 de maio, deve conservar as imagens pelo período de 30 dias. Isto sem prejuízo de ser necessário manter as imagens por mais tempo, no âmbito de processo criminal em curso.

Nos casos em que é admitida a videovigilância, é proibida a captação de som, exceto no período em que as instalações estejam encerradas, isto é, sem pessoas a trabalhar nas zonas vigiadas, ou mediante autorização prévia da CNPD (art.º 19.º, n.º 4, da Lei n.º 58/2019).

Sim. Os titulares dos dados têm o direito a ser informados sobre a utilização de sistemas de videovigilância. O aviso informativo deve respeitar o previsto no art.º 31.º, n.º 5, da Lei n.º 34/2013, de 16 de maio, devendo mencionar "Para sua proteção, este local é objeto de videovigilância".

Veja a proposta do EPD-UC de sinalética nos edifícios da UC com sistemas de videovigilância aqui.

O sinal aviso tem apenas de estar visível no local onde estão instaladas as câmaras.

O sinal aviso tem apenas de estar visível junto dos acessos.

Sim, desde que seja para o estrito cumprimento das suas funções profissionais (e.g. elaboração de uma pauta) e que não seja possível, ou viável, a utilização dos equipamentos da UC para tal.

Os dados pessoais, por exemplo de alunos ou funcionários, devem permanecer nos computadores pessoais o tempo indispensável à realização da tarefa legítima, após o qual devem ser apagados.

Durante o tempo em que permanecem no computador pessoal, o trabalhador deve assegurar-se que o seu computador cumpre todas as regras básicas de segurança, nomeadamente o disposto no Regulamento de Utilização de Recursos de TIC da UC.

Opcionalmente, o utilizador poderá cifrar os ficheiros com dados pessoais, com a ajuda de programas como o WinRAR e o 7-Zip, que sendo de utilização livre, permitem comprimir e cifrar um conjunto de ficheiros com uma password.

Sem prejuízo de outras, devem ser asseguradas as boas práticas previstas no Regulamento de Utilização de TIC da UC, nomeadamente as estabelecidas no seu artigo 8.º .

A instituição não deve, por regra, fundamentar o tratamento de categorias especiais de dados no consentimento, considerando que na “evidente situação de vulnerabilidade das pessoas que se encontram contaminadas pelo vírus, bem como a sua situação de dependência da intervenção das autoridades públicas“^[1]não se vê, nestas condições, que a emissão de um consentimento seja uma “manifestação de vontade, livre, específica, informada e inequívoca”.^[2]

[1] In Orientações da CNPD/2020 de 22 de abril - Divulgação de informação relativa a infetados por Covid-19.

[2] In RGPD - al. 11) do art.º 4.º.

A UC pode fazer tratamento de categorias especiais de dados, quando necessário para cumprir obrigações legais a que está sujeita. Pode, ainda, fazer este tratamento por razões de interesse público, como no controlo de doenças infeto-contagiosas.

A UC pode fazer o tratamento de dados de saúde conforme preconizado na questão anterior, mas não pode publicar estes dados com a identificação dos trabalhadores, nem de forma a que possam indiretamente ser identificados. Este tipo de tratamento depende de norma legal habilitante que o preveja e, simultaneamente, acautele os direitos e interesses dos trabalhadores.

A UC não pode fazer essa publicação, uma vez que o isolamento profilático é um instrumento usado pela Autoridade de Saúde, que impõe o isolamento das pessoas infetadas para que, preventivamente, se contenha a propagação do vírus. O Certificado de Isolamento Profilático impõe legalmente a presença em isolamento e, como serve de justificativo para as faltas ao trabalho, o seu tratamento deve obedecer a um ainda maior nível de segurança e de confidencialidade.

A UC pode publicar dados de saúde anonimizados, desde que a sua dimensão não possa ser associada a outro indicador e, nesse processo, se permita identificar os trabalhadores.

A UC não pode disponibilizar os dados, uma vez que não está legitimada para alterar as finalidades de um tratamento. Estes dados foram recolhidos com finalidades específicas e ao abrigo dos requisitos legais anteriormente referidos, pelo que o pedido deve ser endereçado à DGS.

A UC, através dos SSGST-UC^[1], com informação prévia ao trabalhador, só pode exigir o previsto na norma em vigor, devendo nesses casos ter sempre presente o princípio da proporcionalidade e da minimização de dados.

[1] Só através de uma análise sustentada e valoração do risco na área da saúde e segurança dos trabalhadores, pode, a instituição, tomar a decisão de obter a informação necessária com vista à adoção do tipo de medidas preventivas.

A UC pode realizar ou diligenciar a realização de exames médicos, através do SSGST-UC, naquilo que a legislação, em matéria de emprego ou de saúde e segurança, determinar.

A UC pode exigir que os seus trabalhadores realizem testes diagnósticos de COVID-19, desde que essa exigência advenha do cumprimento de uma base legal, à luz das normas/orientações da DGS, e sustentada numa articulação entre os serviços de saúde ocupacional da UC e a autoridade de saúde competente. A mesma deve estar sustentada pela ponderação da sua adequação, proporcionalidade e necessidade de tratamento de dados pessoais e sempre que comprovadamente não possa conter a sua propagação com a aplicação de outros(s) método(s), menos intrusivos. Nestes casos a UC deve suportar os respetivos encargos. Não obstante, a pedido do trabalhador, a UC deverá permitir a realização dos mesmos testes noutros laboratórios certificados, podendo, nestes casos, imputar os custos ao próprio trabalhador.

A UC deve acompanhar a orientação da CNPD, de 23 de abril, ou seja, abster-se de “adotar iniciativas que impliquem a recolha de dados pessoais de saúde dos seus trabalhadores quando as mesmas não tenham base legal, nem tenham sido ordenadas pelas autoridades administrativas competentes”. Porém, mantém-se a possibilidade de a UC, no âmbito da medicina do trabalho, poder “avaliar o estado de saúde dos trabalhadores e obter as informações que se revelem necessárias para avaliar a aptidão para o trabalho, nos termos gerais definidos na lei da segurança e saúde no trabalho”.^[1]

[1] In Orientações da CNPD/2020, de 23 de abril.

A UC só deverá substituir o trabalhador nas suas responsabilidades, caso este não as cumpra e por indicação fundamentada do SSGST-UC. A DGS, no ponto “Procedimentos num caso suspeito”, constante da Orientação n.º 6/2020, recomenda que “O Trabalhador doente (caso suspeito de COVID-19) já na área de “isolamento”, contacte o SNS 24 (808 24 24 24)”.

A UC, através do SSGST-UC, deve “colaborar com as Autoridades de Saúde, na identificação, listagem e acompanhamento dos contactos próximos, e demais ações requeridas pelas Autoridades”^[1].

[1] In Orientação Técnica n.º 14/2020 do PNSO/DGS, de 19 de março.

A DGS (Orientação n.º 6/2020) recomenda que perante um caso suspeito validado (ainda que a aguardar resultados de testes laboratoriais), a instituição informe os restantes trabalhadores da existência de tal caso. Considera-se que essa informação, não deve incluir o nome do trabalhador. Nestas circunstâncias, a UC, para além de ter de informar os trabalhadores sobre casos suspeitos de COVID-19, de ter de tomar medidas de proteção constantes no Plano de Contingência e nas recomendações das autoridades de saúde pública, deve abster-se de revelar a identidade de qualquer trabalhador (potencialmente) infetado, salvo nos casos em que, sustentados pelo SSGST-UC, se justifique esta ação imperiosa. Nestes casos, “os trabalhadores em causa devem ser antecipadamente informados e a sua dignidade e integridade protegidas” ^[1] de modo a que seja respeitado o preconizado na Lei n.º 58/2019 ^[2].

[1] In Orientações do Comité Europeu para a Proteção de Dados, de 19 de março de 2020.

[2] Nº 6 do art.º 29.º “O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação.”

A UC não pode imiscuir-se na intimidade da vida privada do trabalhador. Porém, atendendo ao atual contexto pandémico, sobreleva o dever de o empregador assegurar as condições de segurança e saúde no local de trabalho, pelo que, em situações específicas, através do SSGST-UC, estes dados podem eventualmente vir a ser objeto de tratamento em articulação com as autoridades de saúde, num processo de comunicação bidirecional.

A UC não pode imiscuir-se na intimidade da vida privada do trabalhador. Porém, para garantir a salvaguarda física dos seus trabalhadores e minimizar a possibilidade de disseminação da doença, através do SSGST-UC, poderá recolher dados pessoais em estrito cumprimento do plano de contingência adotado. Neste caso, o questionário deverá limitar-se às questões essenciais de despiste da propagação do vírus, conforme os interesses legítimos prosseguidos pela instituição e necessários por motivos de interesse público no domínio da saúde pública, bem como em cumprimento com as recomendações das autoridades competentes. A informação recolhida é confidencial e fica à responsabilidade do serviço de saúde ocupacional.

A UC deve limitar-se a cumprir o que está definido no seu Plano de Contingência, deve respeitar o princípio da minimização dos dados e não deve substituir-se às autoridades competentes.

A DGS, no ponto 6 (“Procedimentos num caso suspeito”) da Orientação n.º 6/2020, recomenda: “O empregador colabora com a Autoridade de Saúde Local na identificação dos contactos próximos do doente (Caso suspeito validado)” após verificação de caso suspeito validado pelo competente serviço de saúde. No entanto, apesar da desejável cooperação, também aqui a instituição deve provar através do SSGST-UC, a necessidade, adequação e proporcionalidade do tratamento dos dados de saúde. A informação pertinente em termos de prevenção da doença deve ser partilhada com a autoridade de saúde competente.

O trabalhador está obrigado pelo RJPSST a cumprir com as prescrições de segurança e de saúde no trabalho e deve assumir essa responsabilidade para com os seus colegas de trabalho. É, através do cumprimento desta obrigação, que a UC pode assegurar as condições de segurança e saúde, de forma continuada e permanente (princípio da prevenção contante no art.º 15.º do RJPSST). Neste report, o trabalhador está obrigado a cumprir o preconizado no art.º 106.º do CT, i.e., “O trabalhador deve informar o empregador sobre aspectos relevantes para a prestação da actividade laboral.” Sem divulgar aspetos da sua esfera pessoal, o trabalhador tem a obrigação de comunicar ao serviço de saúde ocupacional eventuais sintomas compatíveis com a definição de caso COVID-19.

No seguimento da resposta à questão anterior, sem prejuízo da aplicação do disposto na LFTP (art.º 128.º) em matéria de doença no período de férias, considerando o risco inerente ao regresso ao trabalho, que pode ocorrer dentro do prazo de quarentena da doença, determinado pelas autoridades de saúde, mesmo que o trabalhador não pretenda ver suspensas as suas férias tem o dever de comunicar à entidade empregadora, através do Serviço de saúde ocupacional, a situação de doença ocorrida em período de férias. Caso já se encontre recuperado, não tem o dever de informar, uma vez que já não apresenta risco para a Saúde Pública. No entanto, se depois de recuperado for ainda contacto de conviventes positivos, deve informar o SSGST-UC.

Para além do dever moral associado à apropriação de valores humanos e às relações de convivência, no âmbito dos deveres gerais de lealdade e de cooperação em matéria de segurança e saúde no trabalho, o trabalhador deve informar a UC, caso represente um perigo para os colegas de trabalho. Mais, de acordo com o n.º 7 do art.º 281.º do CT, “Os trabalhadores devem cumprir as prescrições de segurança e saúde no trabalho estabelecidas na lei ou em instrumentos de regulamentação colectiva de trabalho, ou determinadas pelo empregador.” A este propósito, assinala-se: “Aquele que, com dolo ou mera culpa, violar ilicitamente o direito de outrem ou qualquer disposição legal destinada a proteger interesses alheios fica obrigado a indemnizar o lesado pelos danos resultantes da violação.” (n.º 1 do art.º 483.º).

Sim, mas apenas nos locais indicados para o efeito e com as restrições adequadas. As classificações dos alunos são dados pessoais e por isso não são públicos. No entanto, a bem da transparência, as avaliações podem e devem ser conhecidas pelos colegas de avaliação.

Sim, a informação relativa ao corpo docente, regime do vínculo e regime de prestação de serviços, no contexto das relações laborais e nos casos determinados na Lei pode ser publicada, porque cumpre finalidades legais e funções legítimas.

Porém, numa lógica de compatibilização da obrigatoriedade de divulgação com os direitos dos titulares dos dados, devem ser respeitados os princípios da proporcionalidade e da minimização dos dados pessoais.

Por motivos de segurança e minimização dos riscos de reprodução massiva de dados, a informação deve ser submetida a um processo de digitalização/imagem, com a marca da UC em fundo, ou outro processo similar que dificulte a sua leitura automatizada.

Em regra todas as trocas de dados pessoais dentro da Universidade de Coimbra são permitidas desde que sejam legítimas, i.e. tenham como objetivo o cumprimento da função da Universidade. De facto, no âmbito do RGPD, o envio de informação pessoal entre unidades orgânicas não é diferente da troca de dados pessoais entre funcionários dentro da mesma unidade orgânica. Em ambos os casos a troca de informação deverá ser legítima, controlada e transparente.

No entanto, como a troca de informação entre unidades orgânicas implica uma perda de controlo, em regra, todas as trocas de dados pessoais entre unidades orgânicas devem ser comunicadas ao EPD.

No âmbito das suas atribuições, a UC procede à comunicação dos dados pessoais a destinatários, os quais podem ser uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo.

São designadamente destinatários as seguintes entidades:

• Instituições da União Europeia;
• Serviços e organismos da Administração direta e indireta do Estado;
• Organismos de certificação, de inspeção e de auditoria nacionais ou europeus
• Autoridades de segurança e de investigação;
• Tribunais;
• Entidades administrativas independentes;
• Instituições de crédito;
• Seguradoras;
• Quaisquer interessados que se encontrem munidos de autorização escrita do titular dos dados, explícita e específica quanto à finalidade e tipo de dados, ou demonstrem possuir um interesse legítimo, pessoal e direto, constitucionalmente protegido e suficientemente relevante que justifique o acesso pretendido, nos termos da Lei n.º 26/2016, de 22 de agosto (Lei de Acesso aos Documentos Administrativos).

Os destinatários das comunicações de dados poderão ainda simultaneamente assumir a categoria de:

• Terceiros - pessoa singular ou coletiva, autoridade pública, serviço ou organismo que, não sendo o titular dos dados, nem o responsável pelo tratamento, nem o subcontratante, nem as pessoas que tratam dados pessoais sob a autoridade direta do responsável pelo tratamento ou do subcontratante, esteja autorizada a tratar dados pessoais mediante uma base legal específica para o efeito).
• Subcontratante - pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trata dados pessoais por conta do responsável pelo tratamento desses dados, para as finalidades e com os meios de tratamento por este definidos ou determinados pelo direito da União Europeia ou de um Estado-Membro.

Em regra, todas as trocas periódicas de dados pessoais com entidades terceiras à Universidade devem ser comunicadas ao Encarregado de Proteção de Dados da sua Instituição.

Uma entidade (singular ou coletiva) pode efetuar o tratamento de dados pessoais em nome de uma outra entidade, desde que exista um contrato ou outro ato jurídico. É importante que o subcontratante nomeado apresente garantias suficientes para a aplicação de medidas técnicas e organizativas destinadas a assegurar que o tratamento dos dados cumprirá as normas do Regulamento Geral de Proteção de Dados e proteja os direitos das pessoas.

O subcontratante nomeado não pode, posteriormente, nomear outro subcontratante sem a autorização prévia da entidade que o subcontratou, específica ou geral, por escrito. O contrato ou ato jurídico celebrado entre uma empresa/organização e o subcontratante deve incluir os seguintes elementos:

• o tratamento só pode ser efetuado com base em instruções documentadas do responsável pelo tratamento;
• o subcontratante garante que as pessoas autorizadas a efetuar o tratamento de dados pessoais assumiram um compromisso de confidencialidade ou se encontram sujeitas a uma obrigação legal de confidencialidade adequada;
• o subcontratante deve oferecer um nível mínimo de segurança definido pelo responsável pelo tratamento;
• o subcontratante deve ajudá-lo a garantir a conformidade com o RGPD.

É uma caixa de correio eletrónico associada a uma Conta de Serviço, que identifica serviços, projetos, eventos ou dispositivos da UC e que é atribuída a um Utilizador Responsável, com vista ao desenvolvimento das atividades específicas daqueles serviços, projetos, eventos ou dispositivos, podendo ser partilhada por vários Utilizadores.

É uma caixa de correio eletrónico associada a uma Conta de Utilizador individual criada pela UC para comunicar com as pessoas que dela fazem parte.

Não, os Utilizadores devem, no âmbito da sua relação com a UC, utilizar a conta de correio eletrónico por esta disponibilizada, abstendo-se do uso de contas externas.

Se esse correio apresentar elementos que possam identificar uma pessoa singular então representa um dado pessoal e deve ser protegido com os mecanismos adequados.

Sim, em regra o todo correio eletrónico é um dado pessoal, exceto aquelas que nomeiam cargos ou organizações.

Sim, podem ser utilizados os emails de funcionários e alunos nos termos do disposto no artigo 20.º do Regulamento de Utilização de Recursos de Tecnologias da Informação e da Comunicação, ou seja, para envio massivo de mensagens de teor institucional, relacionadas com a natureza e objeto da relação existente com a UC e outras, desde que a sua finalidade esteja alinhada com a missão e atribuições da UC e previamente autorizadas pelo órgão competente, e sejam destinadas a veicular informação de interesse para os destinatários,

Neste último caso, os titulares poderão, em qualquer momento, solicitar a não inclusão do seu endereço em lista de distribuição.

Pode, para assuntos que decorrem da atividade que desenvolve na UC, ou para outros assuntos, mas apenas se tiver o consentimento informado do titular da caixa de correio.

Os dados pessoais não devem ser mantidos em Cloud públicas, como a Dropbox, o Google Docs ou o Office365. Caso seja absolutamente necessário manter essa informação na Cloud pública então esta deve estar cifrada (e.g. WinRAR, 7-Zip).

As Cloud públicas não devem ser usadas para processar dados pessoais, pois pode não estar garantido o respeito pelo RGPD. Em vez disso, deve privilegiar o uso de sistemas de armazenamento e partilha de ficheiros disponibilizados pela UC, como sejam a licença Google Docs for Education, o a licença Microsoft Office365 que a grande maioria das escolas possuem no âmbito do Microsoft Campus Agreement. Tal implica a utilização das contas de utilizadores associadas à UC.

É um documento que descreve múltiplas operações de tratamento, avalia a necessidade do tratamento e auxilia a gestão dos riscos para determinar medidas necessárias para mitigar os riscos no tratamento dos dados pessoais.

Só quando o tratamento de dados é suscetível de implicar um elevado risco nas atividades de processamento de dados pessoais.

Sempre que não se conseguir encontrar medidas suficientes para reduzir os riscos elevados identificados para um nível aceitável, é obrigatório consultar a autoridade de controlo.

Sempre que o tratamento seja suscetível de resultar num elevado risco para os direitos e as liberdades das pessoas, nomeadamente quando (art.º 35/3 do RGPD):

a) Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;

b) Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.º, n.º 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º; ou

c) Controlo sistemático de zonas acessíveis ao público em grande escala.

O responsável pelo tratamento com o encarregado da proteção de dados, e os subcontratantes.

• Avaliar a probabilidade/gravidade do risco.
• Garantir a realização da AIPD solicitando o parecer do encarregado da proteção de dados.

O subcontratante deve auxiliar o responsável pelo tratamento na realização da AIPD e fornecer todas as informações necessárias.

• Conservar um registo de todas as atividades de tratamento de dados sob a sua responsabilidade, onde constam, designadamente as finalidades do tratamento de dados, a descrição das categorias de titulares de dados e categorias de dados pessoais e descrição geral das medidas técnicas e organizativas no domínio da segurança.
• Solicitar a opinião dos titulares dos dados e dos seus representantes, se for adequado.

A opinião pode ser solicitada através de estudos, inquéritos e outros meios considerados adequados.

A avaliação deve incluir, pelo menos (art.º 35/7 do RGPD):

1.ª fase – Contexto

“a) Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;”

2.ª fase – Avaliação (risk assessment).

“b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos";

c) Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o” art.º 35/1; e

3.ª fase – Decisão (risk management).

“d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.”

1. Âmbito do AIPD;

2. Objetivos da avaliação de impacto;

3. Equipa e contactos dos responsáveis;

4. Operações de Tratamento de dados pessoais:

• Contexto e finalidades do tratamento de dados pessoais;
• Ativos importantes que dependem de dados pessoais (componentes, sistemas, redes, papel);
• Acessos aos dados pessoais;
• Descrição das operações de tratamento de dados pessoais;

5. Avaliação das necessidades nas operações de processamento:

• Medidas previstas para demonstrar a conformidade e necessidade do tratamento;
• Medidas que contribuem para os direitos dos titulares dos dados;

6. Avaliar e mitigar riscos inerentes do direito dos titulares dos dados:

• Relacionados com a violação de confidencialidade ou integridade;
• Relacionados com a perda de dados pessoais;
• Relacionados com o exercício dos direitos dos titulares de dados;
• Possíveis impactos e ameaças;
• Medida para redução dos riscos com descrições técnicas;

7. Prever medidas de segurança e procedimentos para assegurar a proteção de dados:

• Descrição de medidas técnicas para assegurar a proteção;

8. Recomendações de melhoria;

Este documento pode levar até 6 meses a ser concluído, dependendo da natureza organizacional de pessoas, processos, procedimentos que tenham a ver com dados pessoais e, por uma questão de boas práticas, a AIPD deve ser continuamente revista e regularmente reavaliada.

Exemplos:

• Dados de menores;
• Dados de saúde;
• Informação relativa a situação profissional, experiência profissional, remuneração, ausências ao trabalho e demais informação;
• Informação académica ou níveis de escolaridade, com recolha direta ou indireta:
• Informação e dados bancários, de crédito, penhoras e arrestos;
• Informação para emissão de documentos, por exemplo recibos de vencimento;
• Recolha através de sistemas de plataformas, por exemplo, de dados pessoais de docentes;
• Recolha, direta ou indireta, de dados pessoais de alunos ou estudantes;
• Comunicação de dados pessoais entre entidades públicas, independentemente do meio de comunicação ou forma;
• Gravação e divulgação de imagens de pessoas singulares;
• Fotografias, divulgação e exposição de fotografias de pessoas singulares;
• Vigilância sistemática;
• Videovigilância, com ou sem gravação e armazenamento de imagens;
• Uso ou aplicação de soluções tecnológicas ou organizacionais inovadoras;
• Transferência de dados para fora da União Europeia, por exemplo, informação curricular ou certificados de habilitações.

Os dados biométricos são considerados dados sensíveis, pelo que só é legítimo proceder ao seu tratamento nas seguintes situações:

• se for obtido o consentimento do titular dos dados, nos termos legalmente exigíveis, ou seja, assegurando que o consentimento é explícito, informado, específico e dado livremente;
• se foi utilizado para controlo de assiduidade e para controlo de acessos às instalações do empregador (art.º 28.º/6, da Lei n.º 58/2019); e
• se houver outra lei que expressamente preveja esse tratamento e que, adicionalmente, estabeleça garantias para a defesa dos direitos dos titulares.

Sim, se cumprir todos os requisitos locais e características do sistema no caso concreto. O tratamento de dados biométricos é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador (art.º 28.º/6, da Lei n.º 58/2019, e art.º 9.º/2/b do RGPD).

No entanto, deve assegurar-se que só são utilizadas representações do dado biométrico (template) e que o processo não permite a reversibilidade dos dados (art.º 28.º/6, da Lei n.º 58/2019). Deve garantir-se uma declaração do fabricante do sistema atestando a existência destas características.

No contexto laboral, o tratamento de dados biométricos dos trabalhadores tem ainda de respeitar o disposto no art.º 18.º do Código do Trabalho, com exceção da notificação à CNPD.

Não. A lei é muito clara só admitindo como tratamento legítimo para a finalidade de controlo de assiduidade e/ou controlo de acesso às instalações do empregador. Assim, não podem ser recolhidos e utilizados dados biométricos dos trabalhadores para qualquer outro fim.

Sim, desde que obtido o consentimento dos utentes, nos termos legais e melhor explicitados aqui. No entanto, tem de haver alternativa de acesso às instalações para os utentes que não consentirem na recolha dos seus dados biométricos. Para garantir as condições de liberdade efetiva de escolha, o responsável pelo tratamento não pode criar obstáculos, ou de outro modo dificultar, o acesso alternativo sem controlo biométrico. Os meios empregues no controlo de acesso devem ser proporcionais ao nível de segurança das instalações e às necessidades de verificação de acesso.

A obrigatoriedade de realizar uma avaliação de impacto sobre a proteção de dados (AIPD) quando há tratamento de dados biométricos depende de vários fatores.

As organizações que já possuem uma autorização da CNPD para o tratamento de dados biométricos – e desde que não tenha havido alteração às condições autorizadas para o funcionamento do sistema – não precisam de realizar uma AIPD.

As organizações que não tenham obtido até 25 de maio de 2018 autorização da CNPD, estão obrigadas a realizar uma avaliação de impacto sobre a proteção de dados quando realizarem tratamentos em larga escala, conforme exigido pelo artigo 35.º, n.º 3, alínea b), do RGPD. Quando realizarem tratamentos de dados biométricos, em pequena escala, estão igualmente obrigadas a realizar avaliações de impacto, sempre que o tratamento recaia sobre titulares de dados de grupos vulneráveis, como é o caso de trabalhadores, como previsto no ponto 7 do Regulamento 1/2018 da CNPD, no seguimento do Parecer 18/2018 do Comité Europeu da Proteção de Dados.

A obrigação de promover a realização de uma avaliação de impacto antes de iniciar o tratamento de dados é do responsável pelo tratamento. Contudo, a AIPD pode ser realizada diretamente pelo responsável pelo tratamento ou pela empresa que concebeu e/ou desenvolveu o sistema biométrico (cf. parte final do artigo 35.º/1 do RGPD), desde que o responsável pelo tratamento assuma os seus resultados.

Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desapareceu com a aplicação do RGPD. Já não é necessário solicitar autorização, preencher formulário ou pagar taxa à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD.

Se fizer alterações ao tratamento de dados biométricos previamente autorizado pela CNPD e às condições aí fixadas, a autorização perde a sua validade (caduca). Em consequência, terá de cumprir todas as exigências legais como se estivesse a projetar um tratamento de dados pela primeira vez.

Decisão de aceitar a persistência de um risco residual após o tratamento do risco.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

Potencial causa de um incidente indesejado, que pode provocar danos a um sistema, indivíduo ou organização;

Causa potencial de incidente indesejável que pode resultar em danos para uma organização ou qualquer dos sistemas por ela utilizados. Estas ameaças podem ser acidentais ou deliberadas (com dolo) e caracterizam-se por elementos ameaçadores, alvos potenciais e métodos de ataque.

- In ISO/IEC 27032; Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE e Decisão UE, Euratom n.º 2015/444 da Comissão, de 13 de março de 2015, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

Embora as definições de ameaças híbridas variem e tenham de permanecer flexíveis para responder à sua natureza evolutiva, o conceito destina-se a abarcar a combinação de atividades coercivas com atividades subversivas, de métodos convencionais com métodos não convencionais (ou seja, diplomáticos, militares, económicos, tecnológicos) que podem ser utilizados de forma coordenada por intervenientes estatais ou não estatais para atingir objetivos específicos, mantendo-se, no entanto, abaixo do limiar de uma guerra formalmente declarada.

- In CE e ARUNEPS, Comunicação Conjunta ao Parlamento Europeu e ao Conselho, Quadro comum em matéria de luta contra as ameaças híbridas uma resposta da União Europeia.

O que são? A ameaça interna diz respeito a um agente que compromete a cibersegurança de uma organização a partir do seu interior. Este comprometimento pode ser voluntário (por vingança ou dinheiro, por exemplo); resultado de um condicionamento (por efeito de chantagem sobre um colaborador, por exemplo); ou negligente (quando um trabalhador, involuntariamente, compromete a sua organização através de um comportamento descuidado, como a partilha de credenciais em resultado de um phishing).

O que fazem? Ainda que os outros tipos de ameaça interna possam existir em Portugal, a negligente é particularmente relevante, na medida em que resulta dos casos em que alguém clica num link ou anexo maliciosos ou partilha credenciais de acesso a contas, colocando em causa, sem o desejar, a segurança da informação da sua organização. Também inclui outras ações de engenharia social, como através de telefone, no sentido de permitir acessos remotos ou instalação de malware nos dispositivos de uma entidade. Este agente não atua isoladamente, é instrumentalizado por outros agentes de ameaça, como os cibercriminosos ou os atores estatais.
O comprometimento de contas, privilegiadas ou não, é uma das consequências mais notórias deste tipo de agente de ameaça, quer porque este não utiliza uma palavra-passe suficientemente forte e é descoberta por força-bruta ou tentativa-erro, quer porque a mesma é revelada através de um ataque de phishing ou de uma exfiltração de dados. Alguns agentes de ameaça conseguem comprometer também o múltiplo fator de autenticação, através, por exemplo, de SIM swapping, quando o smartphone serve esse propósito.

Quem atingem? Este tipo de agente de ameaça é constituído sobretudo por colaboradores de organizações, nomeadamente da Administração Pública ou de operadores de serviços essenciais quando os alvos são mais dirigidos, mas virtualmente qualquer organização quando os ataques são generalizados.

- In Relatório de Cibersegurança em Portugal - Riscos & Conflitos - CNCS - jun/2022.

Um adversário que possui níveis sofisticados de especialização e recursos significativos que lhe permitem criar oportunidades para alcançar os seus objetivos através do uso de vários vetores de ataque (...) A ameaça persistente avançada: (i) procura concretizar os seus objetivos repetidamente durante um longo período de tempo; (ii) adapta-se aos defensores e aos seus esforços de resistência; e (iii) está determinada a manter o nível de interação necessário para atingir os seus objetivos.

- In NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms).

Qualquer tipo de atividade maliciosa que tenta coletar, perturbar, negar, degradar ou destruir recursos de sistema de informação ou a informação em si.

- In Glossary of Key Information Security Terms, eds. Richard Kissel, National Institute for Standards and Technology, US Deparment of Commerce, NISTIR 7298, Revision 2 – 2001, citado em NATO CCDCOE.

O que são: Por atores estatais entendem-se agentes de ameaça que atuam sob a direção estratégica e/ou direta de um Estado, sendo um escopo tradicionalmente composto por coletivos de operadores a atuarem na proximidade de serviços de informações ou diretamente integrados nas suas estruturas orgânicas. Estes agentes de ameaça executam ações hostis no ciberespaço a favor dos preceitos estratégicos do seu Estado e em evidente correlação com os desígnios programáticos das sua política externa, militar ou económico-financeira. Alguns destes agentes de ameaça são designados de “ameaças persistentes avançadas” (APT, no acrónimo em inglês).
Na vasta maioria dos eventos observados, as atividades de atores estatais concentram-se na execução de operações de ciberespionagem, orientadas para o comprometimento persistente e encoberto de infraestruturas informáticas detentoras de informação sensível ou de valor estratégico que pretendem exfiltrar de forma não detetada e recorrente. A estas ações de ciberespionagem acrescem casos, com menor expressão quantitativa, mas de elevada gravidade, correlacionados com atos de cibersabotagem, com o fito de causarem disrupção holística ou setorial em alvos externos.
Num número crescente de ocasiões estas ações cibernéticas hostis são, também, dinamizadas por Estados, à escala global, em benefício da sua política doméstica, da sua projeção global ou no âmbito de operações mais latas de natureza híbrida, onde ciberataques concorrem para o sucesso de estratégias de vasto escopo que incluem também, por exemplo, linhas de atuação no domínio da propaganda e da desinformação para a disrupção da normalidade democrática das sociedades.

O que fazem: A materialização desta ameaça no ciberespaço de interesse nacional ocorre em moldes coincidentes com o observado ao longo de todo o espaço comunitário e transatlântico, observando-se o empenho de uma crescente variedade de metodologias ofensivas com vista ao comprometimento das suas vítimas institucionais, tradicionalmente adstritas ao setor público e às áreas de soberania.
Tratando-se de atores oportunistas que prezam a anonimização da sua identidade e natureza funcional, os atores estatais privilegiam, cada vez mais, o empenho de metodologias ofensivas generalistas, desprovidas de uma assinatura de propriedade exclusiva, sendo, hoje, recorrente observar-se o recurso a métodos operacionais coincidentes com os empenhados por agentes da cibercriminalidade ou do hacktivismo.
Entre estes destacam-se o uso de phishing e spear phishing; a criação de domínios próximos do âmbito governamental para favorecer o typosquatting e o acesso a sites fraudulentos; bem como ações de reconhecimento e de mapeamento de vulnerabilidades para posterior exploração.

Quem atingem: Os atores estatais procuram atingir vítimas detentoras de acessos ou de informação com reconhecido valor estratégico.
Estas vítimas tendem a ser, na vasta maioria das ocasiões, de natureza público-governamental, não se devendo, contudo, desconsiderar a gravidade desta tipologia de ciberameaças contra alvos privados, nomeadamente infraestruturas críticas e serviços essenciais.

- In Relatório de Cibersegurança em Portugal - Riscos & Conflitos - CNCS - jun/2022.

Verificação ou validação da identidade de uma pessoa ou da identificação de qualquer outra entidade através de um sistema de segurança.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Processo de validar o código de autenticação de uma mensagem, para obter a garantia de que um dado remetente emitiu essa mensagem para o destinatário previsto e de que a mesma não sofreu alterações durante a transmissão.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Num contexto informacional, propriedade de uma informação cuja origem e integridade são garantidas.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Refere-se aos tratamento de sistemas de comunicação e informação externos à organização como não-confiáveis e a implementação de medidas de proteção para controlar a realização de trocas de informação com estes sistemas.

- In Diretiva Primária da OTAN sobre a segurança de sistemas de comunicação e informação n.º AC/35-D/2004-REV3, de 15 de novembro de 2013.

Identificação das ameaças e vulnerabilidades e realização da análise de risco conexa, ou seja, a análise da probabilidade e do impacto.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

Qualificativo de um processo, técnica ou equipamento usado para ajudar a recuperar dados perdidos ou destruídos ou para manter um sistema em funcionamento.
Nota: No contexto do software usado para realizar a salvaguarda de ficheiros (software de salvaguarda), obtemos as chamadas ´cópias de segurança´ (backup copies). No contexto de equipamento que permita redundância, temos por exemplo ´fontes de alimentação de reserva´ (backup power supplies) ou mesmo ´discos de reserva´ (backup disks).

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Uma lista de entidades discretas, tais como hosts ou aplicações, que foram previamente consideradas estarem associadas a atividade maliciosa.

- In NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms.

Tecnologia normalizada de ligação via rádio, com baixa potência de transmissão e de pequeno alcance, utilizando um sistema de mudança aleatória de frequência de transmissão, que permite o estabelecimento automático de ligação, sem fios ou cabos, de vários aparelhos eletrónicos (telemóveis, assistentes digitais pessoais (PDA), computadores, etc.) situados a pequena distância uns dos outros, constituindo assim uma pequena rede local sem fios.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Rede de computadores infetados [drones] por software malicioso e controlados à distância, sem o conhecimento dos utilizadores, com a finalidade de enviar mensagens eletrónicas não solicitadas, roubar informações ou lançar ciberataques coordenados.

- In Desafios à Eficácia da Política de Cibersegurança da UE, TCE 2019.

Um bug bounty é um programa que incentiva a procura, descoberta e descrição de bugs em software com base na oferta de uma recompensa. Muitas empresas oferecem uma recompensa deste tipo de modo a impulsionarem a melhoria dos seus produtos e serviços.

- In Techopedia.

O uso intencional de força ou poder físico e psicológico, ameaçador ou real, contra si mesmo, outra pessoa ou contra um grupo ou comunidade que resulte ou tenha uma alta probabilidade de resultar em ferimentos, morte, dano psicológico, mau desenvolvimento, ou privação.

- In World Health Organization - World report on violence and health: summary, 2002.

A fraude de CEO/negócio acontece quando um funcionário de uma empresa é enganado de modo a pagar uma fatura falsa ou a fazer uma transferência não autorizada com a conta da empresa;

CEO Fraud/Comprometimento de Email de CEO/Negócio: "ocorre quando um colaborador autorizado a fazer pagamentos é ludibriado [por alguém que se faz passar pela chefia da organização] no sentido de pagar uma fatura falsa ou realizar uma transferência não autorizada da conta bancária da organização.

- In Europol, Cyberscams; EUROPOL, CEO/Business Email Compromise (BEC) fraud.

Cadeia de bits que comanda as operações de um algoritmo criptográfico. O secretismo destas chaves garante, normalmente, a segurança da transformação (cifragem/decifragem), especialmente quando o algoritmo de transformação é, como desejável, público.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Em criptografia assimétrica, a chave que, do par de chaves possuídas por uma entidade, é apenas por ela conhecida. A chave privada é utilizada pela entidade titular para decifrar uma mensagem de que é a destinatária (mensagem essa que deve ter sido cifrada com a correspondente chave pública) ou para cifrar uma mensagem, como no caso das assinaturas digitais (que o destinatário decifrará com a correspondente chave pública).

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Manipulação audiovisual criada com software barato e acessível (ou nenhum). Falsificações baratas podem ser renderizadas através do Photoshop, semelhantes, recontextualizando imagens.

- In Data & Society.

Termo que conota uma relação com as tecnologias da informação.

- In Tallinn Manual on the International Law Applicable to Cyber Warfare – 2013, citado em NATO CCDCOE.

Aplicar boas práticas do mundo digital.

Por exemplo:
Não ler e-mails de origem desconhecida;
Manter sempre os sistemas autorizados;
Fazer cópias de segurança;
Proteger sistemas com password forte;
Ter os devidos cuidados com a segurança física.

- In Data & Societ.

Ataque realizado através das tecnologias de informação no ciberespaço dirigido contra um ou vários sistemas, com o objetivo de prejudicar a segurança das tecnologias de informação e da comunicação (confidencialidade, integridade e disponibilidade), em parte ou totalmente.

- In Austrian Cyber Security Strategy (2013), citado em NATO CCDCOE.

Ataque realizado através das tecnologias de informação no ciberespaço dirigido contra um ou vários sistemas, com o objetivo de prejudicar a segurança das tecnologias de informação e da comunicação (confidencialidade, integridade e disponibilidade), em parte ou totalmente.

- In Literacy Handbook, CC 2017.

Factos correspondentes a crimes previstos na Lei do Cibercrime e ainda a outros ilícitos penais praticados com recurso a meios tecnológicos, nos quais estes meios sejam essenciais à prática do crime em causa;

- In ENSC 2019-2023; ENISA, Threat Landscape 2019, Lei n.º 109/2009, de 15 de Setembro, que Aprova a Lei do Cibercrime, transpondo para a ordem jurídica interna a Decisão Quadro n.º 2005/222/JAI, do Conselho, de 24 de Fevereiro, relativa a ataques contra sistemas de informação, e adapta o direito interno à Convenção sobre Cibercrime do Conselho da Europa.

Entre os ataques informáticos dirigidos a quem usa serviços bancários online, destacam-se sobretudo o phishing, o smishing e o vishing. O objectivo e o tipo de esquema de burla são muito idênticos, ou seja, o cibercriminoso faz-se passar pelo banco ou outra entidade de confiança e pede informação confidencial à vítima. Esta informação pode passar por dados de acesso (as palavras-passe, por exemplo), dados do cartão (nomeadamente, CVV ou PIN) ou códigos de segurança, autenticação ou autorização (como aqueles que são enviados para o telemóvel, pelo banco, para validação de uma operação que esteja a ser realizada online).
Estes três tipos de cibercrime diferenciam-se pela forma de aceder à vítima e pela maneira como a informação confidencial é pedida. Assim:
• No phishing, o ciberataque é geralmente levado a cabo através de e-mails, os quais podem contar links que redireccionam para páginas falsas com o convite de nelas serem inseridos os dados confidenciais a que o cibercriminoso quer ter acesso. Muitas vezes, o cliente pensa que está mesmo a aceder à página de homebanking do seu banco, pois as páginas falsas para as quais é redireccionado através desses links são extremamente parecidas com as da entidade bancária legítima.
• No smishing, o cibercriminoso recorre ao envio de SMS, mensagens de WhatsApp ou de outras aplicações de mensagens escritas. O esquema depois é em tudo semelhante ao phishing, com links para páginas falsas a solicitar os dados confidenciais.
• No vishing, a fraude é concretizada através de uma chamada telefónica, durante a qual o burlão se faz passar por alguém do banco ou de uma empresa da confiança da vítima, alegando algum tipo de problema ou necessidade de obtenção de dados pessoais e confidenciais, como dados do cartão ou códigos de segurança. De realçar que, em regra, o criminoso alega que esses dados são necessários com muita rapidez para a resolução do dito problema. É precisamente este carácter de urgência que leva, muitas vezes, a vítima a ser enganada, já que acaba por agir sem pensar. Deve-se ter em atenção que nenhum bancosolicita dados confidenciais, como palavras-passe, PIN ou códigos de segurança, autorização ou autenticação numa chamada telefónica. Em caso de dúvida de que realmente alguma coisa possa estar a acontecer com a conta, cartão ou homebanking, deve-se desligar a chamada e ligar de imediato para o telefone oficial da linha de apoio do banco ou para o balcão ou gestor de conta.

- In https://www.publico.pt/2023/01/05/estudiop/noticia/cibercrime-protege-2033591, jan/2023.

Saiba mais aqui.

O que são:
Em geral, os cibercriminosos caracterizam-se por ser indivíduos ou grupos que agem ilicitamente com o objetivo de obter ganhos financeiros. Com frequência, a sua constituição configura formas de crime organizado online. Poderá, em caso pontuais, ocorrer uma comunhão de interesses ou de oportunidades entre Estados e cibercriminosos, passando os segundos a atuar como proxies operacionais a favor de um Estado diretor.

O Cibercriminoso é aquele que pratica estes crimes; contudo, no âmbito dos atores de ameaças, esta designação é atribuída àquele que pratica estes crimes com intenções sobretudo económicas.

O que fazem:
No ciberespaço de interesse nacional, os cibercriminosos tiveram e continuam a ter uma atividade relativamente intensa.
As suas ações procuram, em particular, a cifragem extorsionista de sistemas e de infraestruturas informáticas, a captura de dados sensíveis, como dados bancários e de credenciais de acesso a contas, e a realização de fraudes/burlas, além de outras metodologias de extorsão. O phishing (bem como as variantes de smishing e vishing) é um dos vetores de ataque mais utilizados por estes agentes para a implementação de acessos remotos encobertos ou para a captura de informação sensível, dirigindo-se sobretudo a cidadãos ou utilizadores profissionais e utilizando temáticas diversas, como as ligadas à Banca ou a Serviços Postais.
Alguns destes ataques resultam em comprometimentos de contas, nomeadamente quando são capturadas credenciais de acesso. O ransomware também é um dos resultados das ações destes agentes de ameaça com cada vez maior impacto. Este malware, que cifra a informação das vítimas sob um pedido de resgate para a sua recuperação, pode ser instalado em dispositivos através de emails ou mediante a exploração de vulnerabilidades nos sistemas, por exemplo. Esta ameaça atinge principalmente organizações e não indivíduos.

Um outro tipo de prática muito comum entre os cibercriminosos é a fraude e a burla online. Muitos dos casos registados pelo Gabinete Cibercrime, pela CNPD, pela DGPJ ou pela APAV, por exemplo, são deste tipo. Em geral, implicam um dano patrimonial na vítima e uma simulação fraudulenta de uma marca ou de uma pessoa (por exemplo, um comprador ou um vendedor), que conduz a vítima a um engodo (por exemplo, a transferência de dinheiro para o agente criminoso). É notório um crescente número de casos relacionados com páginas falsas de marcas conhecidas ou de investimentos em criptomoedas.
Durante 2021, verificou-se ainda que estes agentes de ameaça intensificaram as suas ações de reconhecimento de vulnerabilidades nas infraestruturas nacionais para posterior exploração e realização de intrusões e/ou a instalação de malware, algo a que não é alheia a identificação de diversas vulnerabilidades importantes em 2021.

Quem atingem:
Os cibercriminosos, em Portugal, atingem sobretudo os setores da Banca, da Saúde e da Educação/Ensino Superior, bem como as PME e os cidadãos em geral.

- In Relatório de Cibersegurança em Portugal - Riscos & Conflitos - CNCS - jun/2022.

Ciberdefesa consiste na atividade que visa assegurar a defesa nacional no, ou através do, ciberespaço.

- In ENSC 2019-2023.

Uma medida proactiva para detetar ou obter informações relativas a ciber intrusões, ciber ataques ou operações cibernéticas iminentes, ou para determinar a origem de uma operação que envolve o lançamento de uma contra-operação cibernética, preemptiva ou preventiva, contra a fonte.

- In Compilation of Existing Cybersecurity and Information Security Related Defintions, Open Technology Institute New America (2013), citado em NATO CCDCOE.

Uma medida para detetar e mitigar intrusões e os efeitos de ataques cibernéticos que não envolve o lançamento de uma contra-operação cibernética, preemptiva ou preventiva, contra a fonte. Exemplo das medidas de defesa passiva são firewalls, patches, software antivírus e ferramentas de forenses digitais.

- In Tallinn Manual on the International Law Applicable to Cyber Warfare – 2013, citado em NATO CCDCOE.

Consiste no ambiente complexo, de valores e interesses, materializado numa área de responsabilidade coletiva, que resulta da interação entre pessoas, redes e sistemas de informação.

- In ENSC 2019-2023.

A noção de espaço criada na mente quando se interage com tecnologia de computadores.

- In CNCS.

O sentimento de tempo e espaço captado pelos nossos sentidos criado pelo interface homem máquina.

- In CNCS.

Esta ameaça geralmente tem como alvo os setores industriais, as infraestruturas críticas e estratégicas em todo o mundo, incluindo entidades governamentais, transportes, provedores de telecomunicações, empresas de energia, hospitais e bancos. Foca-se na geopolítica, no furto de segredos comerciais e de Estado, de direitos de propriedade intelectual e de informações proprietárias em campos estratégicos.

- In ENISA, Threat Landscape 2018.

Consiste no conjunto de medidas e ações de prevenção, monitorização, deteção, reação, análise e correção que visam manter o estado de segurança desejado e garantir a confidencialidade, integridade, disponibilidade e não repúdio da informação, das redes e sistemas de informação no ciberespaço, e das pessoas que nele interagem.

- In ENSC 2019-2023.

Existe cada vez mais uma convergência entre terrorismo e ciberespaço. Ao mesmo tempo que têm como motivação a realização de ciberataques, os Ciberterroristas têm como objetivos o recrutamento e a monetarização. Não obstante este uso instrumental do ciberespaço, o principal objetivo deste agente de ameaça, em última análise, é a realização de ciberataques por razões típicas de grupos terroristas.

- In ENISA, Threat Landscape 2018.

Algoritmo de complexidade variável que permite a transformação de um texto claro num texto ilegível, inviabilizando a leitura do texto original por pessoas que desconheçam o algoritmo.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

A parte mais importante de uma botnet é a designada infraestrutura de comando e controlo (C&C). Esta infraestrutura é constituída por bots e pela entidade de controlo que tanto pode ser centralizada como distribuída. São usados pelo bot master um ou mais protocolos de comunicação para comandar os computadores das vítimas e coordenar as suas ações (…) A infraestrutura de C&C serve tipicamente como a única forma de controlar bots numa botnet.

- In ENISA, Botnets: Detection, Measurement, Disinfection & Defence, 2011.

A aplicação de atributos de segurança no hardware, firmware e software de um sistema de computador para proteção ou prevenção da perda de integridade, disponibilidade dos sistemas, a divulgação não autorizada, manipulação, modificação/eliminação de informação e negação de serviço.

- In Regras de Segurança da Agência Espacial Europeia n.º ESA/REG/004, de 18 de janeiro de 2012.

Consciencializar os grupos de utilizadores de sistemas de comunicação e informação para os riscos, informar as autoridades de aprovação desses riscos e reportá-los às autoridades operacionais.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

Associação constituída por representantes de várias áreas relacionadas com o desenvolvimento da Internet. A W3C define e cria especificações, linhas de ação, software e ferramentas para a World Wide Web, incluindo padrões e normas como HTML ou RSS, de forma a garantir o crescimento da Internet a longo prazo.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Pacote de informação enviado de um servidor Web para um programa de navegação, e depois reenviado sempre que este aceda ao servidor.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Qualquer mensagem textual, vocal, sonora ou gráfica enviada através de uma rede pública de comunicações que possa ser armazenada na rede ou no equipamento terminal do destinatário até que este a recolha.

- In Lei n.º 46/2012, de 29 de agosto que transpõe a Diretiva n.º 2009/136/CE, na parte que altera a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, procedendo à primeira alteração à Lei n.º 41/2004, de 18 de agosto, e à segunda alteração ao Decreto-Lei n.º 7/2004, de 7 de janeiro.

Atos criminosos cometidos cometidos on-line utilizando redes de comunicação eletrónicas e sistemas de informação.

- In Comissão Europeia.

Aplicação de algoritmos matemáticos que cifram a informação, entre uma origem e um destino, para garantir atributos de segurança: autenticação, confidencialidade, integridade e não repúdio.

- In https://www.cncs.gov.pt/pt/glossario/#linhasobservacao, mai/2023.

Um subconjunto das moedas virtuais. Uma forma de dinheiro digital não regulamentada, geralmente emitida e controlada pelos seus desenvolvedores, usada e aceite entre os membros de uma comunidade virtual específica.

- In Banco Central Europeu, Virtual Currency Schemes, 2012.

A parte mais importante de uma botnet é a designada infraestrutura de comando e controlo (C&C). Esta infraestrutura é constituída por bots e pela entidade de controlo que tanto pode ser centralizada como distribuída. São usados pelo bot master um ou mais protocolos de comunicação para comandar os computadores das vítimas e coordenar as suas ações (...) A infraestrutura de C&C serve tipicamente como a única forma de controlar bots numa botnet.

- In ENISA, Botnets: Detection, Measurement, Disinfection & Defence.

Bullying realizado através da Internet ou telemóvel, envolvendo mensagens ofensivas ou maliciosas, emails, chats ou comentários, ou mesmo, em casos extremos, websites construídos com intenções maliciosas contra indivíduos ou certos grupos de pessoas.

- In Richardson et al., Internet Literacy Handbook.

Agente de ameaça que realiza ações como sextortion ou cyberbullying contra vítimas adolescentes e jovens adultos ou com nível semelhante de vulnerabilidade, provocando danos psicológicos e por vezes físicos nas vítimas.
A extrapolação das ações deste tipo para outros contextos permite classificar este tipo de agente como alguém que realiza ações que visam meramente a disrupção e a perturbação de um alvo, sem que existam motivos económicos ou ideológicos claros ou expressos.

- In ENISA, Threat Landscape 2020 (adaptação de CNCS).

Os dados informáticos relacionados com uma comunicação efectuada por meio de um sistema informático, gerados por este sistema como elemento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o trajeto, a hora, a data, o tamanho, a duração ou o tipo do serviço subjacente.

- In Convenção de Budapeste sobre o Cibercrime (23.11.2001) e Lei do Cibercrime n.º 109/2009, de 15 de setembro.

Significa qualquer representação de factos, de informações ou de conceitos sob uma forma susceptível de processamento num sistema de computadores, incluindo um programa apto a fazer um sistema informático executar uma função;

Qualquer representação de factos, informações ou conceitos sob uma forma susceptível de processamento num sistema informático, incluindo os programas aptos a fazerem um sistema informático executar uma função;

Uma representação de factos, informações ou conceitos de forma adequada para o tratamento num sistema de informação, incluindo um programa que permite que um sistema de informação execute uma dada função.

- In Convenção de Budapeste sobre o Cibercrime (23.11.2001); Lei do Cibercrime n.º 109/2009, de 15 de setembro; Diretiva n.º 2013/40/UE do Parlamento Europeu e do Conselho de 12 de agosto de 2013 relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro n.º 2005/222/JAI do Conselho.

Conteúdos publicamente acessíveis que estão hospedados em sites cujo endereço IP está oculto, mas ao qual qualquer um pode aceder, desde que conheça o endereço. Inclui conteúdos privados trocados numa rede fechada de computadores para partilha de arquivos.

- In Paganini, P. (2017) CTI – EU | Bonding EU Cyber Threat Intelligence: Digging into the Dark Web.

Termo utilizado para designar um incidente resultante de uma fuga ou exposição de dados (incluindo informação sensível relacionada com organizações ou simples detalhes pessoais de indivíduos, e.g., informação médica). Relaciona-se diretamente com os resultados de outras ciberameaças.

- In ENISA, Threat Landscape 2018.

Falsificações profundas, vídeos falsos realizados com recurso à inteligência artificial e à aprendizagem automática.

- In Desafios à Eficácia da Política de Cibersegurança da UE, TCE 2019.

Alteração ilícita de páginas web.

- In ENISA, Abordagem Gradual de Criação de uma CSIRT.

A aplicação de um conjunto de medidas de segurança organizadas como múltiplas camadas de defesa;

Aplicação de uma série de medidas de segurança organizadas em múltiplos estratos de defesa;

Medidas de proteção desenhadas, utilizadas e implementadas na arquitetura de componentes de sistemas de comunicação e informação, em produtos de segurança e em dados, à extensão possível, de modo a que haja múltiplas linhas de defesa.

- In Regras de Segurança da Agência Espacial Europeia. N.º ESA/REG/004 de 18 de janeiro de 2012; Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE; Diretiva Primária da OTAN sobre a segurança de sistemas de comunicação e informação n.º AC/35-D/2004-REV3, de 15 de novembro de 2013.

Toda a informação comprovadamente falsa ou enganadora que é criada, apresentada e divulgada para obter vantagens económicas ou para enganar deliberadamente o público, e que é suscetível de causar um prejuízo público.

- In ERC, A Desinformação - Contexto Europeu e Nacional.

Em tecnologias da informação e da comunicação, capacidade de uma unidade funcional permanecer em estado de realizar uma determinada função dentro de condições determinadas, num dado instante ou num dado intervalo de tempo, supondo que estão assegurados os necessários meios exteriores.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Grupo de computadores e dispositivos de uma rede, em particular da Internet, que são administrados como uma unidade, com regras e procedimentos comuns, e que partilham um nome comum (nome do domínio).

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Endereço de 32 bits de um computador ou outro dispositivo ligado à Internet, representado habitualmente por uma notação decimal de quatro grupos de algarismos separados por pontos.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Endereço pelo qual documentos e outros recursos são conhecidos e acedidos na Internet com a ajuda de um programa de navegação. Integra carateres identificadores do protocolo, do domínio e do caminho para atingir o recurso e apresenta-se com a seguinte estrutura: id. do protocolo://nome do domínio/nome do caminho/nome do recurso.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

O ato de enganar um indivíduo no sentido de este revelar informação sensível, assim obtendo-se acesso não autorizado ou cometendo fraude, com base numa associação com este indivíduo de modo a ganhar a sua confiança.

- In Traduzido de NIST Digital Identity Guidelines, 2017.

Ciberataques dirigidos contra a confidencialidade de um sistema de tecnologias da informação.

- In Austrian Cyber Security Strategy (2013), citado em NATO CCDCOE.

Enquadramento nacional que estabelecerá os objetivos estratégicos e prioridades em matéria de segurança das redes e dos sistemas de informação a nível nacional.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.(Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

A ENSC 2019-2023 assenta em três objetivos estratégicos: maximizar a resiliência, promover a inovação e gerar e garantir recursos. As implicações e necessidades associadas a cada um dos objetivos estratégicos permitem definir uma orientação geral e específica, traduzida em seis eixos de intervenção, que enformam linhas de ação concretas destinadas a reforçar o potencial estratégico nacional no ciberespaço.

- In Estratégia Nacional de Segurança do Ciberespaço 2019-2023.

E-skimming: skimming realizado por via eletrónica – o skimming “envolve a duplicação da faixa magnética de um cartão bancário, frequentemente através de dispositivos escondidos em terminais ATM”. Por via eletrónica, atinge-se o mesmo fim através de métodos de pagamento online.
(Europol, Payment Fraud e Europol Internet Organized Crime Thread Assessment)

- In Relatório de Cibersegurança em Portugal - Riscos & Conflitos - CNCS - jun/2022.

Arquitectura muito utilizada para conexão física de redes locais, desenvolvida pela Xerox. Uma rede Ethernet usa uma topologia em barramento ou em estrela e suporta um tráfego de alto débito.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

A expressão amplamente difundida de “fake news” é enganadora, tendo aliás sido inicialmente utilizada para denegrir o trabalho dos meios de comunicação social. Uma notícia, por definição, não é falsa. Falsas são as narrativas que, embora anunciadas como notícias e contendo partes de textos copiados de jornais ou de sites do mesmo género, integram conteúdos ou informações falsas, imprecisas, enganadoras, concebidas, apresentadas e promovidas para intencionalmente causar dano público ou obter lucro.

- In ERC 2019.

Qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico.

- In Lei da Proteção de Dados Pessoais n.º 67/98, de 26 de outubro.

Em tecnologias da informação e da comunicação, sistema informático concebido para proteger uma rede de computadores do acesso externo de utilizadores não autorizados.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Relacionado com a criptografia, um ataque que envolve tentar todas as combinações possíveis para encontrar uma que combine com a correta.

- In De-Identification of Personal Information, 2015

Qualquer entidade pública ou privada que faculte aos utilizadores dos seus serviços a possibilidade de comunicar por meio de um sistema informático;

Qualquer outra entidade que processe ou armazene dados informáticos em nome do referido serviço de comunicação ou dos utilizadores desse serviço;

Qualquer entidade, pública ou privada, que faculte aos utilizadores dos seus serviços a possibilidade de comunicar por meio de um sistema informático, bem como qualquer outra entidade que trate ou armazene dados informáticos em nome e por conta daquela entidade fornecedora de serviço ou dos respectivos utilizadores.

- In Convenção de Budapeste sobre o Cibercrime (23.11.2001); Lei do Cibercrime n.º 109/2009, de 15 de setembro.

É o processo pelo qual um indivíduo faz amizade com um jovem para contato sexual on-line, às vezes com o envolvimento de webcams que podem permitir a ´partilha´ da exploração entre redes de abusadores de crianças e, às vezes, levando a uma reunião física para cometer relações de abusos sexuais.

- In UNICEF, Child Online Safety: Challenges and Global Strategies, 2011.

Atores de ameaças “orientados a realizar ações de protesto contra decisões políticas/geopolíticas que afetam matérias nacionais e internacionais.

O que são:
Os hacktivistas são grupos organizados, de modo formal ou informal, que desenvolvem atividades no ciberespaço com o objetivo de realizar afirmações ideologicamente orientadas. Portanto, não atuam com objetivos económicos ou geopolíticos. Por vezes, confundem-se nas suas motivações com aspetos ligados à reputação e exibição, alguns deles mais próprios da categoria de cyber-offender.

O que fazem:
Em Portugal, em 2021, os hacktivistas mantêm um volume de atividade irregular, cuja intensidade depende muito do ciclo de vida de cada novo grupo. As suas ações conduziram sobretudo à realização de defacements com o fim de interferir com a reputação online de instituições consideradas relevantes para a transmissão de uma mensagem. Algumas das suas atividades podem também procurar a exfiltração e a exposição de dados. Tradicionalmente, estes agentes de ameaça costumam usar a negação de serviço distribuída com o fim de prejudicar a reputação das instituições alvo.

Quem atingem:
Os alvos mais comuns dos hacktivistas são a Administração Pública e os Órgãos de Soberania, bem como entidades ou pessoas com peso institucional em função da afirmação ideológica que pretendem realizar.

Em Portugal, os tipos de agentes de ameaça mais relevantes são os cibercriminosos e os atores estatais, seguidos da ameaça interna negligente, dos cyber-offenders e dos hacktivistas.
Os cibercriminosos utilizam em particular o phishing/smishing/vishing, o ransomware e a fraude/burla online como métodos para atingir os seus objetivos; os atores estatais, em Portugal, realizam ataques de phishing e spear phishing e procuram o comprometimento de contas, bem como a exploração de vulnerabilidades para a realização de intrusões.

- In ENISA, Threat Landscape 2018.

Totalidade ou parte dos componentes físicos de um sistema de processamento de dados.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Referência de algum ponto de um hipertexto para um ponto do mesmo ou de outro documento; uma tal referência é normalmente especificada de uma forma diferenciada do resto do hipertexto (por exemplo, usando palavras sublinhadas).

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Linguagem de marcação de hipertexto que possibilita a preparação de documentos com gráficos e hiperligações, para visualização na World Wide Web (WWW) ou em sistemas compatíveis.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Identidade digital é a representação única de um sujeito envolvido em uma transação online. Uma identidade digital é sempre única no contexto de um serviço digital, mas não precisa necessariamente identificar exclusivamente o sujeito em todos os contextos.

- In National Insititute of Standards and Technology, 2017.

Protocolo que permite que um utilizador de correio eletrónico aceda à sua conta num servidor remoto.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Um evento com um efeito adverso real na segurança das redes e dos sistemas de informação;

Ações tomadas através da utilização de uma rede de computadores que resultam num efeito atual ou potencialmente adverso sobre um sistema de informação e/ou a informação aí armazenada.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União; Glossary of Key Information Security Terms, eds. Richard Kissel, National Institute for Standards and Technology, US Deparment of Commerce, NISTIR 7298, Revision 2, - 2015 July, citado em NATO CCDCOE.

Conhecimento que pode ser comunicado sob qualquer forma;

Dados que foram interpretados ou organizados de forma coerente e posteriormente comunicados sendo então possível tirar conclusões do seu significado.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União; Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Ramo da ciência e da tecnologia que trata do processamento automático de informação efetuado por meio de computadores.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

A aplicação de medidas de segurança para proteger a informação processada, armazenada ou transmitida em Sistemas de Tecnologia da Informação e Comunicações contra a perda de confidencialidade, integridade ou disponibilidade, acidental ou intencional , e para prevenir a perda de integridade ou disponibilidade dos sistemas.

- In Regras de Segurança da Agência Espacial Europeia, n.º ESA/REG/004, de 18 de janeiro de 2012.

Refere-se a quaisquer sistemas de tecnologias da informação que suportem ativos fundamentais e serviços das infraestruturas nacionais.

- In Compilation of Existing Cybersecurity and Information Security Related Defintions, Open Technology Institute New America – 2011, citado em NATO CCDCOE.

A infra-estrutura crítica situada em território nacional cuja perturbação ou destruição teria um impacto significativo em, pelo menos, mais um Estado membro da União Europeia, sendo o impacto avaliado em função de critérios transversais, incluindo os efeitos resultantes de dependências intersectoriais em relação a outros tipos de infra-estruturas.

- In Decreto-Lei n.º 62/2011, de 9 de maio, que estabelece os procedimentos de identificação e de protecção das infra-estruturas essenciais para a saúde, a segurança e o bem-estar económico e social da sociedade nos sectores da energia e transportes e transpõe a Directiva n.º 2008/114/CE do Conselho, de 8 de dezembro.

A componente, sistema ou parte deste situado em território nacional que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas funções.

- In Decreto-Lei n.º 62/2011, de 9 de maio, que estabelece os procedimentos de identificação e de protecção das infra-estruturas essenciais para a saúde, a segurança e o bem-estar económico e social da sociedade nos sectores da energia e transportes e transpõe a Directiva n.º 2008/114/CE do Conselho, de 8 de dezembro.

Conjunto de sistemas (hardware e software) e serviços que oferecem a base para a organização e comunicação de dados entre dois ou mais sistemas de computadores.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Raduz-se no abuso de forma involuntária ou intencional, de qualquer atual colaborador ou ex-colaborador, sócio ou fornecedor, que tenha, ou tenha tido, acesso aos ativos digitais da organização. Os três tipos mais comuns de ameaças internas são: insider malicioso, que age intencionalmente; insider negligente, que é desleixado ou não está em conformidade com as políticas e instruções de segurança; e insider comprometido, que age involuntariamente como instrumento de um atacante real.

- In ENISA Threat Landscape 2018.

Garantia de que os dados ou a informação não sejam alterados de modo não autorizado.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

O acto destinado a captar informações contidas num sistema informático, através de dispositivos electromagnéticos, acústicos, mecânicos ou outros.

- In Lei do Cibercrime n.º 109/2009, de 15 de setembro.

Forma de tratamento que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsáveis, ou mantidos pelo mesmo responsável com outra finalidade.

- In Lei da Proteção de Dados Pessoais n.º 67/98, de 26 de outubro.

Rede de área alargada que é uma confederação de redes de computadores das universidades e de centros de pesquisa, do Governo, do comércio e da indústria, com base no protocolo TCP/IP. Proporciona acesso a sítios Web, correio electrónico, bases de dados, fóruns de discussão, etc.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

A extensão da conectividade de rede e capacidade de computação para objetos, dispositivos, sensores e outros artefactos que normalmente não são considerados computadores.

- In The Internet of Things: Na Overview, The Internet Society, 2015.

Rede corporativa baseada no protocolo TCP/IP e acessível apenas aos membros ou colaboradores de uma organização, ou a outros desde que autorizados.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Produto de hardware ou software que recolhe e analisa informação de várias áreas num computador ou rede de modo a identificar possíveis falhas de segurança, que incluem intrusões (ataques a partir do exterior da organização) e má utilização (ataques a partir do interior da organização).

- In NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms, 2013.

Rede de área local onde a transmissão de sinais é efetuada sem recorrer a fios ou a cabos como, por exemplo, através da utilização de ondas rádio.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Programa que é introduzido num sistema, geralmente de forma encoberta, com a intenção de comprometer a confidencialidade, a integridade ou a disponibilidade dos dados da vítima, de aplicações ou do sistema operativo, ou perturbando a vítima.

Existem muitos tipos de malware, por exemplo:

• O spyware, que é um programa malicioso instalado, sem que a vítima se aperceba, no seu computador ou tablet, e que permite detectar o acesso a uma página de Internet protegida, registando os dados que a vítima aí introduz.
• O ransonware (uma espécie de rapto informático), que é um software malicioso criado para deixar a vítima sem acesso aos ficheiros do seu computador. O cibercriminoso depois pedirá dinheiro (o “resgate”) para devolver o acesso aos referidos arquivos.

- In NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms.

Um conjunto de melhores práticas para diagnóstico e avaliação do grau de maturidade de uma organização, no que respeita à aptidão para o desenvolvimento de software. Neste modelo faz-se uma avaliação contínua, identificação de problemas e ações corretivas, dentro de uma estratégia de melhoria dos processos.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Equipamento que tem como funções fundamentais a modulação, a transmissão e a desmodulação de sinais.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Um serviço digital que permite aos utilizadores consultarem, em princípio, todos os sítios web, ou sítios web numa determinada língua, com base numa pesquisa sobre qualquer assunto, sob a forma de uma palavra-chave, de uma frase ou de outros dados, e que responde fornecendo ligações onde podem ser encontradas informações relacionadas com o conteúdo solicitado.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

Autenticação que utiliza dois ou mais fatores de modo atingir a autenticação. Estes fatores podem incluir: (i) algo que sabemos (e.g. password/PIN); (ii) algo que possuímos (e.g. dispositivo de criptográfico de autenticação); ou (iii) algo que somos (e.g. biométrico).

- In Traduzido de NIST IR 7298 Revision 2, Glossary of Key Information Security Terms.

Em engenharia de software, requisitos obrigatórios utilizados e impostos para atingir uma abordagem disciplinada e uniforme no desenvolvimento de software.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Representa uma efetiva observação específica que ocorreu no domínio ciber. As propriedades detalhadas desta observação são específicas e não ambíguas.

- In STIX.

Uma entidade pública ou privada pertencente a um dos tipos referidos no anexo II da Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, e que cumpre os critérios previstos no n.º 2 do artigo 5.º, da mesma Diretiva.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

Sequência de caracteres ou palavras que um sujeito apresenta a um sistema, como informação de autenticação.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

É um termo de análise da Web que se refere a cada vez que uma página da Web é carregada com sucesso no explorador da Web de um utilizador, aumentando a contagem total de visualizações da página e acumulação de likes [gostos].

- In Techopedia.

Uso de meios técnicos para redirecionar os utilizadores para páginas web falsas disfarçadas de páginas legítimas de modo a que esses utilizadores partilharem os seus dados pessoais.

- In NIST (2017) NIST Special Publication 800-44 Version 2 - Guidelines on Securing Public Web Servers.

Mecanismo de elaboração de mensagens que usam técnicas de engenharia social de modo que o alvo seja ludibriado ‘mordendo o isco’. Mais especificamente, os atacantes tentam enganar os recetores de emails ou mensagens par que estes abram anexos maliciosos, cliquem em URL inseguros, revelem as suas credenciais através de páginas de phishing aparentemente legítimas [pharming], façam transferências de dinheiro, etc.

- In ENISA, Threat Landscape 2018.

Pessoa que explora as falhas da segurança de um sistema com o intuito de violar a sua integridade, destruindo ou alterando a informação ali residente, ou ainda de copiar fraudulentamente os seus ficheiros.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

A infraestrutura tecnológica constituída por um conjunto de aplicações, meios e serviços informáticos necessários ao funcionamento dos procedimentos eletrónicos de contratação pública nacional, sobre a qual se desenrolam os referidos procedimentos.

- In Lei n.º 96/2015, de 17 de agosto, que regula a disponibilização e a utilização das plataformas eletrónicas de contratação pública e transpõe o artigo 29.º da Diretiva n.º 2014/23/UE, o artigo 22.º e o anexo IV da Diretiva n.º 2014/24/UE e o artigo 40.º e o anexo V da Diretiva n.º 2014/25/CE, do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014.

Conjunto de orientações ou diretrizes relativas à utilização ou divulgação de informação, tais como as respeitantes à privacidade, aos direitos de cópia e à propriedade intelectual. A sua aplicação ao meio digital coloca novos desafios, tanto ao nível da redefinição da política como da sua aplicabilidade e do seu controlo.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Zona de acesso público abrangida por um nó de uma rede de área local sem fios (WLAN) que fornece ligação à Internet.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Uma estrutura de rede que permite a interligação de mais de dois sistemas autónomos independentes, sobretudo a fim de facilitar a troca de tráfego na Internet; um ponto de troca de tráfego só interliga sistemas autónomos; um ponto de troca de tráfego não implica que o tráfego na Internet entre um par de sistemas autónomos participantes passe através de um terceiro sistema autónomo, não altera esse tráfego nem interfere nele de qualquer outra forma.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

Os anúncios pop-up são uma forma de publicidade online focada na atração de tráfego da Web. Geralmente gerados numa nova janela do explorador com a ajuda de JavaScript ou Adobe Flash.

- In Techopedia.

No caso de um programa informático, capacidade do programa poder ser executado em diferentes computadores com nenhumas ou poucas alterações.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Mensagem ou conteúdo publicado numa rede social, num fórum ou num blogue.

- In Dicionário lexico online.

Uma pessoa coletiva que presta um serviço digital.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

Uma entidade que presta serviços de DNS na Internet.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

Característica de segurança de um sistema de informação que permite definir quais os dados que podem, ou não, ser acedidos por terceiros.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Os privilégios e autorizações requeridos para o desempenho de determinada tarefa ou cumprimento de dever.

- In Diretiva Primária da OTAN sobre a segurança de sistemas de comunicação e informação n.º AC/35-D/2004-REV3, de 15 de novembro de 2013.

Todo o processo de identificação, controlo e minimização de eventos incertos que tenham a potencialidade de afetar os recursos do sistema;

Processos de gestão de riscos de segurança aplicados para monitorizar, reduzir, eliminar, eviatr ou aceitar riscos;

Todo o processo de identificação, controlo e minimização de acontecimentos indeterminados que possam afetar a segurança de determinada organização ou qualquer dos sistemas por ela utilizados. Este processo abarca todas as atividades relacionadas com o risco, designadamente avaliação, tratamento, aceitação e comunicação.

- In Diretiva INFOSEC da OTAN sobre a gestão de sistemas de comunicação e informação, n.º AC/35-D/2005-REV2, de 10 de outubro de 2010; Diretiva Primária da OTAN sobre a segurança de sistemas de comunicação e informação n.º AC/35-D/2004-REV3, de 15 de novembro de 2013; Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE e Decisão (UE, Euratom) n.º 2015/444 da Comissão de 13 de março de 2015 relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

A forma final ou intermédia de qualquer produto, composto por um substrato que inclua uma camada de material semicondutor e constituído por uma ou várias camadas de matérias condutoras, isolantes ou semicondutoras, segundo uma disposição conforme a uma configuração tridimensional e destinada a cumprir, exclusivamente ou não, uma função electrónica.

- In Lei do Cibercrime n.º 109/2009, de 15 de setembro.

Propriedade que deriva do trabalho da mente ou do intelecto, especificamente uma ideia, uma invenção, um processo, um programa, uns dados, uma fórmula ou uma aplicação.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Implementação de medidas para proteger dados pessoais e sensíveis de acessos públicos não autorizados, e para controlar o fluxo desses dados

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Em tecnologias da informação e da comunicação, conjunto das convenções e regras que devem ser seguidas no intercâmbio de dados entre computadores.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Protocolo para permitir e controlar a cópia de ficheiros, normalmente via Internet.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Protocolo utilizado para transferência de páginas Web de hipertexto: é o protocolo de comunicação da World Wide Web (WWW).

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Versão segura do protocolo HTTP. Foi criada pela Netscape Communications Corporation para fornecer autenticação e comunicação cifrada e é usada no comércio electrónico.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Protocolo que permite que um utilizador de correio eletrónico aceda à sua conta num servidor remoto.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Protocolo da família TCP/IP que controla a circulação de dados na Internet, fragmentando-os na origem sob a forma de pacotes de comprimento variável que incluem o endereço do destinatário, e reunindo-os na chegada.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Implementação do protocolo IP que permite que qualquer tipo de equipamento se conecte à Internet de forma individualizada, adquirindo um endereço composto por 4 grupos de até 3 dígitos, separados por um ponto.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Implementação do protocolo IP que vai permitir que qualquer tipo de equipamento se conecte à Internet de forma individualizada, adquirindo um endereço composto por 8 grupos de até 4 caracteres do sistema hexadecimal, separados por dois pontos.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Versão do protocolo normalizado POP para receção de correio eletrónico. Trata-se de um protocolo cliente-servidor que permite ao cliente recuperar as mensagens de correio eletrónico recebidas e guardadas num servidor da Internet.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Norma de facto que rege a transmissão de correio eletrónico através da Internet. A maioria dos sistemas de correio eletrónico na Internet usam o protocolo SMTP para enviar mensagens de um servidor para outro, podendo as mensagens ser recuperadas por um cliente usando, por exemplo, o protocolo POP3.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Procolo da autoria da Netscape Communications Corporation, que assegura a confidencialidade dos dados trocados entre um programa de navegação e um servidor Web.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Conjunto dos protocolos de comunicação usados na Internet para gerir a circulação de dados na rede, fragmentando a informação na origem sob a forma de pacotes de dados e reunindo-a novamente no destino, assim como controlando eventuais erros de transmissão.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Tipo de malware que permite que “um atacante se apodere dos ficheiros e/ou dispositivos de uma vítima, bloqueando a possibilidade de esta poder aceder-lhes. Para a recuperação dos ficheiros, é exigido ao proprietário um resgate em criptomoedas;

É uma espécie de rapto informático, em que um software malicioso é criado para deixar a vítima sem acesso aos ficheiros do seu computador.

- In ENISA, Threat Landscape 2018.

Conjunto formado por entidades e as suas interconexões. Em topologia de rede ou numa estrutura abstrata, as entidades interconectadas são pontos e as interconexões são linhas num esquema; numa rede de computadores, as entidades interconectadas são computadores ou equipamentos de comunicação de dados e as interconexões são ligações de dados.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Sub-rede que, numa rede de computadores, conecta nós de extremidade ou outras sub-redes e que se caracteriza pela comunicação de dados a alta velocidade.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Um dispositivo ou um grupo de dispositivos interligados ou associados, um ou mais dos quais efetuam o tratamento automático de dados digitais com base num programa.

- In https://www.cncs.gov.pt/pt/glossario/#linhasobservacao, mai/2023.

Uma rede de comunicações eletrónicas na aceção do artigo 2º, alínea a), da Diretiva n.º 2002/21/CE, do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações electrónicas (directiva-quadro); b) Um dispositivo ou um grupo de dispositivos interligados ou associados, um ou mais dos quais efetuam o tratamento automático de dados digitais com base num programa; ou c) Os dados digitais armazenados, tratados, obtidos ou transmitidos por elementos indicados nas alíneas a) e b) tendo em vista a sua exploração, utilização, proteção e manutenção.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

Rede virtual de comunicação privada que utiliza uma infraestrutura pública de telecomunicações para transmitir dados que são protegidos devido à utilização de técnicas de cifragem ou de encapsulação.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

São plataformas usadas para criar ligações sociais entre pessoas que partilham interesses ou atividades similares. Este sistema web providencia uma variedade de meios para que os utilizadores interajam, tais como chat, mensagem, email, vídeo, chat de voz, partilha de ficheiros, blogging, grupos de discussão, etc.

- In Literacy Handbook, CC 2017.

Uma entidade que administra e opera o registo de nomes de domínio da Internet no contexto de um domínio de topo específico.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

Capacidade de adaptação rápida e/ou recuperação de qualquer tipo de disrupção, para permitir a continuidade das operações a um nível aceitável tendo por base os objetivos de missão e o impacto na segurança.

- In Diretiva Primária da OTAN sobre a segurança de sistemas de comunicação e informação n.º AC/35-D/2004-REV3, de 15 de novembro de 2013.

Possibilidade de uma ameaça específica explorar as vulnerabilidades internas e externas de uma organização ou de um dos sistemas por ela utilizados, causando assim danos à organização e respetivos ativos corpóreos ou incorpóreos. Mede-se pela combinação entre a probabilidade de as ameaças ocorrerem e o respetivo impacto;

Uma circunstância ou um evento, razoavelmente identificáveis, com um efeito adverso potencial na segurança das redes e dos sistemas de informação.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE; Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

A probabilidade de as vulnerabilidades inerentes a sistemas de comunicação e informação serem exploradas por ameaças, levando ao comprometimento dos sistemas.

- In Diretiva INFOSEC da OTAN sobre a gestão de sistemas de comunicação e informação, n.º AC/35-D/2005-REV2, de 18 de outubro de 2010.

Risco que permanece após terem sido aplicadas medidas de segurança, dado que não é possível neutralizar todas as ameaças nem eliminar todas as vulnerabilidades.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

Fraude cometida através do roubo da informação de identificação pessoal, reforçada pela digitalização massiva dos dados pessoais dos indivíduos, o que, grande parte das vezes, inclui informação relacionada com aspetos legais e civis.

- In ENISA Threat Landscape 2018.

Equipamento de interconexão, instalado num nó de uma rede de computadores, que se destina a otimizar a transmissão de dados, determinando qual o melhor caminho que eles devem seguir.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Ataques baseados em pedidos realizados a um sistema com o intuito de descobrir pontos fracos. Também inclui processos de teste para recolha de informações sobre sistemas, serviços e contas. Exemplos: fingerd, consultas DNS, ICMP, SMTP (EXPN, RCPT, etc.), scanning de portos.

- In RNCSIRT, Taxonomia Comum da Rede Nacional de CSIRT.

Indivíduos com poucas competências na realização de ciberataques, mas que, ainda assim, os conseguem realizar através da aquisição de ferramentas de hacking fáceis de adquirir e usar. “Estas ferramentas podem tornar-se meios com muito alcance nas mãos de grupos com poucas capacidades. Além disso, quando se tenta quantificar o conhecimento disponível e poder de ataque dos script kiddies, consegue-se ter um vislumbre de um dos desafios de cibersegurança: jovens com alguma orientação podem tornar-se muito eficientes em ações de hacking.”

- In ENISA, Threat Landscape 2019.

Proteção dos sistemas de informação contra o acesso ou a modificação não autorizados da informação, durante o seu armazenamento, processamento ou transmissão, e contra a negação de serviço a utilizadores autorizados ou o fornecimento de serviço a utilizadores não autorizados, incluindo as medidas necessárias para detetar, documentar e contrariar tais ameaças.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Tomada de um conjunto de medidas de segurança (físicas, lógicas e administrativas) e de medidas de urgência em caso de situações imprevistas, de forma a assegurar a proteção dos bens informáticos de uma organização (hardware, software e dados), assim como a continuidade do serviço.
Esquematicamente pode dizer-se que segurança informática = confidencialidade + integridade + disponibilidade.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

A capacidade das redes e dos sistemas de informação para resistir, com um dado nível de confiança, a ações que comprometam a disponibilidade, a autenticidade, a integridade ou a confidencialidade dos dados armazenados, transmitidos ou tratados, ou dos serviços conexos oferecidos por essas redes ou por esses sistemas de informação, ou acessíveis através deles.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

Conjunto de regras que devem ser respeitadas no acesso a redes de comunicação, na navegação na Web, no uso de palavras-passe e de chaves criptográficas, e nos ficheiros anexados a mensagens de correio electrónico. Habitualmente são integradas num documento que expõe a arquitetura do ambiente de segurança da empresa.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Sextortion: “a prática de forçar alguém a fazer algo, particularmente a realizar atos sexuais [ou a pagar um resgate], através de uma ameaça de publicação de dados ou imagens de natureza íntima ou com cariz sexual da vítima [ameaça que por vezes não corresponde a uma possibilidade efetiva, apresentando-se detalhes técnicos, como a palavra-passe da vítima, de modo a tornar a ameaça mais credível]”.
(Adaptado de Cambridge Advanced Learner's Dictionary & Thesaurus)

- In Relatório de Cibersegurança em Portugal - Riscos & Conflitos - CNCS - jun/2022.

Um serviço digital que permite o acesso a um conjunto modulável e adaptável de recursos computacionais partilháveis.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

Um serviço na aceção do artigo 1.º, n.º 1, alínea b), da Diretiva (UE) n.º 2015/1535 do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, relativa a um procedimento de informação no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação, pertencente a um dos tipos enumerados no anexo III da Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

A disponibilização de certificados qualificados para efeitos de produção de assinaturas eletrónicas qualificadas e de selos temporais de validação cronológica.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

Programa informático que recebe e satisfaz pedidos de outros programas (programas clientes), no mesmo ou noutros computadores. Computador onde corre o programa ou os programas servidores.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

A partilha por parte dos pais de imagens e vídeos das crianças, ou comentários sobre situações engraçadas sobre as suas vidas, nas redes sociais, é designada como sharenting, o termo em língua inglesa que combina partilha (share) e parentalidade.

- In C. & Batista, S. (2019). EU Kids Online.

O shoulder surfing é outra forma de crime cibernético, talvez a mais rudimentar de todas, mas igualmente eficaz. É muito provável que todos já tenhamos espreitado por cima do ombro de um colega de escola para ver o que escrevia nalgum teste… Pois bem, este tipo de crime começa de forma idêntica, mais precisamente quando alguém consegue recolher informação ou dados confidenciais da vítima através de observação directa, por exemplo, em locais com muitas pessoas como os transportes públicos, quando a vítima coloca palavras-passe ou códigos de segurança nos seus dispositivos electrónicos sem saber que está a ser observada;

A prática de espiar o utilizador de uma caixa multibanco ou outro dispositivo eletrónico com o objetivo de obter um número de identificação pessoal, uma password, etc.

- In Dicionário online léxico.

SIM swapping: “ocorre quando um agente malicioso, através de técnicas de engenharia social, adquire controlo sobre o cartão SIM do telemóvel da vítima utilizando dados pessoais furtados.”
(Europol, SIM swapping – a mobile phone scam)

O SIM card swap verifica-se quando alguém recolhe informação pessoal da vítima, directamente ou nas redes sociais, conseguindo fazer-se passar por ela numa loja de comunicações e solicitar uma segunda via do cartão de telemóvel. Esta manobra permite que todas as chamadas e SMS recebidas (como códigos de segurança ou autorização) sejam direccionadas para um cartão de telemóvel que está na posse do cibercriminoso, sem que a pessoa lesada se aperceba.

- In Relatório de Cibersegurança em Portugal - Riscos & Conflitos - CNCS - jun/2022 e https://www.publico.pt/2023/01/05/estudiop/noticia/cibercrime-protege-2033591, jan/2023.

Cartão de circuitos integrados, normalmente com a dimensão de um cartão de crédito, provido de um microprocessador e de memória, capaz de armazenar e atualizar informação sobre o utilizador, permitindo-lhe por exemplo efetuar transações de natureza financeira.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Combinação das palavras SMS e phishing, é a tentativa por atacantes de obter dados pessoais, financeiros ou de segurança por mensagem de texto

- In Europol, Cyberscams.

Significa qualquer dispositivo isolado ou grupo de dispositivos relacionados ou interligados, em que um ou mais de entre eles, desenvolve, em execução de um programa, o tratamento automatizado de dados;

Qualquer dispositivo ou conjunto de dispositivos interligados ou associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, protecção e manutenção.

- In Convenção de Budapeste sobre o Cibercrime (23.11.2001); Lei do Cibercrime n.º Lei 109/2009, de 15 de setembro.

Software de base de um computador destinado a controlar a execução de programas e a comunicação entre dispositivos e programas, assegurando as operações de entrada-saída, a atribuição de recursos aos diferentes processos, o acesso às bibliotecas de programas e aos ficheiros, assim como a compatibilidade dos trabalhos.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Um dispositivo ou grupo de dispositivos interligados ou associados, dos quais um ou mais executam, através de um programa, o tratamento automático de dados informáticos, bem como de dados informáticos armazenados, tratados, recuperados ou transmitidos por esse dispositivo ou grupo de dispositivos, tendo em vista o seu funcionamento, utilização, proteção e manutenção.

- In Diretiva n.º 2013/40/UE do Parlamento Europeu e do Conselho, de 12 de agosto de 2013, relativa a ataques contra os sistemas de informação e que substitui a Decisão-Quadro do Conselho n.º 2005/222/JAI.

Um sistema de nomes distribuídos hierarquicamente numa rede que encaminha pesquisas sobre nomes de domínio;

Sistema hierárquico de nomes na Internet, implementado através de uma base de dados distribuída, cuja principal utilidade é a conversão dos nomes dos domínios, mais fáceis de entender pelos seres humanos, nos endereços IP dos equipamentos que integram a rede.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União; Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Totalidade ou parte dos programas, dos procedimentos, das regras e da documentação associada, pertencentes a um sistema de processamento de informação.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Programas informáticos destinados a perturbar, alterar ou destruir todos ou parte dos módulos indispensáveis ao bom funcionamento de um sistema informático.
Exemplos: vírus, vermes, cavalos de Troia.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Mensagens de correio eletrónico não solicitadas, geralmente enviadas de uma forma massiva e indiscriminada, que, para além do incómodo provocado aos utilizadores do correio, podem comprometer o bom funcionamento dos sistemas informáticos.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Mistificação IP (IP spoofing), que consiste na utilização do endereço IP de outro utilizador; mistificação do domínio (domain spoofing), que significa a utilização de um nome de domínio pertencente a outrém; mistificação do endereço eletrónico (e-mail spoofing), que é a utilização de outro endereço eletrónico que não o próprio do utilizador.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

O spyware, é um programa malicioso instalado, sem que a vítima se aperceba, no seu computador ou tablet, e que permite detectar o acesso a uma página de Internet protegida, registando os dados que a vítima aí introduz.

- In https://www.publico.pt/2023/01/05/estudiop/noticia/cibercrime-protege-2033591, jan/2023.

Integração de métodos, processos de produção, hardware e software, com o objetivo de proporcionar a recolha, o processamento, a disseminação, a visualização e a utilização de informação, no interesse dos seus utilizadores.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Todos os procedimentos de apoio à deteção, análise e contenção de um incidente, e à resposta ao incidente.

- In Diretiva (UE) n.º 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União.

Atenuação, eliminação, redução (mediante uma combinação adequada de medidas técnicas, materiais, organizativas e processuais), transferência ou monitorização do risco.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE.

Técnica usada para atrair o tráfego para um website redirecionando gralhas comuns em termos de pesquisa ou de websites populares. Quem pratica esta atividade pode tentar vender produtos, instalar malware no dispositivo de um utilizador ou até mesmo fazer uma declaração política. A versão extrema do typosquatting é semelhante ao phishing, em que um website impostor imita um website real, proporcionando assim ao utilizador uma falsa impressão de que acedeu ao website correto. O typosquatting também é referido como sequestro de URL.

- In adaptado de Techopedia.

Nível de eficiência de um utilizador na realização de determinadas tarefas num produto, por exemplo um sítio Web ou uma aplicação. A usabilidade pode ser medida objetivamente através de erros de desempenho cometidos e da produtividade alcançada, e subjetivamente através da caracterização das preferências do utilizador em relação à interface.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, armazenados ou de outro modo tratados no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público.

- In RGPD; Lei n.º 46/2012, de 29 de agosto que transpõe a Diretiva n.º 2009/136/CE, na parte que altera a Diretiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de julho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, procedendo à primeira alteração à Lei n.º 41/2004, de 18 de agosto, e à segunda alteração ao Decreto-Lei n.º 7/2004, de 7 de janeiro.

Classe de software malicioso que tem a capacidade de se autorreplicar e ´infetar´ partes do sistema operativo ou de outros programas, com o intuito de causar a perda ou alteração da informação.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Uso de mensagens de voz ou de chamadas telefónicas para roubar identidades e recursos financeiros. O termo resulta da combinação de voice e phishing.

- In adaptado de Techopedia.

Tecnologia através da qual as informações de voz são transmitidas via protocolo IP.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

Insuficiência, seja de que natureza for, que possa ser explorada por uma ou mais ameaças. A vulnerabilidade pode consistir numa omissão ou estar relacionada com uma insuficiência dos controlos no que se refere ao rigor, coerência ou exaustividade destes últimos, podendo ser de natureza técnica, processual, material, organizativa ou operacional;

Fraqueza de um sistema informático, revelada por um exame à sua segurança (por exemplo, devido a falhas na análise, conceção, implementação ou operação), que se traduz por uma incapacidade de fazer frente às ameaças informáticas que pesam sobre ele.

Falha em software ou componentes de hardware que permite que um atacante efetue ações que normalmente não seriam permitidas.

- In Decisão do Conselho n.º 2013/488/EU, de 23 de setembro de 2013, relativa às regras de segurança aplicáveis à proteção das informações classificadas da UE e Decisão (UE, Euratom) n.º 2015/444 da Comissão, de 13 de março de 2015, relativa às regras de segurança aplicáveis à proteção das informações classificadas da EU; Associação para a Promoção e Desenvolvimento da Sociedade de Informação; CERT Carnegie Mellon University.

Abreviatura de ´wireless fidelity´, termo usado para designar determinados tipos de redes locais sem fios.

- In Associação para a Promoção e Desenvolvimento da Sociedade de Informação.

A Convenção Europeia dos Direitos do Homem é um tratado internacional aberto exclusivamente à assinatura dos Estados Membros do Conselho da Europa. A Convenção, que institui o Tribunal e regula o seu funcionamento, contém uma lista de direitos e liberdades que os Estados se comprometem a respeitar.

Trata-se de um importante instrumento de defesa dos direitos humanos de âmbito regional, e o primeiro com carácter legalmente vinculativo após a proclamação da Declaração Universal dos Direitos do Homem (DUDH), a 10 de dezembro de 1948. Portugal aderiu ao Conselho da Europa em 22 de Setembro de 1976, e aprovou para ratificação, pela Lei n.º 65/78, de 13 de Outubro, o texto da Convenção e respetivos protocolos.

A Convenção criou o Tribunal Europeu dos Direitos do Homem para proteger os cidadãos contra violações dos direitos humanos.

O Tribunal Europeu dos Direitos do Homem é uma jurisdição internacional com sede em Estrasburgo, e é composto por um número de juízes igual aos dos Estados Membros do Conselho da Europa que ratificaram a Convenção para a proteção dos Direitos do Homem e das Liberdades Fundamentais. Atualmente o seu número ascende a quarenta e sete.

Os juízes têm assento no Tribunal a título individual e não representam nenhum Estado.

O Tribunal aplica a Convenção Europeia dos Direitos do Homem. A sua missão consiste em certificar-se de que os direitos e garantias definidos na Convenção são respeitados pelos Estados. O Tribunal aprecia as queixas (denominadas «petições») apresentadas por indivíduos ou, por vezes, por Estados. Sempre que constata uma violação por parte de um Estado Membro de um ou vários direitos e garantias consagrados na Convenção, o Tribunal profere uma sentença. Esta sentença tem força obrigatória: o país em causa é obrigado a executá-la.

Pode apresentar uma queixa perante o Tribunal sempre que se considerar vítima direta de uma ou mais violações dos direitos e garantias previstos na Convenção ou nos seus protocolos (e não sobre qualquer outro instrumento jurídico), nomeadamente:

• do direito à vida;
• do direito a um processo equitativo em matéria civil e penal;
• do direito ao respeito pela vida privada e familiar;
• da liberdade de expressão;
• da liberdade de pensamento, de consciência e de religião; " do direito a um recurso efetivo;
• do direito à proteção da propriedade;
• do direito de voto e do direito a participar em eleições.

Tal violação, poderá envolver, por exemplo: tortura e maus-tratos de detidos; a legalidade de uma detenção; deficiências no julgamento de um processo civil ou penal; discriminação no exercício de um destes direitos; os direitos parentais; o respeito pela vida privada e familiar, pelo domicílio ou pela correspondência; restrições à expressão de uma opinião ou à transmissão ou receção de informações; liberdade de reunião e de associação; expulsões e extradições; confiscação de bens e expropriações.

• Não é necessário ser cidadão de um dos Estados Membros do Conselho da Europa. Apenas é exigido que a violação invocada tenha sido cometida por um desses Estados sob a sua própria «jurisdição», o que geralmente corresponde ao seu território;
• Pode ser uma pessoa singular ou coletiva (sociedade, associação, etc.);
• É necessário que seja direta e pessoalmente vítima da infração denunciada. Não pode apresentar uma queixa contra uma lei ou um ato, apenas porque o considera injusto; também não pode apresentar uma queixa em nome de outras pessoas (a menos que essas pessoas estejam claramente identificadas e você seja o seu representante oficial).

Previamente, perante os tribunais nacionais:

• Devem esgotar-se todos os recursos passíveis de remediar a situação objeto da queixa (trata-se muito frequentemente de um processo instaurado junto do tribunal competente, seguido, se necessário, de um recurso e até de um recurso a um tribunal superior, como o Supremo Tribunal ou o Tribunal Constitucional, no caso de existir);
• O exercício destes recursos não é em si suficiente: impõe-se igualmente apresentar os motivos da sua queixa (isto é, as violações da Convenção que alega) no âmbito destes recursos;
• A partir da data da decisão interna definitiva (em geral, a sentença da mais alta jurisdição), dispõe de um prazo de seis meses para apresentar a sua queixa. Uma vez expirado esse prazo, o Tribunal não pode aceitar a queixa.

A queixa pode ser apresentada contra:

• Contra um ou vários Estados Partes da Convenção que, no seu entender, tenha/tenham violado (por ato ou omissão que o afete diretamente) a Convenção;
• O ato ou omissão contestados devem emanar de uma autoridade pública desse(s) Estado(s);
• O Tribunal não pode ocupar-se de queixas contra particulares ou instituições privadas, como empresas comerciais.

Enviando ao Tribunal o formulário de queixa devidamente preenchido e assinado, acompanhado dos documentos pertinentes, por correio para a seguinte morada:

The Registrar

European Court of Human Rights

Council of Europe

F-67075 Strasbourg cedex

Notas:

• Pode escrever numa das línguas oficiais do Tribunal (Inglês ou Francês), mas também numa das línguas oficiais de um dos Estados Membros que ratificaram a Convenção.
• O Secretário do Tribunal poderá solicitar-lhe documentos, informações ou esclarecimentos complementares relativos à queixa apresentada.
• Deverá descarregar o formulário de queixa através do sítio internet do Tribunal, preenchê-lo cuidadosamente e de forma legível, assiná-lo e reenviá-lo o mais depressa possível. O formulário deve conter:
  • um breve resumo dos factos assim como os motivos da queixa;
  • a indicação dos direitos consagrados pela Convenção que considera terem sido violados;
  • os recursos já exercidos;
  • uma cópia das decisões proferidas no âmbito do processo por todas as autoridades públicas envolvidas (estes documentos não serão devolvidos, pelo que deverá enviar apenas cópias) ; e
  • a sua assinatura enquanto requerente ou a do seu representante.
• Se pretender preservar o anonimato, deverá informar desde logo o Tribunal e fundamentar o seu pedido. O Presidente examinará a pertinência do seu pedido.
• Nesta fase do processo, o requerente não é obrigado a fazer-se representar por um advogado. Se, ainda assim, pretende fazer-se representar junto do Tribunal, deve completar e assinar o quadro previsto no formulário para esse efeito.

Outras informações relativas às queixas:

• O processo é escrito. Será informado por escrito de qualquer decisão tomada pelo Tribunal. A realização de audiências públicas será excecional.
• A apreciação do seu dossiê será gratuita.
• Ainda que no início do processo não tenha de se fazer representar por um advogado, precisará de o fazer no momento em que a sua queixa for notificada ao Governo. Contudo, na maioria dos casos, as queixas são declaradas inadmissíveis antes de serem notificadas aos Governos.
• Só terá de suportar as suas próprias despesas (os honorários do advogado ou as despesas associadas a pesquisa e correspondência).
• Uma vez apresentada a sua queixa, pode solicitar assistência judiciária. Esta assistência, que não é automática, não é concedida imediatamente, mas sim numa fase mais adiantada do processo.
• O Tribunal examina, em primeiro lugar, se a sua queixa é admissível, o que significa que o caso deve satisfazer determinadas condições definidas na Convenção. Se não cumprir as condições indicadas, a sua queixa será rejeitada. No caso de ter alegado várias violações, o Tribunal pode declarar uma ou várias admissíveis e rejeitar outras.
• Se a sua queixa ou uma das violações alegadas for declarada inadmissível, esta decisão é definitiva e irrevogável.
• Se a sua petição ou uma das suas queixas for declarada admissível, o Tribunal incentivará as partes a chegarem a um acordo amigável. Na falta de uma resolução amigável, o Tribunal procede à apreciação da queixa quanto ao «fundo», ou seja, decide se houve ou não violação da Convenção.
• Pode decorrer um ano até que o Tribunal proceda a uma primeira apreciação da sua queixa. Algumas queixas podem ser classificadas de urgentes e tratadas prioritariamente, em particular, no caso de existir uma ameaça com perigo iminente para a integridade física do requerente.

Se o Tribunal constatar uma violação, pode conceder uma «reparação razoável», que consiste num montante destinado a compensar os prejuízos. O Tribunal pode também exigir ao Estado condenado que proceda ao reembolso das suas despesas com o processo. Se o Tribunal não constatar qualquer violação por parte do Estado, não terá de pagar quaisquer despesas suplementares (nomeadamente as despesas incorridas pelo Estado requerido).

Notas:

• O Tribunal não é competente para anular as decisões ou legislação nacionais.
• A execução das sentenças não é da responsabilidade do Tribunal. Depois de proferida a sentença pelo Tribunal, a sua execução é da responsabilidade do Comité de Ministros do Conselho da Europa a quem incumbe zelar pela sua execução e assegurar o pagamento das eventuais compensações financeiras.

• O Tribunal não atua como uma instância de recurso superior aos tribunais nacionais: não julga novamente os processos nem é competente para anular ou modificar as suas decisões.
• O Tribunal não intervém diretamente a favor do queixoso junto da autoridade que é objeto da queixa. Em circunstâncias excecionais, o Tribunal pode no entanto acordar a aplicação de medidas provisórias. Na prática, só o faz quando o requerente corre um sério risco de sofrer danos físicos.
• O Tribunal não ajuda a encontrar nem paga um advogado para redigir a petição.
• O Tribunal não informa sobre as disposições legais em vigor no Estado requerido.

A Lei n.º 26/2016, publicada a 22 de agosto, aprovou o novo regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos, ("nova LADA"). Este diploma veio unificar as leis de acesso à informação administrativa geral (LADA) e a denominada informação administrativa ambiental (LAIA), tendo desta forma revogado:

1. a Lei de Acesso aos Documentos Administrativos (regulada pela LADA), aprovada pela Lei n.º 46/2007, de 24 de agosto, alterada pelo Decreto-Lei n.º 214-G/2015, de 2 de outubro;
2. a Lei de Acesso à Informação Ambiental (constante da denominada LAIA), aprovada pela Lei n.º 19/2006, de 12 de junho, também alterada pelo Decreto-Lei n.º 214-G/2015, de 2 de outubro, e através da qual foi transposta a Diretiva 2003/4/CE, do Parlamento Europeu e do Conselho, de 28 de janeiro.

O artigo 17.º do Código do Procedimento Administrativo, sob a epígrafe “Princípio da administração aberta”, especifica que "Todas as pessoas têm o direito de acesso aos arquivos e registos administrativos, mesmo quando nenhum procedimento que lhes diga diretamente respeito esteja em curso, sem prejuízo do disposto na lei em matérias relativas à segurança interna e externa, à investigação criminal, ao sigilo fiscal e à privacidade das pessoas."

A disposição surge, pois, como concretização do conteúdo dos conceitos associado aos Princípios Constitucionais que resultam do n.º 2 do artigo 268.º, princípios do arquivo aberto (“open file”) e da transparência administrativa, constitucionalmente especificados como: "1 - Os cidadãos têm o direito de ser informados pela Administração, sempre que o requeiram, sobre o andamento dos processos em que sejam directamente interessados, bem como o de conhecer as resoluções definitivas que sobre eles forem tomadas. 2 - Os cidadãos têm também o direito de acesso aos arquivos e registos administrativos, sem prejuízo do disposto na lei em matérias relativas à segurança interna e externa, à investigação criminal e à intimidade das pessoas."

Nesta perspetiva, convenciona-se no n.º 1 do artigo 2.º da Lei n.º 26/2016, que o acesso e a reutilização da informação administrativa são assegurados de acordo com os demais princípios da atividade administrativa, designadamente os princípios da igualdade, da proporcionalidade, da justiça, da imparcialidade e da colaboração com os particulares.

Qualquer objeto elaborado pelo homem com o fim de reproduzir ou representar uma pessoa, coisa ou facto.

- In artigo 362 do Código Civil.

Documento escrito é um objeto elaborado pelo homem por sua própria mão (manuscritos) ou por recurso ou emprego de meios mecânicos ou eletrónicos. Nos termos do artigo 363.º do Código Civil os documentos escritos podem ser autênticos ou particulares.

Dcumento eletrónico é, o documento elaborado mediante processamento eletrónico de dados.

Documento de arquivo eletrónico é o documento de arquivo produzido, transmitido e mantido com recurso a equipamentos eletrónicos.

- In art.º 2.º/a do Decreto-Lei n.º 290-D/99.

É o conjunto estruturado de representações mentais codificadas (símbolos significantes) socialmente contextualizadas e passíveis de serem registadas num qualquer suporte material (papel, filme, banda magnética, disco compacto, etc.) e, portanto, comunicadas de forma assíncrona e multi-direccionada.

- In adaptado de Armando Malheiro da Silva e Fernanda Ribeiro – Das Ciências Documentais à Ciência da Informação, p. 37.

É um conjunto orgânico de documentos, independentemente da sua data, forma e suporte material, produzidos ou recebidos por uma pessoa jurídica, singular ou coletiva, ou por um organismo público ou privado no exercício da sua atividade e conservados a título de prova ou informação;

É um conjunto de documentos, qualquer que seja a sua data ou suporte material, reunidos no exercício da sua actividade por uma entidade, pública ou privada, e conservados, respeitando a organização original, tendo em vista objectivos de gestão administrativa, de prova ou de informação, ao serviço das entidades que os detêm, dos investigadores e dos cidadãos em geral.

- In adaptado de NP 4041; Decreto-Lei n.º 16/93, de 23 de janeiro (Regime geral dos arquivos e do património arquivístico) com as alterações produzidas pela Lei n.º 14/94 de 11 de maio.

É a informação registada, produzida ou recebida no início, condução ou conclusão de uma criatividade individual ou organizacional, e que compreende suficiente conteúdo, contexto e estrutura para fazer prova dessa atividade. Consubstanciando qualquer suporte de informação sob forma escrita, visual, sonora, electrónica ou outra forma material, na posse dos órgãos e entidades referidos no artigo seguinte, ou detidos em seu nome.

- In daptado de Guide for Managing Electronic Records from Archival Perspective.

O art.º 3.º/1/a da Lei n.º 26/2016, estabelece que “Documento Administrativo” é “qualquer conteúdo, ou parte desse conteúdo, que esteja na posse ou seja detido em nome dos órgãos e entidades referidas no artigo seguinte, seja o suporte de informação sob forma escrita, visual, sonora, eletrónica ou outra forma material designadamente, aqueles relativos a;
i) Procedimentos de emissão de atos e regulamentos administrativos;

ii) Procedimentos de contratação pública, incluindo os contratos celebrados;

iii) Gestão orçamental e financeira dos órgãos e entidades;

iv) Gestão de recursos humanos, nomeadamente os dos procedimentos de recrutamento, avaliação, exercício do poder disciplinar e quaisquer modificações das respetivas relações jurídicas.”

Com efeito, documento administrativo é qualquer suporte de informação gráfico, sonoro, visual, informático ou registo de outra natureza, elaborado ou detido por órgão e entidade pública, designadamente, relatórios, estudos, pareceres, atas, contratos, autos, circulares, ofícios-circulares, ordens de serviço, despachos normativos internos, instruções e orientações de interpretação legal ou de enquadramento da atividade ou outros elementos de informação.

Para os efeitos da "nova LADA", não se consideram documentos administrativos:
a) As notas pessoais, esboços, apontamentos, comunicações eletrónicas pessoais e outros registos de natureza semelhante, qualquer que seja o seu suporte;
b) Os documentos cuja elaboração não releve da atividade administrativa, designadamente aqueles referentes à reunião do Conselho de Ministros e ou à reunião de Secretários de Estado, bem como à sua preparação;
c) Os documentos produzidos no âmbito das relações diplomáticas do Estado português.

O acesso e a reutilização dos documentos administrativos são assegurados de acordo com os princípios da publicidade, da transparência, da igualdade, da justiça e da imparcialidade (artigo 2.º/1 da "nova LADA".

O direito de acesso aos arquivos e registos administrativos é um direito decorrente da Constituição da República Portuguesa e da lei.

O regime de acesso a documentos administrativos que a "nova LADA" enuncia consta do artigo 5.º:

“1 – Todos, sem necessidade de enunciar qualquer interesse, têm direito de acesso aos documentos administrativos, o qual compreende os direitos de consulta, de reprodução e de informação sobre a sua existência e conteúdo.

2 – O direito de acesso realiza-se independentemente da integração dos documentos administrativos em arquivo corrente, intermédio ou definitivo”.

Da norma retira-se seguinte sentido e alcance:

1. o acesso aos documentos administrativos é livre e generalizado: não há necessidade de apresentar qualquer justificação ou fundamentação;
2. o particular tem o direito de saber se o documento que pretende existe ou não; e qual o seu conteúdo;
3. a entidade administrativa requerida ou consulente não pode alegar, como motivo válido para não facultar a documentação, que esta é dificilmente acessível, por se encontrar em arquivo corrente, intermédio ou definitivo.

Na verdade, em termos objetivos, são livremente acessíveis os documentos ou informações a que se referem os artigos 10.º e 3.º, n.º 1, alínea a), isto é, sem necessidade de invocação de qualquer fundamentação legitimante.

O acesso a documentos administrativos pode efetuar-se, conforme opção do requerente, através dos seguintes meios:

• Consulta
• Reprodução
• Certidão (cfr. art.º 13.º "nova LADA")

Para além da restrição ao direito de acesso que se prende com documentos nominativos (n.º 5 do artigo 6.º), a "nova LADA" identifica no mesmo artigo ainda outras restrições ao direito de livre acesso, as quais incidem sobre:

• Documentos que contenham informações cujo conhecimento seja avaliado como podendo pôr em risco interesses fundamentais do Estado (artigo 6.º/1);
• Documentos protegidos por direitos de autor ou direitos conexos” (art.º 6.º/2);
• Documentos administrativos preparatórios de uma decisão ou constantes de processos não concluídos (art.º 6.º/3);
• Documentos relativos a “auditorias, inspeções, inquéritos, sindicâncias ou averiguações (art.º 6.º/4);
• Documentos que contenham os chamados «segredos de empresa», que são acessíveis em condições idênticas às fixadas para o acesso a documentos nominativos ( art.º 6.º/6);
• Documentos cujo acesso em determinado momento possa afetar a eficácia ou a capacidade operacional de serviços ou “causar danos graves e dificilmente reversíveis a bens ou interesses patrimoniais de terceiros que sejam superiores aos bens e interesses protegidos pelo direito de acesso à informação administrativa (art.º 6.º/7).

Repare-se que são restrições atinentes à tutela do segredo comercial ou industrial, ou relativo à propriedade literária, artística ou científica, à intimidade da vida privada, à segurança interna e externa, à investigação criminal.

Os documentos sujeitos a restrições de acesso são objeto de comunicação parcial sempre que seja possível expurgar a informação relativa à matéria reservada (art.º 6.º/8).

É documento nominativo o documento que contenha dados pessoais, na aceção do regime jurídico de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Este conceito, deve, por conseguinte, ser conjugado com o artigo 4.º/1 do RGPD: são dados pessoais, informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

Um terceiro só tem direito de acesso a documentos nominativos:

• Se estiver munido de autorização escrita do titular dos dados que seja explícita e específica quanto à sua finalidade e quanto ao tipo de dados a que quer aceder.
• Se demonstrar fundamentadamente ser titular de um interesse direto, pessoal, legítimo e constitucionalmente protegido suficientemente relevante, após ponderação, no quadro do princípio da proporcionalidade, de todos os direitos fundamentais em presença e do princípio da administração aberta, que justifique o acesso à informação; declarações falsas nesta matéria são puníveis com pena de prisão até um ano ou com pena de multa.
• Se decorridos 50 anos sobre a data da morte da pessoa a que respeitam os documentos ou, não sendo esta data conhecida, decorridos 75 anos sobre a data dos documentos.

A informação de saúde é propriedade do seu titular sendo as unidades do sistema de saúde os depositários. Salvo situações excecionais, cada pessoa tem direito de acesso à sua informação de saúde.

Todos os interessados em consultar a informação administrativa, produzida ou na posse da UC, podem pedir a sua consulta presencial ou a sua reprodução (fotocópia ou digitalização), utilizando este modelo de requerimento, por:

• Correio postal - Projeto Especial - Informação Administrativa e Proteção de Dados Rua Larga, Edifício FMUC (R/C Esq.) | 3004-504 COIMBRA | PORTUGAL.
• Correio eletrónico epd[at]uc.pt.

De acordo com o estatuído no art.º 15.º, a entidade a quem foi dirigido o pedido de acesso, deve, no prazo de 10 dias:

• Comunicar a data, local e modo para se efetivar a consulta, se requerida.
• Emitir a reprodução ou certidão requeridas.
• Comunicar por escrito as razões da recusa, total ou parcial, do acesso ao documento pretendido, bem como quais as garantias de recurso administrativo e contencioso dessa decisão.
• Informar que não possui o documento e, se souber qual a entidade que o detém, remeter-lhe o requerimento, com conhecimento ao requerente.
• Expor à Comissão de Acesso aos Documentos Administrativos (CADA) quaisquer dúvidas que tenha sobre a decisão a proferir, a fim de aquela entidade emitir parecer.

Resulta do art.º 14.º/1 da "nova LADA", que a reprodução por fotocópia ou por qualquer meio técnico, designadamente visual, sonoro ou eletrónico se faça através de um único exemplar, sujeito a pagamento, pela pessoa que a solicitar, da taxa fixada.

Os interessados têm o direito de obter certidão, reprodução ou declaração autenticada dos documentos que constem dos processos a que acedam, mediante o pagamento das importâncias fixadas.

- In Despacho n.º 8617/2002 (2.ª série) do Ministério das Finaças (taxas correspondentes a cada tipo de reprodução).

Os requerentes de pedidos de acesso a informação na posse da UC podem apresentar queixa das decisões, ou da falta de resposta, do Responsável pelo Acesso:

• Junto dos Tribunais Administrativos.
• Junto da CADA - Comissão de Acesso aos Documentos Administrativos, entidade pública independente, que tem como missão, nos termos da lei, zelar pelo cumprimento das disposições legais referentes ao acesso à informação administrativa.

A CADA é uma entidade pública independente que funciona junto da Assembleia da República conforme disposto no art.º 28.º da "nova LADA", dotada de independência face a outros órgãos do Estado, incluindo o Governo. Assim, a queixa deve ser-lhe apresentada, nomeadamente por correio eletrónico ou por via postal, acompanhada de cópia do requerimento de acesso aos documentos administrativos apresentado junto da entidade requerida e de outros elementos que sejam pertinentes para a análise.

A queixa deve ser apresentada no seguinte prazo, consoante os casos:

• 20 dias (corridos) subsequente ao indeferimento do pedido acesso.
• 20 dias (corridos) a contar do termo do prazo de resposta da entidade requerida (10 dias úteis).

Apesar de o RGPD ter a natureza de regulamento da União Europeia, a sua completa execução depende de legislação interna. A Lei n.º 58/2019 estabelece algumas regras no âmbito dos temas que foram deixados, pelo RGPD, à consideração dos Estados-Membros, pelo que existem algumas notas que merecem destaque, designadamente no que respeita a publicação em jornal oficial, acesso a documentos administrativos, publicação de dados no âmbito da contratação pública, tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos (Capítulo VI, artigos 25.º a 31.º):

• Sempre que o dado pessoal «nome» seja suficiente para garantir a identificação do titular e a eficácia do tratamento, não devem ser publicados em jornais oficiais outros dados pessoais, sendo o responsável pelo tratamento a entidade que manda proceder à publicação;
• O acesso a documentos administrativos que contenham dados pessoais rege-se pelo disposto na "nova LADA";
• Caso seja necessária a publicação de dados pessoais, não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do contraente público e do cocontratante;
• O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização dos mesmos, sempre que os fins visados possam ser atingidos por uma destas vias.

Paralelamente, a Lei n.º 58/2019 procedeu à alteração à Lei n.º 26/2016, de 22 de agosto (LADA), nomeadamente do artigo 6.º, que passou a ter redação (n.º 9) nos seguintes termos: Sem prejuízo das ponderações previstas nos números anteriores, nos pedidos de acesso a documentos nominativos que não contenham dados pessoais que revelem a origem étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, dados genéticos, biométricos ou relativos à saúde, ou dados relativos à intimidade da vida privada, à vida sexual ou à orientação sexual de uma pessoa, presume -se, na falta de outro indicado pelo requerente, que o pedido se fundamenta no direito de acesso a documentos administrativos.

A totalidade dos documentos sob custódia de um serviço de arquivo ou outra entidade.

Possibilidade de consultar os documentos de arquivo de acordo com a legislação e a regulamentação em vigor, mas também em função do seu estado material de conservação, da sua classificação e da existência de instrumentos de pesquisa adequados. (trad. Dictionnaire de terminologie, 2002)

A acessibilidade de documentos também pode ser definida como a disponibilidade dos documentos para consulta resultante de uma avaliação prévia de acordo com as disposições legais e/ou regulamentares, do necessário tratamento arquivístico e do seu estado de conservação.

“Possibilidade de aceder à informação veiculada pelos documentos.”

- In IPQ, NP 4041, 2005.

Colocação dos documentos em unidades de instalação (p. ex. caixas, maços, livros, pastas, etc.) adequadas à sua conservação e preservação.

Operação que consiste na colocação dos documentos nos depósitos de arquivo. Não pressupõe qualquer tratamento arquivístico. Também aplicável à guarda de documentos em suporte informático.

“Ciência que tem por objeto os arquivos, os princípios e métodos da sua constituição, conservação e comunicação.”

- In IPQ, NP 4041, 2005.

Tem, também, por objeto os arquivos, os princípios e métodos da sua organização e difusão.

a) “Conjunto orgânico de documentos, independentemente da sua data, forma e suporte material, produzidos ou recebidos por uma pessoa jurídica, singular ou colectiva, ou por um organismo público ou privado, no exercício da sua actividade e conservados a título de prova ou informação.

b) Instituição ou serviço responsável pela aquisição, conservação, organização e comunicação dos documentos de arquivo.

c) Depósito"

- In Dicionário, 1993.

É a mais ampla unidade arquivística. A cada proveniência corresponde um arquivo.

Arquivo constituído por documentos correspondentes a procedimentos ainda não concluídos. Também denominado arquivo administrativo.

- In IPQ, NP 4041, 2005.

Local destinado à conservação de documentos de arquivo, de consulta frequente pela administração produtora, no exercício das suas atividades de gestão.

Corresponde à fase ativa, durante a qual os documentos são usados de forma regular pela entidade produtora, para fins administrativos, fiscais ou legais.

Arquivo constituído por documentos correspondentes a procedimentos já concluídos […]. Também denominado arquivo definitivo.

- In IPQ, NP 4041, 2005.

Fundo ou núcleo constituído por documentos correspondentes a processos concluídos, depois de prescritas as respetivas condições de reabertura.

Local destinado à conservação permanente de documentos de arquivo, por princípio já não consultados pela entidade produtora e que foram selecionados em função do seu valor secundário.

Corresponde à fase inativa, na qual os documentos deixaram de ser utilizados pela entidade produtora no âmbito dos fins que motivaram a sua criação; devem, por isso, ser eliminados, a menos que possuam um valor secundário que justifique a sua conservação permanente.

Arquivo constituído por documentos correspondentes a procedimentos já concluídos, mas ainda suscetíveis de reabertura.

- In IPQ, NP 4041, 2005.

Local destinado à conservação e comunicação de documentos para consulta esporádica pela entidade produtora.

Corresponde a uma fase semi-ativa, durante a qual os documentos são ocasionalmente utilizados pela entidade produtora, para fins administrativos, fiscais ou legais.

Arquivo produzido, à guarda ou propriedade de uma pessoa de direito público.

Arquivo produzido por uma pessoa de direito privado.

Documento com a relação dos documentos de arquivo e/ou das unidades de instalação eliminados, que serve como prova da eliminação.

Documento produzido no âmbito da transferência de documentação para um serviço de arquivo ou para uma outra entidade, que serve como prova da transferência.Tem em anexo uma guia de remessa.

Ato, revestido das formalidades prescritas por lei, que culmina o processo de transmissão, a qualquer título, de documentos, e que deve ser assinado pelas partes envolvidas no momento da entrega material.

“Determinação do valor arquivístico de documentos ou arquivos, com vista à fixação do seu destino final: conservação permanente ou eliminação.”

- In IPQ, NP 4041, 2005.

A avaliação documental pode, também, ser definida como a determinação do valor arquivístico e/ou histórico dos documentos de arquivo, com vista à fixação do seu destino final, após o respetivo prazo legal de conservação.

“Instrumento de descrição documental que descreve, até ao nível do documento, a totalidade ou parte de um arquivo ou de uma coleção.”

- In Dicionário, 1993.

“Sucessão de fases – corrente, intermédia e definitiva – por que passam os documentos de arquivo, desde a sua produção até estar ultimado o procedimento que lhes deu origem.”

- In IPQ, NP 4041, 2005.

Fases que os documentos passam dentro e fora da instituição, desde o momento em que são produzidos ou enviados pelo(s) remetente(s) até serem arquivados pelo(s) destinatário(s).

“Operação que consiste na elaboração e/ou aplicação de um plano ou de um quadro de classificação a unidades arquivísticas, acervos documentais e colecções factícias.”

- In IPQ, NP 4041, 2005.

É considerada a componente inteletual da organização.

“Restrição da comunicabilidade e utilização de documentos de arquivo, atribuída ou retirada por entidades definidas em legislação própria, por razões de segurança nacional: muito secreto, secreto, confidencial, reservado. Os documentos sujeitos a estas restrições são também designados por matéria(s) classificada(s).”

- In IPQ, NP 4041, 2005.

Código atribuído às unidades arquivísticas – documento simples, documento composto, processo – no momento em que são classificadas.

Código alfanumérico atribuído a unidades de descrição que tem por objetivo identificá-las univocamente e estabelecer uma ligação com a descrição.

- In DGARQ, Orientações, 2010.

“Unidade arquivística constituída por um conjunto de documentos do mesmo arquivo, organizada para efeitos de referência (ex.: os copiadores de correspondência expedida), para servir de modelo à produção de documentos com a mesma finalidade (ex.: colecções de formulários), ou de acordo com critérios de arquivagem (ex.: colecções de documentos de despesa). Opõe-se a processo.”

- In IPQ, NP 4041, 2005.

“Possibilidade de consulta de documentos de arquivo, de acordo com as disposições legais e/ou regulamentares. Podem ser definidos níveis de acesso para diferentes tipos de utilizadores.”

- In IPQ, NP 4041, 2005.

“Função primordial do serviço de arquivo que visa facultar dados, informações, referências e documentos, difundir o conhecimento do seu acervo documental e promover a sua utilização.”

- In IPQ, NP 4041, 2005.

Função primordial do serviço de arquivo que tem por objetivo assegurar a manutenção das caraterísticas essenciais dos arquivos/documentos de modo a garantir a sua eficácia através do tempo. Exerce-se mediante recurso à avaliação, recolha, custódia, preservação, acondicionamento, conservação física, restauro e tratamento arquivístico.

Conjunto de medidas de intervenção sistemática e direta nos documentos, com o objetivo de impedir e/ou neutralizar a sua degradação, sem alterar as caraterísticas físicas dos suportes.

“Custódia por tempo ilimitado dos documentos de arquivo.”

- In IPQ, NP 4041, 2005.

Utilização dos documentos para efeitos de prova e/ou informação, de acordo com as necessidades informativas dos utilizadores.

“Código numérico, alfabético ou alfa-numérico que identifica a localização das unidades de instalação. Também designada referência de localização.”

- In IPQ, NP 4041, 2005.

Operação que consiste em atribuir uma cota (código numérico, alfabético ou alfa-numérico) a cada documento ou unidade de instalação.

Área interdisciplinar que abrange várias etapas do ciclo de vida da informação, que inclui a gestão da informação desde a sua produção em ambiente digital, a produção da metainformação, a organização e avaliação da informação, a definição de boas práticas de digitalização, a preservação digital, entre outras atividades que possibilitam o acesso continuado e integral aos dados.

- In Sítio eletrónico Encontro Curadoria Digital.

“Função primordial do serviço de arquivo que consiste na guarda física de documentos e/ou arquivos, com a consequente responsabilidade jurídica, sem necessariamente implicar a sua propriedade.”

- In IPQ, NP 4041, 2005.

a) “Aquisição / alienação de documentos de arquivo a título precário. A documentação depositada fica sob custódia de outra entidade, mas não muda de proprietário e poderá estar sujeita a um regime próprio de conservação e/ou comunicação, previamente acordado.”

b) “Edifício, ou parte de um edifício, adequado à preservação dos documentos de arquivo.”

- In IPQ, NP 4041, 2005.

“Operação que consiste na representação das unidades arquivísticas, acervos documentais e colecções factícias, através da sua referência e de outros elementos, nomeadamente os atinentes à sua génese e estrutura, assim como, sempre que for o caso, à produção documental que as tenha utilizado como fonte. A descrição arquivística tem como objectivo o controlo e/ou a comunicação dos documentos.”

- In IPQ, NP 4041, 2005.

A descrição documental também pode ser entendida como a operação que consiste na representação exata de uma unidade arquivística, e/ou de instalação, e das partes que a compõem, através da recolha, análise, organização e registo de informação que sirva para identificar, gerir, localizar e explicar a documentação de arquivo, assim como o contexto e o sistema de arquivo que o produziu.

Correspondem aos serviços de arquivo, mas também às bibliotecas, aos museus ou quaisquer outras entidades, desde que detentores de documentação de arquivo.

- In Sítio eletrónico DGLAB.

Função do serviço de arquivo que visa promover o conhecimento do seu acervo documental.

“Aquisição / alienação da custódia de documentos de arquivo, a título gratuito, por vezes acompanhada de certas obrigações.”

- In IPQ, NP 4041, 2005.

Qualquer suporte de informação sob forma escrita, visual, sonora, eletrónica ou outra forma material, na posse dos órgãos e entidades do Estado e das Regiões Autónomas, ou detidos em seu nome, de acordo com a Lei n.º 46/2007, de 24 de agosto.

“Conjunto de documentos simples que corresponde a um mesmo procedimento, trâmite ou processamento administrativo ou judicial.”

- In IPQ, NP 4041, 2005.

“Documento produzido a fim de provar e/ou informar um procedimento administrativo ou judicial. É a mais pequena unidade arquivística, indivisível do ponto de vista funcional. Pode ser constituído por um ou mais documentos simples.”

- In IPQ, NP 4041, 2005.

“Documento existente sob uma forma electrónica acessível pela tecnologia informática (…). A forma de um documento electrónico original obedece a requisitos próprios de validação, como, por exemplo, a assinatura digital.”

- In IPQ, NP4041, 2005.

“Documento de arquivo, autónomo quanto ao processamento da sua produção (autor, código de comunicação, data, destinatário, etc.) mas não necessariamente quanto à informação veiculada ou ao suporte. O documento simples é susceptível de descrição individualizada, mas pode não corresponder à totalidade de um procedimento ou trâmite.”

- In IPQ, NP 4041, 2005.

“Unidade arquivística constituída por um conjunto de documentos coligidos com o fim de informar uma decisão pontual.”

- In IPQ, NP 4041, 2005.

“Operação decorrente da avaliação que consiste na destruição dos documentos que foram considerados sem valor arquivístico. O processo a utilizar na eliminação deve assegurar a impossibilidade de reconstituir os documentos eliminados (por exemplo: corte, incineração, maceração e trituração).”

- In IPQ, NP 4041, 2005.

Transferência temporária de documentos da Unidade de Arquivo para outra unidade administrativa e de gestão da UC, com fins de consulta, reprodução ou pesquisa. Implica a transferência da custódia dos documentos para a entidade requisitante.

Apresentação, temporária ou permanente, física ou virtual, de documentos ou das suas reproduções, organizada por um serviço de arquivo a partir do seu próprio acervo documental ou de empréstimos, para fins educativos e culturais.

Primeira idade do ciclo de vida dos documentos de arquivo ligada ao seu valor legal e probatório. Os documentos são de utilização corrente, para fins administrativos, fiscais, legais, etc., por parte da entidade produtora. São necessários ao cumprimento das atividades que justificaram a sua criação.

Terceira idade do ciclo de vida dos documentos de arquivo ligada ao seu valor informativo ou arquivístico. Os documentos deixam de ter qualquer utilidade administrativa para a entidade produtora. Pelo seu valor informativo passam a ser vistos como uma fonte do conhecimento ou memória histórica da entidade produtora, em particular, e da sociedade, em geral.

Segunda idade do ciclo de vida dos documentos de arquivo. Os documentos deixam de ser de utilização corrente uma vez que os procedimentos administrativos que suportam já foram concluídos. No entanto, pelo seu valor probatório podem vir ainda a ser necessários ao trabalho da entidade produtora.

Conjunto orgânico de documentos de arquivo produzidos ou recebidos por um organismo no exercício da sua atividade. É a mais ampla unidade arquivística.

Implementação de um conjunto de medidas que visam o controlo dos acessos, das entradas e saídas de documentação, da taxa de ocupação do depósito, bem como a verificação das condições ambientais, das instalações elétrica e da segurança.

“Campo da gestão responsável por um controlo eficiente e sistemático da produção, recepção, manutenção, utilização e destino dos documentos de arquivo, incluindo os processos para constituir e manter prova e informação sobre actividades e transacções.”

- In IPQ, NP 4438-1, 2005.

A gestão de documentos também pode ser entendida como a implementação de um conjunto de medidas que visam a racionalização e eficácia na constituição, avaliação, aquisição, organização, conservação e comunicação dos arquivos.

Processo em que o conjunto documental ativo/arquivo corrente de uma instituição é gerido de forma eletrónica, sendo os documentos produzidos ou recebidos em formatos analógicos imediatamente submetidos a processo de digitalização, compreendendo indexação e, eventualmente, reconhecimento ótico de carateres, entrando eletronicamente no workflow do organismo.

Instrumento de descrição arquivística que descreve um ou mais acervos documentais ao nível mais abrangente, isto é, do fundo.

“Poderá incluir informação geral, normalmente sumária, sobre a(s) entidade(s) de custódia e menção de outras fontes de informação sobre os conjuntos documentais a que se refere. Nos guias exaustivos a descrição situa-se, por via de regra, ao nível dos conjuntos documentais mais vastos: arquivos ou colecções factícias”.

- In IPQ, NP 4041, 2005.

Instrumento de descrição arquivística que identifica, para efeitos de controlo e, eventualmente, de comunicação, as unidades arquivísticas transferidas para a custódia de um serviço de arquivo ou outra entidade. É parte integrante de um auto de entrega.”

- In IPQ, NP 4041, 2005.

A guia de remessa também pode definir-se como a relação dos documentos enviados a um arquivo e preparada pela entidade que os remete, para fins de identificação e controlo, podendo ser usada como instrumento de descrição documental, nomeadamente nos arquivos intermédios.

Operação que consiste em reconhecer e/ou individualizar uma unidade arquivística através da sua forma, conteúdo ou outros dados pré-determinados, como por exemplo, a referência.

“Aquisição gratuita e a título definitivo de documentos de arquivo por um serviço de arquivo que sobre eles passa a ter jurisdição plena.”

- In IPQ, NP 4041, 2005.

Em princípio, a incorporação e as condições a que obedece são definidas por via legislativa ou regulamentar.

“Operação que consiste em descrever ou identificar um documento relativamente ao seu conteúdo. No que toca às unidades arquivísticas, a escolha de termos considerados representativos poderá incidir sobre documentos simples ou compostos e, para além dos temas, deverá considerar elementos como: antropónimos, autor, data, designações sociais, destinatário, tipologia documental, topónimos e tradição documental.”

- In IPQ, NP 4041, 2005.

“Entrada de documentos e/ou arquivos num serviço de arquivo.”

- In IPQ, NP 4041, 2005.

Colocação dos documentos em estantes ou outro mobiliário adequado à preservação dos documentos de arquivo.

“Documento […] elaborado para efeitos de controlo e/ou comunicação, que descreve as unidades arquivísticas, acervos documentais ou colecções factícias. Os principais instrumentos de descrição são: roteiros, guias, inventários, catálogos, registos e índices.”

- In IPQ, NP 4041, 2005.

Os instrumentos de descrição documental também podem ser definidos como documentos secundários que referenciam e/ou descrevem as unidades arquivísticas tendo em vista o seu controlo e/ou acessibilidade. São instrumentos de descrição os registos, as guias de remessa, as relações de eliminação, as listas e diversos outros documentos como os acima enunciados.

“Instrumento de descrição arquivística que, para efeitos de controlo e comunicação, representa um arquivo: o contexto da sua produção, o(s) plano(s) de classificação (ou, na sua ausência, o quadro) que presidiu / presidiram à sua organização, os conjuntos documentais que o constituem, respectiva articulação e unidades de instalação que ocupam. No inventário, que deve ser complementado por índices, a descrição não desce a níveis inferiores ao da série e respectivas subdivisões.”

- In IPQ, NP 4041, 2005.

O inventario também pode ser descrito como o instrumento de descrição documental que descreve um fundo até ao nível da série, referindo e enumerando as respetivas unidades de instalação, apresentando o quadro de classificação que presidiu à sua organização e devendo ser complementado por índices.

“Conjunto dos dados que definem o contexto, estrutura e acesso dos documentos e registam o historial da sua utilização ao longo do tempo, fornecendo indicações sobre o seu conteúdo. Mais utilizado no âmbito dos documentos electrónicos. Também designado metadados.”

- In IPQ, NP 4041, 2005.

Unidade de medida utilizada para aferir o espaço ocupado pelos documentos nas estantes de depósitos de arquivo.

- In Cruz Mundet, Diccionario de Archivística, 2011.

“Conjunto de operações de classificação e ordenação de um acervo documental ou parte dele. É aplicável a qualquer unidade arquivística, mas a organização dos arquivos intermédios e definitivos tem de atender aos princípios da proveniência e do respeito pela ordem original.”

- In IPQ, NP 4041, 2005.

Segundo o princípio da proveniência, os documentos de um arquivo não podem ser misturados com documentos de outros arquivos, e de acordo com o princípio do respeito pela ordem original, a organização estabelecida pela entidade produtora deve ser conservada, a fim de se preservar as relações entre os documentos como testemunho do funcionamento daquela entidade.

Conjunto dos arquivos conservados num País que constitui parte essencial do seu património administrativo, histórico e cultural. A conservação deste património é assegurada através de disposições legais.

- In Dicionário de Terminologia Arquivística.

“Sistema de classes pré-definidas, concebido para a organização de um arquivo corrente. Em princípio, a elaboração de um plano de classificação deve atender às áreas em que se desenvolve a actuação da entidade produtora desse arquivo, às normas e práticas do seu funcionamento e às tipologias documentais concebidas para materializar essa actuação.”

- In IPQ, NP 4041, 2005.

“É um documento estratégico que contém políticas e procedimentos orientados para a constituição de uma estrutura técnica e organizacional que permita preservar de forma continuada documentos de arquivo electrónicos através de ações realizadas sobre os objetos digitais que os compõem.”

- In DGARQ, Recomendações, 2011.

“Dispositivo obrigatório, de acordo com o Decreto-Lei nº 447/88, para a avaliação da documentação corrente da entidade.” Trata-se do “instrumento de gestão que contém o regulamento de gestão de documentos e em anexo a tabela de selecção e os modelos de auto de entrega, guia de remessa e auto de eliminação.”

- In DGARQ, Orientações, 2010.

Esta portaria consubstancia-se um diploma legal, publicado no Diário da República, que regulamenta os prazos de conservação de todos os documentos produzidos e recebidos por um organismo, os procedimentos para a eliminação dos documentos sem valor probatório ou informativo e para a remessa dos documentos para o Arquivo Intermédio e/ou Histórico. É constituída pelo Regulamento de Conservação Arquivística, do qual consta a Tabela de Seleção e os modelos dos autos de entrega, de eliminação e da guia de remessa.

“Período de tempo fixado pela entidade produtora, geralmente de acordo com imperativos de natureza legal, fiscal, administrativa ou outra, durante o qual a documentação permanece sob responsabilidade do serviço produtor, no serviço de arquivo corrente ou noutro depósito de arquivo.”

- In DGARQ, Orientações, 2010.

Processos e operações necessárias para assegurar a sobrevivência de documentos autênticos através do tempo.

Princípio básico da organização, segundo o qual deve ser respeitada a autonomia de cada arquivo, não misturando os seus documentos com os de outros.”

- In IPQ, NP 4041, 2005.

“Princípio básico segundo o qual os documentos de um mesmo arquivo devem conservar a organização estabelecida pela entidade produtora, a fim de preservar as relações entre eles e, consequentemente, a sua autenticidade, integridade e valor probatório.”

- In IPQ, NP 4041, 2005.

“Unidade arquivística constituída pelo conjunto dos documentos referente a qualquer acção administrativa ou judicial, sujeita a tramitação própria. Pode ser parte de um macroprocesso, no caso de procedimentos administrativos ou judiciais complexos, e/ou articular-se em subprocessos, correspondentes a fases com circuitos de decisão e/ou tipologias documentais próprias.”

- In IPQ, NP 4041, 2005.

Pessoa coletiva ou singular, ativa ou extinta, produtora de documentos de arquivo.

- In Sítio eletrónico DGLAB.

Documento de arquivo que regista o esquema de organização de um acervo documental, estabelecido de acordo com os princípios da proveniência e respeito pela ordem original, para efeitos de descrição e/ou instalação.

Modelo visual e teórico que compreende um regime uniforme e coerente dos processos de registos a partir do momento da criação de registos (e antes da criação, na concepção de sistemas de registos), através da preservação e utilização dos registos como arquivos.

Obtenção de dados, informações ou documentos arquivados ou memorizados.

Conjunto de elementos selecionados para identificar dados, informações, documentos, unidades arquivísticas.

Registo que combina uma entrada de uma autoridade arquivística e elementos descritivos dessa mesma autoridade arquivística. Os registos de autoridades arquivísticas têm por objetivo identificar, de forma unívoca, as entidades produtoras de arquivos. Registam, também, a sua história, o contexto de criação, atuação e extinção e estabelecem relações com outras entidades, funções e arquivos.

- In CIA, ISAAR(CPF), 2004.

“Documento [...] que regista o conjunto de regras que definem a organização e funcionamento de um serviço de arquivo.”

- In IPQ, NP 4041, 2005.

“Operação decorrente da avaliação e que consiste em separar os documentos de arquivo de conservação permanente daqueles que poderão ser objecto de eliminação.”

- In IPQ, NP 4041, 2005.

“Unidade arquivística constituída por um conjunto de documentos simples ou compostos a que, originariamente, foi dada uma ordenação sequencial, de acordo com um sistema de recuperação da informação. Em princípio, os documentos de cada série correspondem ao exercício de uma mesma função ou actividade, dentro de uma mesma área de actuação.”

- In IPQ, NP 4041, 2005.

Conjunto de elementos (entidades, meios, procedimentos) que funcionam de modo articulado, tendo em vista a gestão dos documentos produzidos/recebidos por um organismo no exercício das suas atividades. São elementos de um sistema de arquivo os documentos, as instalações, os equipamentos, os recursos humanos, as regras, os instrumentos técnicos, etc.

“Sistema de informação que integra, gere e fornece acesso a documentos de arquivo, ao longo do tempo.”

- In IPQ, NP 4438-1 e 2, 2005.

“Relação dos documentos de arquivo de um organismo ou administração que estabelece os que devem ter conservação permanente e fixa os prazos e condições de eliminação dos restantes. A tabela de selecção regista o resultado da avaliação.”

- In Dicionário, 1993.

“Lista estruturada de termos escolhidos (descritores) para representar o conteúdo de documentos, explicitando as relações hierárquicas, de equivalência e/ou de preferência entre eles. Em princípio, um tesauro tem um campo de aplicação específico (vocabulário de arquitectura, terminologia arquivística, etc.) e é acompanhado de regras de utilização.”

- In IPQ, NP 4041, 2005.

Conjunto de procedimentos e requisitos legais associados aos documentos, desde a sua produção ou receção, necessários ao cumprimento de uma determinada atividade administrativa.

“Mudança de documentos, arquivos ou acervos documentais de um depósito de arquivo para outro, com ou sem alteração de custódia.”

- In IPQ, NP 4041, 2005.

“Conjunto dos procedimentos técnicos que têm por objectivo a identificação, organização e descrição arquivística dos documentos de arquivo e dos dados e informações por eles veiculadas.”

- In IPQ, NP 4041, 2005.

“Documento de arquivo (…) e/ou cada um dos conjuntos em que se articula, consoante a organização que originalmente lhe(s) foi dada pela entidade produtora: processo, colecção, dossier, série, arquivo e respectivas subdivisões.”

- In IPQ, NP 4041, 2005.

Também se pode definir como documento simples ou conjunto de documentos de um mesmo arquivo (processo, coleção, dossier, série/sub-série, classe/sub-classe, fundo). Estes conjuntos resultam da organização dada ao arquivo pela entidade produtora.

“Documento ou conjunto de documentos, sob qualquer forma física, tratado como um todo e que, como tal, serve de base a uma descrição singular.”

- In CIA, ISAD(G), 1999.

“Unidade básica de acondicionamento e cotação das unidades arquivísticas. São unidades de instalação caixas, livros, maços, pastas, rolos, etc.”

- In IPQ, NP 4041, 2005.

Ou seja, é uma unidade básica de cotação, instalação e inventariação das unidades arquivísticas. São unidades de instalação também as disquetes, bobinas, cassetes, cd’s, etc.

“Valor atribuído a um documento de arquivo ou outra unidade arquivística, para efeitos de conservação permanente num serviço de arquivo. Resulta do seu valor probatório e/ou da relevância do seu valor informativo.”

- In IPQ, NP 4041, 2005.

Também chamado valor secundário.

Valor decorrente da informação veiculada por um documento de arquivo ou outra unidade arquivística, para a administração produtora, assim como para os utilizadores. São especialmente relevantes os que, independentemente do fim para que foram elaborados, testemunham a constituição e funcionamento dessa administração e/ou forneçam dados ou informações sobre pessoas, organizações, locais ou assuntos.

“Valor decorrente da relevância de um documento de arquivo, para comprovar, perante a lei, um facto ou constituir um direito.”

- In IPQ, NP 4041, 2005.

“Valor inerente aos documentos de arquivo, na medida em que consignam ou comprovam factos, constituem direitos e obrigações e são reconhecidos como garantia e fundamento de actos, factos e acontecimentos.”

- In IPQ, NP 4041, 2005.

Também chamado valor primário.

Universo composto pelos circuitos e tramitações documentais que acompanham, embora nem sempre se sobrepondo, a circulação e distribuição de tarefas, no contexto da atividade funcional de um organismo.

É o conjunto de métodos, técnicas e procedimentos utilizados na produção e difusão de estatísticas oficiais.

- In Lei Lei do Sistema Estatístico Naciona (Lei n.º 22/2008 de 13 de maio).

É a informação estatística produ- zida, em regra, no âmbito da execução do programa da acti- vidade estatística do SEN e das organizações internacionais das quais Portugal é membro, com respeito pelas normas técnicas nacionais e internacionais e com observância dos princípios: Autoridade estatística; Independência técnica; Segredo estatístico; Qualidade; Acessibilidade estatística; Cooperação entre autoridades estatísticas

- In Lei Lei do Sistema Estatístico Naciona (Lei n.º 22/2008 de 13 de maio).

São os dados que permitem a identificação directa das unidades estatísticas ou que, pela sua natureza, estrutura, conteúdo, importância, número, relação com outros dados ou grau de desagrega- ção, permitam, sem envolver um esforço e custo despro- porcionados, a sua identificação indirecta.

- In Lei Lei do Sistema Estatístico Naciona (Lei n.º 22/2008 de 13 de maio).

São os dados modificados de modo a minimizar, de acordo com a melhor prática metodológica e sem envolver um esforço e custo desproporcionados, a possibilidade de identificação das unidades estatísticas a que se referem.

- In Lei Lei do Sistema Estatístico Naciona (Lei n.º 22/2008 de 13 de maio).

São dados que são recolhidos por entidades do sector público sobre pessoas singulares ou colectivas, incluindo os dados individuais, com base em procedimentos administrativos que têm normalmente um fim primário que não é estatístico.

- In Lei Lei do Sistema Estatístico Naciona (Lei n.º 22/2008 de 13 de maio).

É a informação que des- creve as características das séries e dos dados estatísticos, bem como os conceitos e metodologias relevantes envol- vidos na sua produção e utilização.

- In Lei Lei do Sistema Estatístico Naciona (Lei n.º 22/2008 de 13 de maio).