Pareceres do EPD

20190104 - Parecer n.º 1

20190206 - Parecer n.º 2

20190211 - Parecer n.º 3

20190213 - Parecer n.º 4

20190315 - Parecer n.º 5

20190328 - Parecer n.º 6

20190402 - Parecer n.º 7

^{Acesso ao documento completo(Nível 3)}

Resumo

- O consentimento deve ser informado (finalidade do tratamento dos dados; identificação do responsável pelo tratamento; categorias de dados pessoais recolhidos e tratados; forma de recolha e tratamento dos dados pessoais; entidades a quem possam os dados ser comunicados; possibilidade da Transferência de dados para países terceiros, prazo de conservação dos dados; formas de exercício do direito de acesso, de retificação ou esquecimento; contacto do Encarregado de Proteção de Dados da Universidade de Coimbra) livre e esclarecido.

- O consentimento deve ser expresso de forma escrita, em linguagem clara, acessível, positiva, isenta de juízos de valor, que permita a compreensão e autonomia do titular dos dados.

- Ao titular dos dados devem ser prestados todos os esclarecimentos que este solicite.

- Deve ser dado um período de reflexão adequado.

- A informação e os esclarecimentos, quando haja intervenção de menores, deverão ser apropriados, em função da sua idade e grau de maturidade.

- A revogação do consentimento informado, esclarecido e livre pode ocorrer a qualquer momento, sem exigência de qualquer formalidade.

- Minuta p07 - Informação legal e consentimento para cedência de dados para investigação científica.

Suporte

- Carta dos Direitos Fundamentais da União Europeia (2016/C 202/02, do Jornal Oficial da EU, de 7 de junho).

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Despacho n.º 15847/2007, de 23 de julho - Realização de estudos e inquéritos nas escolas.

- Regulamento 536/2014, de 16 de abril - Ensaios clínicos de medicamentos para uso humano.

- Orientações WP 243/2017, de 5 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Encarregados da Proteção de Dados.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Orientações WP 260/2018, de 11 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Transparência na aceção do Regulamento 2016/679.

- Parecer n.º 6/2019, de 28 de março - EPD-UC.

20190410 - Parecer n.º 8

^{Acesso ao documento completo (Nível 3)}

Resumo

A contratação de serviços informáticos para tratamento de dados pessoais, através de computação na nuvem, não é vedada pelo RGPD, desde que:

- o responsável pelo tratamento recorra apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas (conhecimentos especializados, fiabilidade e recursos), que cumprem com os requisitos do regulamento e demonstram capacidade de resposta às solicitações dos cidadãos, no âmbito do acesso a documentos administrativos, através de código de conduta aprovado ou de procedimento de certificação aprovado.

- os titulares dos dados estejam devidamente informados de quem efetua o tratamento e de quais os dados tratados, como são tratados, com que finalidade e qual o prazo de conservação.

Caso o serviço seja completamente autónomo ao tratamento que vem sendo efetuado pela UC, a licitude para a recolha e tratamento dos dados depende do consentimento explícito dos titulares dos dados.

Caso o serviço não requeira quaisquer dados recolhidos e tratados pela UC, salvaguardando os dados privados dos utilizadores, é altamente recomendável obter o consentimento dos titulares dos dados depois de devidamente informados das condições do tratamento em causa.

Caso o serviço a contratar em web, com interconexão de dados, requeira a leitura e atualização de dados em ambos os sistemas, para além de ser dado conhecimento aos titulares desta subcontratação, há que garantir todas as medidas para a segurança dos dados, para a exatidão dos dados e a sua atualização permanente e consistente.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 67/1998, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Lei n.º 26/2016, de 22 de agosto - Nova LADA.

- Resolução do Conselho de Ministros n.º 41/2018, de 28 de março - Orientações técnicas para a Administração Pública, recomendando-as ao setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD.

- Despacho n.º 755/2019, de 17 de janeiro - Alteração ao Regulamento Académico da Universidade de Coimbra.

- Regulamento n.º 341/2015, de 17 de junho - Regulamento Académico da Universidade de Coimbra.

- Parecer n.º 1/2010, de 16 de fevereiro, do Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Conceitos de «responsável pelo tratamento» e «subcontratante».

- Parecer n.º 5/2012, de 1 de julho, do Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Computação em nuvem.

- Parecer n.º 6/2019, de 28 de março - EPD-UC.

20190424 - Parecer n.º 9

20190430 - Parecer n.º 10

^{Acesso ao documento completo (temporariamente indisponível).}

Resumo

- No momento da recolha dos dados (nome e email), os titulares devem ser informados da finalidade do tratamento dos dados (que deve incluir a eventual participação em estudos científicos de carácter curricular), da identificação do responsável pelo tratamento dos dados, as categorias de dados pessoais recolhidos e tratados, a forma de recolha e tratamento dos dados pessoais, as entidades a quem possam os dados ser comunicados, sobre a possibilidade da transferência de dados para países terceiros, o prazo de conservação dos dados, as formas de exercício do direito de acesso, de retificação ou esquecimento e o contacto do Encarregado de Proteção de Dados da Universidade de Coimbra.

- Esta cedência de dados, deve ser comunicada ao EPD UC e aplica-se exclusivamente à comunidade académica da UC, para teses que confiram graus académicos, ficando o docente orientador solidariamente responsabilizado por eventuais incumprimentos, quando estes resultarem inequivocamente da sua ação.

- O processo de recolha e tratamento de dados subsequente para efeitos da investigação, deve iniciar-se com a obtenção do consentimento dos titulares dos dados e ser leal, lícito, transparente e respeitador das normas de minimização de dados e os direitos individuais.

- Concluído o trabalho académico, os dados cedidos devem ser destruídos.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 67/1998, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Lei 62/2007, de 10 de outubro - Regime Jurídico das Instituições de Ensino Superior.

- Decreto-Lei n.º 65/2018, de 16 de agosto - Regime jurídico dos graus académicos e diplomas do ensino superior.

- Parecer n.º 6/2019, de 28 de março - EPD-UC.

- Parecer n.º 7/2019, de 2 de abril - EPD-UC.

- Recomendação/2018, de 9 de novembro - EPD-UC

20190530 - Parecer n.º 11

20190612 - Parecer n.º 12

20190614 - Parecer n.º 13

20190619 - Parecer n.º 14

20190626 - Parecer n.º 15

^{Acesso ao documento completo, revisto a 18 de março de 2021 (Nível 3)}

Assunto

Tratamento de dados pessoais na outorga de contrato de trabalho para efeitos de constituição ou manutenção de vínculo de emprego público.

Resumo

Na sua versão original do Parecer 15, pré Lei n.º 58/2019 de 8 de agosto, foi entendimento do EPD-UC que o tratamento de dados pessoais em geral, no âmbito da gestão dos recursos humanos, tem como fundamento de legitimidade a execução do contrato de trabalho e a lei. Contudo, para além da Avaliação de Impacto sobre a Proteção de Dados, foi entendimento que só o Consentimento do titular dos dados permitiria o tratamento de dados Biométricos. Ora, esse entendimento foi alterado pela Lei n.º 58/2019, deixando assim o Consentimento de ser necessário para legitimar o tratamento por parte da entidade empregadora, continuando, no entanto, a ser necessária a Informação Legal prestada ao colaborador/a.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 67/1998, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 7/2007, de 5 de fevereiro - Cria o cartão de cidadão e rege a sua emissão e utilização.

- Lei n.º 7/2009, de 12 de fevereiro - Código do Trabalho.

- Lei n.º 35/2014, de 20 de junho - Lei Geral de Trabalho em Funções Públicas, na sua redação atual.

- Decreto-Lei n.º 44198/1962, de 20 de fevereiro - Regime de obrigatoriedade da vacinação antidiftérica e antitetânica.

- Regulamento n.º 423/2009, de 27 de outubro - Regulamento da Administração da Universidade de Coimbra.

- Regulamento n.º 798/2018, de 30 de novembro - Torna público o Regulamento n.º 1/2018 - Tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados.

- Deliberação n.º 494/2019, de 3 de setembro - CNPD.

- Autorização n.º 1761/2007, de 17 de setembro - CNPD - Tratamento de dados biométricos na Universidade de Coimbra.

20190702 - Parecer n.º 16

^{Acesso ao documento completo(Nível 3)}

Resumo

A contratação de serviços informáticos para tratamento de dados pessoais não é vedada à luz do RGPD, desde que o responsável pelo tratamento recorra apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas à salvaguarda dos direitos e liberdades dos titulares, sendo necessário que:

- Exista uma correta identificação do subcontratante e que se impeça ou controle contratualmente o tratamento em cadeia que envolva múltiplos subcontratantes.

- Os dados pessoais sejam tratados em locais geográficos do Espaço Económico Europeu (EEE).

- Os dados pessoais não sejam transferidos para países terceiros fora do EEE.

- Os titulares dos dados, quando estudantes da UC, sejam previamente informados de quem efetua o tratamento, quais os dados tratados, como são tratados, com que finalidade e qual o prazo de conservação, de acordo com a minuta anexa - minuta p16.

- Seja obtido consentimento escrito, sempre que os titulares dos dados não sejam alunos da UC.

Caso o serviço a contratar implique uma interconexão de dados com os sistemas atuais (Nónio) para os dados dos alunos da UC, para além de ser dado conhecimento aos titulares desta subcontratação, há que garantir medidas de segurança para que os dados apresentem exatidão e atualização permanentes.

O subcontratante deve também demonstrar a capacidade de garantir resposta às solicitações dos cidadãos, no âmbito do acesso a documentos administrativos, e demonstrar garantias técnicas e organizativas de compliance com o RGPD.

O contrato, deverá incluir, também, todos os aspetos relevantes para efeito de proteção de dados.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 67/1998, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Resolução do Conselho de Ministros n.º 41/2018, de 28 de março - Orientações técnicas para a Administração Pública, recomendando-as ao setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD.

- Regulamento 423/2009, de 27 de outubro - Regulamento da Administração da Universidade de Coimbra.

- Regulamento n.º 341/2015, de 17 de junho, alterado pelo Despacho n.º 755/2019, de 17 de janeiro - Regulamento Académico da Universidade de Coimbra.

- Parecer n.º 6/2019, de 28 de março - EPD-UC.

- Parecer n.º 8/2019, de 10 de abril - EPD-UC.

20190731 - Parecer n.º 17

20191009 - Parecer n.º 18

20191015 - Parecer n.º 19

20191203 - Parecer n.º 20

20200102 - Parecer n.º 21

^{Acesso ao documento completo(Nível 3)}

Resumo

Uma criança que tenha completado os 13 anos de idade, está apta a consentir o uso dos seus dados pessoais, unicamente para as condições previstas no art.º 8.º do RGPD (“Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação”) .

O responsável pelo tratamento de dados pessoais de titulares com idades compreendidas entre os 13 e os 18 anos, independentemente de abrangidos ou não pelo disposto no artigo 8.º do RGPD, deve:

- Sensibilizar e recolher o consentimento do titular, como medida de “participação gradual das crianças na proteção dos seus dados pessoais” e assim aumentar a consciencialização das crianças sobre os riscos, as consequências, e a salvaguarda dos direitos de proteção.

- Comprovar a idade dos titulares.

- Evitar recolha excessiva de dados pessoais.

- Utilizar linguagem clara e simples.

- Conhecer os diferentes direitos nacionais, em caso de serviços transfronteiriços.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Decreto Lei n.º 47344/1966, de 25 de novembro - Código Civil, versão consolidada.

- Diretiva 98/48/CE do Parlamento Europeu e do Conselho, de 20 de Julho -Altera a Directiva 98/34/CE relativa a um procedimento de informação no domínio das normas e regulamentações técnicas.

- Diretiva 2000/31/CE do Parlamento Europeu e do Conselho, de 8 de junho -Aspetos legais dos serviços da sociedade de informação, em especial do comércio eletrónico, no mercado interno.

- Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho, de 9 de setembro - Procedimento de informação no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação (codificação).

- Parecer n.º 2/2009, de 11 de fevereiro - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - A protecção dos dados pessoais das crianças (Orientações gerais e a situação especial das escolas).

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Acórdão do Tribunal de Justiça/2010, de 2 de dezembro, Processo n.º C-108/09.

- Acórdão do Tribunal de Justiça da União Europeia/2017, de 20 de dezembro, Processo n.º C-434/15.

20200217 - Parecer n.º 22

20200224 - Parecer n.º 23

^{Acesso ao documento completo (Nível 3)}

Resumo

- Se o tratamento de imagens se destina a fins jornalísticos, deve-se respeitar o acesso e exercício da profissão de jornalista.

- Se a finalidade de tratamento de imagens é a liberdade de expressão académica, só deve haver uso de imagens se estas não assumirem o “tratamento de categorias especiais de dados pessoais” e se forem tratadas de boa fé, de forma robusta, sustentada, enfatizada, civilizada e respeitadora.

- Se os fins do tratamento das imagens são de arquivo de interesse público, investigação científica ou histórica, ou para fins estatísticos, são aplicáveis as garantias e derrogações previstas no artigo 89.º do RGPD, complementado com o disposto no artigo 31.º da Nova Lei de Proteção de Dados.

- No caso de registo de imagem de grupos, quem recolhe as imagens deve comunicar antecipadamente essa intenção, preferencialmente por escrito, em sinalética informativa, visível, à entrada dos espaços sujeitos a captação de imagens.

- Noutros casos, a utilização de imagens deve ser precedida de consentimento válido dos titulares.

- Em qualquer caso, a intenção de utilização de imagens em páginas de internet ou de redes sociais deve ser comunicada previamente e de forma inequívoca aos titulares dos dados, aquando da sua recolha.

- O responsável pelo tratamento deve manter registos de todas as atividades de tratamento para garantir que a finalidade original para a qual a imagem foi obtida, é respeitada.

- As imagens podem estar sujeitas a direitos de autor e/ou direitos comerciais, para os quais é necessário obter a autorização de publicação ou reprodução.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 1/1999, de 13 de janeiro - Estatuto do Jornalista.

- Decreto Lei n.º 47344/1966, de 25 de novembro - Código Civil, versão consolidada.

- Acórdão n.º 1581/2011, de 7 de junho - Supremo Tribunal de Justiça.

- Conselho da Europa, Dossiê interinstitucional: 2012/0011 (COD), Bruxelas, 11 de junho de 2015 (9565/15).

- Publicação A Preliminary Opinion on data protection and scientific research, European Data Protection Supervisor, de 6 de janeiro de 2020.

- Parecer n.º 12/2019, de 12 de junho - EPD-UC.

- Parecer n.º 18/2019, de 9 de outubro - EPD-UC.

- Parecer n.º 20/2019, de 3 de dezembro - EPD-UC.

- Parecer n.º 21/2019, de 6 de dezembro - EPD-UC.

20200327 - Parecer n.º 24

^{Acesso ao documento completo (Nível 3)}

Resumo

As autorizações de videovigilância emitidas antes de 25 de maio continuam válidas, em tudo o que não contrarie o disposto no RGPD e na Lei 58/2019 (artigo 19.º) e desde que os responsáveis pelo tratamento cumpram as condições estabelecidas nas respetivas autorizações.

A instalação de sistemas de videovigilância deve respeitar os seguintes requisitos:

- A finalidade é limitada à proteção de pessoas e bens.

- No caso de sistemas com gravação, obrigatoriamente codificadas, o período de conservação das imagens é de 30 dias, findo o qual deverão ser destruídas, no prazo máximo de 24 horas.

- O acesso às imagens é restrito a pessoas em razão das suas funções, que devem guardar sigilo, sob pena de procedimento criminal.

- É proibida a cópia das gravações.

- É proibida a recolha de som, exceto nos termos previstos no artigo 19.º da Lei Nacional, sujeito a autorização pela CNPD.

- O sistema deve permitir o acesso direto às imagens em tempo real, pelas forças e serviços de segurança, para efeitos de ações de prevenção ou de investigação criminal, lavrando auto fundamentado da ocorrência.

- É obrigatório um sistema de alarmística que permita alertar as forças e serviços de segurança territorialmente competentes em caso de iminente perturbação, risco ou ameaça à segurança de pessoas e bens que justifique a sua intervenção.

- O sistema deve registar os acessos, incluindo a identificação de quem a eles acede, e apresentar garantias de inviolabilidade dos dados relativos à data e hora da recolha.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 7/2009, de 12 de fevereiro - Código do Trabalho.

- Lei nº 34/2013, de 16 de maio - Regime do exercício da atividade de segurança privada.

- Lei n.º 46/2019, de 8 de julho - Altera regime do exercício da atividade segurança privada e da autoproteção.

- Portaria n.º 273/2013, de 20 de agosto - Regula a lei nº 34/2013.

- Parecer n.º 95/2003, de 6 de novembro - PGR - Direito à imagem, a informar, à recolha de imagem e à intimidade da vida privada.

- Parecer n.º 10/2017, de 28 de julho - PGR - A Videovigilância - Atividade Policial ou de Segurança (Investigação Criminal).

20200410 - Parecer n.º 25

^{Acesso ao documento completo (Nível 3)}

Resumo

Provas públicas no atual cenário de crise, realizadas por teleconferência:

- Deve ser publicitada a informação necessária e indispensável para que a atividade possa ser visionada com condições técnicas, de segurança e de confidencialidade.

- Eventual gravação das sessões, por qualquer dos participantes ou por terceiros, desvirtua o disposto na Lei.

- Para além do acordo entre as partes para a realização da prova, é expressamente proibido o tratamento de dados, ao nível da gravação do som e/ou de imagem, exceto se houver consentimento expresso de todos os membros do referido ato público.

Outras provas de avaliação no atual estado de crise pandémica por teleconferência:

- Compete ao responsável pelo tratamento identificar a base de licitude para o tratamento entre uma das previstas no artigo 6.º do RGPD.

-Muitos dos tratamentos de dados efetuados pela UC encontram fundamentação em Lei habilitante (al. c) do artigo 6.º), como sejam os tratamentos de dados dos processos dos estudantes e dos processos dos colaboradores.

- Situações em que o docente venha a necessitar de auxiliares de avaliação (ou seja, da absoluta imprescindibilidade de garantir a sua veracidade) que consistam na gravação de imagens e/ou sons do próprio estudante, o visionamento ou a audição das mesmas só pode incidir sobre as tarefas/atividades desempenhadas, ficando a sua utilização interdita para outro fim.

- Caso se verifique a necessidade expressa no ponto anterior, é lícito proceder ao referido tratamento de dados pessoais até que seja possível retomar as condições habituais da prática letiva.

-Noutras situações, a gravação de imagem e/ou som do estudante, só pode ocorrer caso tenha sido obtido o seu consentimento prévio;

- Os titulares dos dados (os estudantes) devem ser informados em tudo o que está previsto no artigo 13.º do RGPD.

Registo de tratamento e destruição de dados pessoais:

- O responsável pelo tratamento (RT) deve manter registos de todas as atividades de tratamento.

- O RT deve considerar as recomendações da CNPD no que diz respeito às soluções tecnológicas e assegurar que, após concluído o processo de avaliação, todos os registos de imagens e/ou sons são de imediato e irreversivelmente destruídos.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Lei n.º 48/1995, de 15 de março - Código Penal.

- Lei n.º 34/2013 de 16 de maio, na redação dada pela Lei n.º 46/2019 de 8 de julho - Regula a atividade de segurança privada.

- Lei n.º 102/2019, de 6 de setembro - Acolhe as disposições da Convenção do Conselho da Europa contra o Tráfico de Órgãos Humanos, alterando o Código Penal e o Código de Processo Penal.

- Lei n.º 1-A/2020, de 19 de março - Medidas excecionais e temporárias de resposta à situação epidemiológica provocada pelo coronavírus SARS-CoV-2 e da doença COVID-19.

- Lei n.º 4-A/2020, de 6 de abril - Procede à primeira alteração à Lei n.º 1-A/2020.

- Decreto Lei n.º 47344/1966, de 25 de novembro - Código Civil, versão consolidada.

- Decreto-Lei n.º 74/2006, de 24 de março - Regime jurídico dos graus e diplomas do ensino superior.

- Decreto-Lei n.º 65/2018, de 16 de agosto - Regime jurídico dos graus e diplomas do ensino superior - Republicação do Decreto-Lei n.o 74/2006, de 24 de março.

- Decreto-Lei n.º 133/2019, de 3 de setembro - Aprova o regime jurídico do ensino superior ministrado a distância.

- Decreto-Lei n.º 10-A/2020, de 13 de março - Estabelece medidas excecionais e temporárias relativas à situação epidemiológica do novo Coronavírus — COVID 19.

- Decreto do Presidente da República n.o 14-A/2020 de 18 de março - Declara o estado de emergência, com fundamento na verificação de uma situação de calamidade pública.

- Decreto da Presidência do Conselho de Ministros, n.º 2-A/2020, de 20 de março - Procede à execução da declaração do estado de emergência efetuada pelo Decreto do Presidente da República n.o 14-A/2020, de 18 de março.

- Decreto do Presidente da República n.º 17-A/2020, de 2 de abril - Renova a declaração de estado de emergência, com fundamento na verificação de uma situação de calamidade pública.

- Decreto do Presidente da República n.º 2-B/2020, de 2 de abril - Regulamenta a prorrogação do estado de emergência decretado pelo Presidente da República.

- Resolucão da Assembleia da República n.º 22-A/2020, de 2 de abril - Autorizacão da renovacão do estado de emergência.

- Nota Esclarecimento Gabinete do Ministro da Ciência, Tecnologia e Ensino Superior, de 20 de março 2020 - Funcionamento de órgãos colegiais e realização de provas públicas por vídeo conferencia e utilização de meios eletrónicos.

- Acórdão n.º 607/2003, de 5 de dezembro - Tribunal Constitucional - Garantias de processo criminal.

- Acórdão n.º 1581/2011, de 7 de junho - Supremo Tribunal de Justiça.

- Despacho n.º 19/2019, de 7 de fevereiro - Aprova o calendário com os períodos letivos e de avaliação para o ano letivo de 2019/2020 na Universidade de Coimbra.

- Despacho Reitoral n.º 55/2020, de 2 de abril - Suspensão da atividade letiva presencial e a transição dos regimes de avaliação para meios digitais.

- Parecer n.º 1/2010, de 16 de fevereiro - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados.

- Parecer n.º 6/2014, de 9 de abril - Grupo de Trabalho do Artigo 29.º para a Proteção de Dados - Conceito de interesses legítimos do responsável pelo tratamento dos dados na aceção do artigo 7.º da Diretiva 95/46/CE.

- Orientações da CNPD/2020, de 8 de abril - Utilização de tecnologias de suporte ao ensino à distância.

ATUALIZAÇÃO

- Decreto-Lei n.º 14-G/2020, de 13 de abril - Aprova conjunto de medidas de modo a assegurar a continuidade do ano letivo 2019/2020.

- Resolução do Conselho de Ministros n.º 33-A/2020, de 30 de abril - Declara a situação de calamidade, no âmbito da pandemia da doença COVID-19.

- Gabinete do Ministro da Ciência, Tecnologia e Ensino Superior, de 30 de abril de 2020 - Recomendação às instituições científicas e de ensino superior relativamente à cessação do estado de emergência motivado pela pandemia COVID-19.

- Plano da Universidade de Coimbra, de 30 de abril de 2020 - Levantamento progressivo das medidas de contenção motivadas pela pandemia COVID-19.

- Decreto-Lei n.º 20-H/2020, de 14 de maio - Estabelece medidas excecionais de organização e funcionamento das atividades educativas e formativas, no âmbito da pandemia da doença COVID-19.

- Gabinete do Ministro da Ciência, Tecnologia e Ensino Superior, de 15 de maio de 2020 - Recomendação às instituições científicas e de ensino superior para garantir o processo de reativação faseada e responsável das atividades na presença de estudantes, docentes e investigadores.

- Orientações da CNPD/2020, de 25 de maio - Avaliação à distância nos estabelecimentos de ensino superior.

20200707 - Parecer n.º 26

20200710 - Parecer n.º 27

20200721 - Parecer n.º 28

20200826 - Parecer n.º 29

^{Acesso ao documento completo (Nível 3)}

Resumo

- O tratamento de dados pessoais para efeitos de avaliação de desempenho, não é sujeito a consentimento, dado que a licitude do tratamento decorre de obrigação legal.

- Ainda que não haja lugar a consentimento, o responsável pelo tratamento de dados pessoais deve garantir que junto dos titulares foram prestadas todas as informações referidas no ponto 8* dos fundamentos.

*Apesar de incorporar muitos dos princípios, direitos e obrigações que constavam da legislação anterior, um dos novos propósitos inscrito no RGPD, é o de transferir para o titular o controlo sobre os seus dados pessoais. Esta é uma das razões que obriga o responsável pelo tratamento a facultar ao titular dos dados um conjunto de informações transparentes, sobre as atividades de processamento, bem como sobre os direitos do titular, a forma do seu exercício e, particularmente, quando aplicável, quem são os terceiros a quem vão ser comunicados os seus dados e com que finalidades.

- Qualquer titular dos dados tem acesso, a todo o tempo, aos seus próprios dados pessoais.

- As atas das reuniões do Conselho Coordenador da Avaliação (CCA) relativas às suas competências, inscritas nas alíneas a), b) e c) do art.º 58.º/1 da Lei nº 66-B/2007, não estão cobertas pela regra do sigilo.

- As atas das reuniões do CCA relativas à validação e apreciação de trabalhadores, bem como as atas das reuniões da Comissão Paritária (CP), decorrentes de pedidos e/ou reclamações, elaboradas no exercício das respetivas competências, estão sujeitas à confidencialidade.

- Os documentos da avaliação (atas, relatórios, pareceres, etc.) que possuem dados pessoais de pessoas físicas, identificadas ou identificáveis, são documentos nominativos pelo que o acesso e consulta não é de acesso livre, mas condicionado.

- A regra da confidencialidade não é absoluta, estando condicionada ao princípio da transparência, podendo haver situações em que cede perante valores mais fortes em presença, mesmo que o requerente não possua autorização escrita de todos os titulares de dados visados (avaliados), desde que para o efeito demonstre, fundamentadamente, “um interesse direto, pessoal, legítimo e constitucionalmente protegido” e “suficientemente relevante” para justificar o acesso.

- O direito de acesso a documentos de natureza nominativa, deve ser ponderado por diversos elementos, designadamente pela fundamentação sustentada pelo requerente, pela relevância dos documentos solicitados e das consequências na esfera do requerente, bem como a presença de dados de natureza especial nos documentos solicitados.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Lei n.º 46/2007, de 24 de agosto - LADA.

- Lei n.º 66-B/2007, de 28 de dezembro - SIADAP - versão consolidada.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Acórdão do Supremo Tribunal da Justiça, de 5 de junho de 2012, Processo n.º 127/11.3YFLB.

- Acórdão do Tribunal Central Administrativo Norte, de 19 de abril de 2018, Porcesso n.º 2620/17.5BEBRG.

- Deliberação n.º 494/2019 - CNPD - Desaplicação de artigos da Lei n.º 58/2019, de 8 de agosto.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobra a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Pareceres n.º^s 70/2009, 346/2018, 404/2018, 48/2019, 181/2019, 318/2019, 319/2019, 99/2020, 148/2020 e 332/2020 - CADA.

- Parecer n.º 15/2019, de 26 de junho - EPD-UC.

- Parecer n.º 26/2020, de 7 de julho - EPD-UC.

20201027 - Parecer n.º 30

^{Acesso ao documento completo (Nível 3)}

Resumo

- O tratamento de informação pessoal/privada, guardada nas instalações e/ou arquivos digitais da UC, deve ser regulado por normativo interno, que permita a todos os intervenientes participar na sua elaboração e conhecer as regras que deverá observar no decurso da execução do trabalho em funções públicas.

- O tratamento de dados pessoais obtidos na sequência da monitorização da atividade desenvolvida pelos trabalhadores, tem de ser previamente do seu conhecimento e não pode invadir a esfera da vida privada.

- Os trabalhadores devem respeitar as regras de utilização dos instrumentos de trabalho, disponibilizados pela entidade empregadora, para fins pessoais.

- Os trabalhadores devem ser informados das finalidades do tratamento dos dados e deve permitir-se o direito de aceder aos seus dados pessoais.

- Na elaboração do regulamento deve ser auscultada a comissão de trabalhadores, ou de outras estruturas representativas dos trabalhadores, devendo ser seguida da respetiva publicitação de envio à Autoridade para as Condições do Trabalho.

- Deve-se proceder à sua publicitação junto dos interessados, pelos canais adequados, seja nos sítios de internet institucionais, seja afixando-o nos locais de trabalho, de modo que os trabalhadores possam deles tomar pleno conhecimento.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Lei n.º 7/2009, de 12 de Fevereiro - Código do Trabalho (versão aprovada pela Lei n.º 93/2019, de 4 de setembro).

- Decreto Lei n.º 47344/1966, de 25 de novembro - Código Civil.

- Decreto Lei n.º 48/95, de 15 de março - Código Penal.

- Acórdão do Supremo Tribunal de Justiça, de 5 de julho de 2007, Processo n.º 07S043.

- Acórdão do Tribunal da Relação do Porto, de 15 de dezembro de 2016, Processo nº 208/14.1TTVFR-D.P1.

- Deliberação da CNPD, de 29 de outubro de 2002 - Princípios sobre a privacidade no local de trabalho.

- Deliberação n.º 1638/2013, de 16 de julho - CNPD - Controlo da utilização para fins privados das tecnologias de informação e comunicação no contexto laboral.

- Parecer n.º2/2017, de 8 de junho - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Tratamento de dados no local de trabalho.

- Parecer n.º 15/2019, de 26 de junho - EPD-UC.

- Parecer n.º 17/2019, de 31 de julho - EPD-UC.

20201104 - Parecer n.º 31

^{Acesso ao documento completo (Nível 3)}

Resumo

- O WhatsApp não responde ao modelo administrativo e organizacional das entidades públicas, não dando as garantias que um administrado espera e exige do Estado.

- As aplicações tradicionais da UC devem ser personalizadas, adaptadas e corrigidas, para responderem às necessidades da atividade, com vantagem sobre a segurança dos dados e a privacidade dos titulares.

- Eventual opção pelo WhatsApp, deve cingir-se à utilização mínima de dados pessoais, apenas como um canal de comunicação para fins informativos ou de marketing e não como um meio de partilha de dados pessoais ou informações confidenciais.

- A UC deve sensibilizar os intervenientes para a elevada consciência ética que deve prevalecer na utilização da aplicação.

- Caso seja introduzido um widget na página web da UC, ao contrário da prática universal, este deverá ser apresentado desativado, podendo o mesmo ser ativado pelo utilizador através de um interruptor (flag).

- Deve-se adoptar um processo de opt-in (autorização do titular, para receber mensagens).

- Deve ser disponibilizada informação legal/consentimento, adaptada de uma destas minutas.

- Os utilizadores do grupo devem utilizar equipamentos seguros e assinar um acordo/compromisso de ética que abranja toda a sua interação.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 38/2007, de 16 de agosto - Regime Jurídico da Avaliação do Ensino Superior (RJAES).

- Decreto-Lei n.º 4/2015, de 07 de janeiro - Código do Procedimento Administrativo (CPA).

- Despacho n.º 827/2020, de 21 de janeiro - Regulamento da Reitoria da Universidade de Coimbra.

- Acórdão do Tribunal de Justiça (grande secção), de 5 de junho de 2018, Processo C-210/16.

- Acórdão do Tribunal Constitucional n.º 464/2019, de 21 de outubro.

- Acórdão do Tribunal de Justiça da UE, de 16 de julho de 2020, Processo C-311/18.

- Deliberação da Agência Espanhola de Proteção de Dados, P-334/19.

20210226 - Parecer n.º 32

^{Acesso ao documento completo (Nível 3)}

Resumo

- A LPDP produz efeitos a partir de 8 de agosto de 2019, pelo que, os sobrevivos só podem recorrer por esta via, se os falecimentos ocorreram após a entrada em vigor desta norma.

- É possível ao herdeiro provar que o é, mas será mais difícil demonstrar que o falecido não lhe vedou o exercício desses direitos, nem designou o acesso a terceiros. Deste modo, mediante as circunstâncias do pedido, pode a instituição solicitar ao herdeiro que este ateste não conhecer qualquer impedimento ao exercício desses direitos.

- Haverá situações em que importa defender a privacidade do titular dos dados e, nestas circunstâncias, deverá ser ponderado se o terceiro está legalmente habilitado para o acesso à informação, especialmente quando está em causa o tratamento da categoria de dados especiais. Nestes casos e noutros de categoria similar, é aconselhável solicitar ao herdeiro a fundamentação do interesse direto e pessoal legítimo, conforme aliás previsto no art.º 6.º/5 e no art.º 7.º , da LADA e na Lei n.º 12/2005 de 26 de janeiro.

- Haverá ainda situações, nomeadamente aquelas que envolvam o tratamento de dados pessoais inseridos em categorias especiais, cuja divulgação deve ser precedida de parecer da comissão de ética, de modo a garantir o princípio constitucional do direito do titular.

- Nas restantes situações, não havendo dúvidas sobre a posição do herdeiro (requerente do acesso) e não tendo a UC uma declaração de designação de outra pessoa ou a determinação da impossibilidade de acesso emitidas pelo titular falecido, deverá ser facultado o acesso ao requerente.

Pese embora o Parecer da Ordem dos Médicos de 11.02.2021, cujas conclusões divergem parcialmente das apresentadas no presente parecer, o EPD-UC mantém integralmente o seu conteúdo.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 22 de agosto - Lei de Acesso a Informação Administrativa e Ambiental.

- Lei n.º 12/2005 de 26 de janeiro - Informação genética pessoal e informação de saúde.

- Parecer nº 20/2018, de 2 de maio - CNPD.

- Parecer n.º 236/2019, de 19 de novembro - CADA.

- Parecer n.º 45/2020, de 17 de março - CADA.

- Parecer n.º 169/2020 de 15 de setembro - CADA.

- Parecer n.º 191/2020 de 15 de setembro - CADA.

20210529 - Parecer n.º 33

^{Acesso ao documento completo (Nível 3)}

Resumo

- A difusão pública e respetiva publicidade de informação relativa ao Corpo docente, regime do vínculo à instituição e regime de prestação de serviços, no contexto das relações laborais, é inevitável nos casos determinados na Lei, porque cumpre finalidades legais e funções legítimas.

- Havendo norma legal a autorizar ou a impor a afixação de informação administrativa, em nome dos princípios que regem a ação da administração pública, nomeadamente da igualdade, da imparcialidade e da boa-fé, deve-lhe ser dado cumprimento, mesmo quando aquela informação contenha dados pessoais.

- Numa lógica de compatibilização da obrigatoriedade de divulgação com os direitos dos titulares dos dados, devem estar sempre presentes os princípios da proporcionalidade e da minimização dos dados pessoais, isto é, a informação disponibilizada, deve ser na estrita medida do adequado e necessário a prosseguir o interesse legal:

A subordinação jurídica deve ser ponderada “em relação à sua função na sociedade e ser equilibrada com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade.” , i.e., pressupõe que a atuação administrativa seja adequada (eficácia), necessária (eficiência) e proporcional em sentido estrito (racionalidade) ;
O princípio da minimização dos dados imputa ao responsável pelo tratamento adequação da necessidade dos dados a recolher às finalidades do tratamento, i.e., os dados deverão ser adequados, pertinentes e limitados ao estritamente necessário ao imposto pela Lei.

- Esta divulgação pode ser efetuada em área reservada da intranet da instituição, sem acesso a terceiros, alheios à comunidade laboral.

- A informação deve ser submetida a um processo de digitalização/imagem, com a marca da UC em fundo, ou outro processo similar, que dificulte a leitura automatizada da informação.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 59/2019, de 8 de agosto - Aprova regras de prevenção, deteção, investigação ou repressão de infrações penais.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 22 de agosto - Lei de Acesso a Informação Administrativa e Ambiental.

- Lei n.º 62/2007, de 10 de Setembro - Regime jurídico das instituições de ensino superior.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Acórdão Tribunal da Relação de Coimbra, de 27 de setembro de 2007, Processo 1162/06.9TTCBR.C1.

- Parecer 7/2001, de 24 de abril - CNPD.

- Parecer da CNPD/2001, de 21 de maio - Diploma Laboral.

20210831 - Parecer n.º 34

^{Acesso ao documento completo (Nível 1)}

Resumo

Existem valores que se sobrepõem à proteção de dados pessoais:

- O direito de acesso ao documento administrativo versus as limitações no acesso ao documento administrativo;

- As limitações no acesso ao documento administrativo versus o interesse direto, pessoal, legítimo e constitucionalmente protegido; e, ainda

- A obrigatoriedade da publicitação da informação relativa a remunerações versus a reutilização de documentos administrativos.

A análise à transparência da administração pública e ao exercício do direito à privacidade, deve merecer uma adequada ponderação dos interesses e valores que se apresentem, devendo a mesma respeitar os princípios da proporcionalidade e da minimização dos dados pessoais, isto é, a informação disponibilizada, deve ser na estrita medida do adequado e necessário a prosseguir a finalidade do tratamento de dados:

- O princípio da minimização dos dados imputa ao responsável pelo tratamento adequação da necessidade dos dados a recolher às finalidades do tratamento, i.e., os dados deverão ser adequados, pertinentes e limitados ao estritamente necessário ao imposto pela Lei;

- O princípio da proporcionalidade impõe que a disponibilização da informação seja concretizada na estrita medida do adequado e necessário a prosseguir o interesse dos sindicatos. Do mesmo modo, não pode ser descurado o teor do considerando 4 do RGPD, segundo o qual o “direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade";

- A subordinação jurídica deve ser ponderada “em relação à sua função na sociedade e ser equilibrada com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade.” , i.e., pressupõe que a atuação administrativa seja adequada (eficácia), necessária (eficiência) e proporcional em sentido estrito (racionalidade) .

Deve ser feita uma separação entre a parte do pedido de informação que não contêm dados pessoais e a parte do pedido que diz respeito a informação/documentação nominativa.

A informação que não contém dados pessoais deve ser disponibilizada.

A informação que contém dados pessoais fica excluída da regra do livre acesso, nos termos do art.3º/1/b e do art.º 6.º/5 da LADA, conjugados com do art.º 4.º/1 do RGPD, devendo o Responsável pelo tratamento verificar se a sua disponibilização se enquadra no cumprimento de uma obrigação jurídica (art.º 6/1/c do RGPD), ou na prossecução de um interesse legítimo de um terceiro (art.º 6/1/f) ou, ainda, se os titulares dos dados consentiram o envio dos seus dados (art.º 6.º/1/a do RGPD).

Sem qualquer um dos pressupostos indicados, a informação só deve ser disponibilizada de modo agregada ou anonimizada, sobretudo quando a finalidade do tratamento pode ser alcançada por meios menos intrusivos ou pelo tratamento de menos dados pessoais, nomeadamente através do interesse legítimo dos Sindicatos, mas com o recurso aos dados recolhidos diretamente junto dos seus associados.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Carta dos Direitos Fundamentais da União Europeia (2016/C 202/02, do Jornal Oficial da EU de 7 de junho).

- Lei n.º 67/98, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 22 de agosto - Lei de Acesso a Informação Administrativa e Ambiental.

- Lei n.º 46/2007, de 24 de agosto - LADA.

- Lei n.º 62/2007, de 10 de Setembro - Regime jurídico das instituições de ensino superior.

- Lei n.º 105/2009, de 14 de setembro - Regulamenta e altera o Código do Trabalho.

- Lei n.º 35/2014, de 20 de junho - Lei Geral do Trabalho em Funções Públicas, na sua redação atual.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Acórdão do Pleno da Secção do Contencioso Administrativo do Supremo Tribunal Administrativo, de 7 de julho de 2011, Processo n.º 0812/10.

- Acórdão do STA, de 24 de janeiro de 2012, Processo n.º 668/11.

- Acórdão do Tribunal da Relação do Porto, de 12 de maio de 2015, Processo .º 2368/13.0T2AVR.P1.

- Acórdão do TAF Braga, de 25 de janeiro de 2019, Processo n.º 1775/18.6BEBRG.

- Acórdão do Tribunal Central Administrativo Norte, de 20 de dezembro de 2019, Processo n.º 01414/19.8BEPRT.

- Parecer n.º 212/2005, de 31 de agosto - CADA.

- Parecer n.º 67/2007, de 21 de março - CADA.

- Parecer n.º 357/2007, de 19 de dezembro - CADA.

- Parecer n.º 224/2009, de 9 de setembro - CADA.

- Parecer n.º 347/2009, de 2 de dezembro - CADA.

- Parecer 33/2021, de 29 de maio - EPD.

20211012 - Parecer n.º 35

^{Acesso ao documento completo} ^{(Nível 3)}

Resumo

A análise à transparência da administração pública, por um lado, e ao exercício do direito à privacidade, por outro, deve merecer uma adequada ponderação dos interesses e valores que se apresentem, devendo a mesma respeitar os princípios da proporcionalidade e da minimização dos dados pessoais, isto é, a informação disponibilizada deve ser na estrita medida do adequado e necessário a prosseguir a finalidade do tratamento de dados.

A subordinação jurídica deve ser ponderada “em relação à sua função na sociedade e ser equilibrada com outros direitos fundamentais, pressupondo que a atuação administrativa seja adequada (eficácia), necessária (eficiência) e proporcional em sentido estrito (racionalidade).

Quanto ao perímetro temporal da aplicação da norma, o conceito de dado pessoal manteve-se inalterado na sua génese, desde a LPDP até à nova redação dada pelo RGPD, pelo que a data de entrada em vigor deste Regulamento não pode, por si só, marcar a produção de efeitos da substituição dos contratos para ocultação dos dados pessoais em excesso. Do mesmo modo, também não parece que deva ser a Portaria n.º 85/2013 a marcar a barreira a partir da qual deve ser revista a informação constante dos contratos, uma vez que a LPDP remonta a 26 de outubro de 1998, no entanto, é esse o entendimento do IMPIC.

Importa notar que, em abono da transparência na administração pública, o que é relevante é a divulgação do contrato com a identificação do adjudicante e do adjudicatário, sendo certo que esta informação e a restante, fica salvaguardada na sua versão original, nas entidades adjudicantes.

Assim, sem ferir um dos princípios da segurança jurídica e da proteção de confiança (princípio da não retroatividade das leis), deve a UC:

- Analisar cada contrato e averiguar se se mantém a obrigatoriedade da republicação que se encontra suspensa;

- Nos casos em que se mantenha a obrigatoriedade da publicação dos contratos, deve proceder-se do seguinte modo:

^Dados	^{Aviso IMPIC}	^{Parecer EPD-UC}
^{- número de identificação fiscal, e domicílio fiscal das entidades outorgantes (em alguns casos poderá ser um prestador individual).}	^{O RGPD não abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos da pessoa coletiva.}	^{- PODEM ficar visíveis.} ^{(se os dados forem de uma pessoa coletiva não são considerados dados pessoais)}
^{- nome completo dos representantes das entidades outorgantes (pessoas singulares, representantes, da adjudicante e da adjudicatária que celebra o contrato).}	^{O nome do contraente público e do cocontratante devem ser considerados como dados a manter, bem como a assinatura.}	^{- DEVE ficar visível.}
^{- domicílio profissional dos representantes.}		^{- PODE ficar visível.}
^{- números de identificação civil e domicílio pessoal dos representantes.}	^{Devem ser retirados os dados dos números de contribuinte e cartão do cidadão.}	^{- DEVEM ser rasurados/omitidos/apagados*.}
^{- nome dos gestores de contrato.}	^{Devem ser retirados os dados (...) bem como o nome do gestor de contrato e códigos de acesso à Certidão Permanente.}	^{- PODE ficar visível,} ^{dependendo de se mostrar relevância para a finalidade de transparência (art.º 96.º/1/i do CCP).}
^{- contactos (email e telefone) dos gestores e interlocutores de contrato.}		^{- PODEM ficar visíveis se os contactos forem profissionais (sejam individuais ou de serviço);} ^{- DEVEM ser rasurados/omitidos/apagados* se os contactos não forem profissionais.}
^{- assinaturas (manuais e eletrónicas)}	^{No caso de assinatura eletrónica deve ocultar outro dado pessoal que exista para além do nome (exemplo n.º do cartão do cidadão).}	^{- DEVE estar visível a assinatura do representante (um elemento essencial para a imputação do contrato à entidade pública);} ^{- DEVE ser rasurada/omitida/apagada*, no caso das assinaturas digitais certificadas, toda a informação que vá para além do nome (como o n.º do cc).}

^{*sujeitos a medidas técnicas e organizativas que forem adequadas para assegurar a proteção contra a reutilização desses dados.}

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 67/98, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Lei n.º 26/2016, de 22 de agosto - Lei de Acesso a Informação Administrativa e Ambiental.

- Decreto-Lei n.º 18/2008, de 29 de janeiro - Código dos Contratos Públicos.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Decreto-Lei nº 232/2015, de 13 de outubro - Orgânica do Instituto dos Mercados Públicos, Imobiliário e Construção.

- Portaria n.º 701-F/2008, de 29 de julho (com as alterações introduzidas pela Portaria n.º 85/2013, de 27 de fevereiro) - Regula a constituição, funcionamento e gestão do portal único da Internet dedicado aos contratos públicos (Portal dos Contratos Públicos).

- Portaria n.º 57/2018, de 26 de fevereiro (com as alterações introduzidas pela Portaria n.º 284/2019, de 2 de setembro) - Regula o funcionamento e a gestão do Portal Base.

20211029 - Parecer n.º 36

^{Acesso ao documento completo} ^{(Nível 3)}

Resumo

A proteção de dados pessoais sustentada no RGPD e noutras normas não impede que sejam adotadas medidas de combate a pandemias como a do Coronavírus SARS-CoV-2, cabendo ao Responsável pelo tratamento de dados assegurar a implementação das medidas que permitam adequar cada circunstância, à máxima proteção dos dados pessoais dos seus titulares.

O considerando 48 do Regulamento (EU) 2021/953, prevê que, “Se o certificado for utilizado para fins não médicos, os dados pessoais acedidos durante o processo de verificação não podem ser conservados”, tal como previsto no Regulamento.

O Código do Trabalho (CT) determina que o empregador não pode, para efeitos de admissão […] no emprego, exigir a candidato a emprego […] a realização ou apresentação de testes ou exames médicos, de qualquer natureza.

Também é verdade que o art.º 19.º do CT prevê exceções, desde que fundamentadas, como no caso de questões relacionadas com a saúde pública, pelo que, nestas circunstâncias, um trabalhador poderá ser apto pela medicina do trabalho para o desempenho de uma determinada atividade profissional, se estiver vacinado.

No entanto, as exceções previstas no mesmo art.º 19.º carecem de clarificação, concretamente se nessas circunstâncias específicas, uma empresa pode recusar um trabalhador que não esteja vacinado.

Embora o CT não proíba em absoluto a solicitação do ‘Certificado’, a instituição empregadora teria de disponibilizar ao trabalhador a fundamentação concreta sobre o porquê dessa exigência, inclusive invocando a inexistência de outras medidas destinadas a evitar o contágio.

Deste modo, a recusa do trabalhador em apresentar Certificado de Vacinação ou um ‘Certificado’, mesmo como substituto da apresentação de resultado negativo em comprovativo de realização de teste para despiste da infeção por SARS-CoV-19, constituirá desobediência legítima a uma ordem superior.

Realça-se que a criação do ‘Certificado’, não pode gerar situações de discriminação ou de marginalização, tanto mais que “pela lei” (de jure) não resulta a obrigação da vacinação.

Assim, enquanto a vacinação não for obrigatória ou não houver imposição legal que faça exigir tal vacinação no trabalho, não pode a Instituição substituir-se ao Estado e impô-la a todos os seus trabalhadores, de forma generalizada, para mais quando a Constituição da República Portuguesa prevê o direito ao trabalho, mas não prevê a obrigatoriedade desta vacina ou mesmo de um Plano Obrigatório de Vacinação.

Em suma, da recusa da apresentação do Certificado não pode resultar a inibição do acesso ao posto de trabalho.

Todavia, esta isenção não desobriga o trabalhador ao preconizado no n.º 1 do art.º 483.º do Código do Trabalho, “Aquele que, com dolo ou mera culpa, violar ilicitamente o direito de outrem ou qualquer disposição legal destinada a proteger interesses alheios fica obrigado a indemnizar o lesado pelos danos resultantes da violação.”

Conclui-se, então, que embora não seja legitima a exigência da apresentação do ‘Certificado’, importa reter que a prática laboral tem por base um acordo de vontades entre a entidade empregadora e o trabalhador, pelo que, com a finalidade de promover a saúde e prevenir a doença, o risco dos seus trabalhadores ou o interesse público relevante, não estando encontrada na obrigatoriedade a licitude para o tratamento de dados pessoais, pode sempre apelar-se à sua apresentação (voluntária) com base no dever moral associado à apropriação de valores humanos e às relações de convivência, no âmbito dos deveres gerais de lealdade e de cooperação em matéria de segurança e saúde no trabalho.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 7/2009, de 12 de fevereiro - Código do Trabalho (Lei Consolidada).

- Lei n.º 102/2009, de 10 de setembro - Regime Jurídico da Promoção da Segurança e Saúde no Trabalho

- Decreto-Lei nº 54-A/2021, de 25 de junho - Executa na ordem jurídica interna o Regulamento (UE) 2021/953.

- Resolução do Conselho de Ministros n.º 114-A/2021, de 20 de agosto - Declara a situação de contingência no âmbito da pandemia da doença COVID-19.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro - Estatísticas comunitárias sobre saúde pública e saúde e segurança no trabalho.

- Regulamento (CE) n.º 726/2004 do Parlamento Europeu e do Conselho, de 31 de março - Procedimentos comunitários de autorização e de fiscalização de medicamentos para uso humano e veterinário e que institui uma Agência Europeia de Medicamentos.

- Regulamento (UE) n.º 953/2021 do Parlamento Europeu e do Conselho, de 14 de junho - Regime para a emissão, verificação e aceitação de Certificado Digital COVID.

- Regulamento (UE) n.º 954/2021 do Parlamento Europeu e do Conselho, de 14 de junho - Regime para a emissão, verificação e aceitação de Certificado Digital COVID, no que respeita a nacionais de países terceiros.

- Orientações da CNPD/2020, de 23 de abril - Recolha de dados de saúde dos trabalhadores.

- Orientação n.º 007/2021, de 15 de junho - DGS - Certificado Digital COVID da EU: Emissão em Território Nacional.

- Norma n.º 004/2020, de 23 de março - Versão atualizada a 29 de outubro de 2021 - DGS - Abordagem do Doente com Suspeita ou Confirmação de COVID-19.

- Norma n.º 009/2020, de 2 de abril - Versão atualizada a 25 de janeiro de 2021 - DGS - COVID-19: Cuidados de Saúde na Área da Oncologia.

20211122 - Parecer n.º 37

^{Acesso ao documento completo (Nível 3)}

Resumo

Existe legislação nacional sobre tratamento de dados pessoais desde 1991 e a nível internacional desde 1981. Todavia, a atual perspetiva do direito fundamental à proteção dos dados pessoais nasceu em 1970, através da Lei de Land Hesse.

Pressupondo que:

· A Comissão de Ética validou os requisitos inerentes ao tratamento de dados pessoais do Projeto, eventualmente com Avaliação de Impacto sobre a Proteção de Dados;

· A questão se centra na possibilidade de reutilizar dados pessoais guardados no laboratório da FCDEFUC.

É provável que a licitude deste tratamento de dados pessoais, à luz do RGPD, seja suportada em pelo menos um dos seguintes requisitos:

i. Se os dados são anónimos, de tal modo que o seu titular já não possa ser identificado, o regulamento não lhes é aplicável;

ii. Se os dados pessoais foram pseudonimizados; ou, preferencialmente, se foram anonimizados.

iii. Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;

iv. Se a FCDEFUC obteve o consentimento dos participantes no estudo para a finalidade em causa;

v. Se foi cumprida a licitude do tratamento inicial e se o tratamento subsequente for compatível com as finalidades para as quais os dados pessoais tenham sido inicialmente recolhidos, sendo que “o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o art.º 89.º/ 1”, devendo este tratamento subsequente “ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas para a defesa dos direitos fundamentais e dos interesses do titular dos dados”. Contudo, eventual reutilização da informação para fins científicos impõe a implementação das medidas de segurança do tratamento previstas no art.º 32.º do RGPD”;

vi. Se o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;

vii. Se o tratamento for necessário para o cumprimento de uma obrigação da UC, ou de alguém que aja por ela;

viii. Se o tratamento for necessário para a defesa dos interesses vitais do titular dos dados;

ix. Se o tratamento for necessário ao exercício de funções de interesse público ou ao exercício de autoridade pública de que está investida a UC ou de quem age por ela. Todavia, ao invocar o interesse público como fundamento de licitude, terá de manifestar a sua necessidade e fazer a ponderação entre o interesse público e os interesses dos titulares dos dados pessoais.

Suporte

- Lei Constitucional n.º 1/1976, de 10 de abril - Constituição da República Portuguesa.

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Convenção 108 do Conselho da Europa, de 28 de janeiro de 1981 - Convenção para a proteção de dados das pessoas, relativamente ao tratamento automatizado de dados de carácter pessoal.

- Tratado de Funcionamento da União Europeia, de 7 de junho de 2016.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 67/1998, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Diretiva 95/46 do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Lei n.º 10/1991, de 24 de abril, Lei da Proteção de Dados Pessoais face à Informática.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Recomendação 81/679/CEE, de 29 de agosto - Relativa a uma convenção do Conselho da Europa para a proteção das pessoas relativamente ao tratamento automatizado de dados de carácter pessoal.

20211126 - Parecer n.º 38

20220111 - Parecer n.º 39

^{Acesso ao documento completo(Nível 3)}

Resumo

A avaliação de desempenho de cada investigador assume carácter reservado, é arquivada no processo individual do trabalhador e, com exceção do avaliado (titular dos dados pessoais), está sujeita ao dever de sigilo.

O acesso à documentação relativa a cada investigador, nomeadamente quando o mesmo se encontra em curso, subordina-se ao CPA, conforme prevê o art.º 1.º/4/a da ‘nova LADA’ .

Em determinadas circunstâncias e caso o processo de avaliação não esteja concluído, o acesso aos documentos administrativos pode ser diferido até à tomada de decisão, ao arquivamento do processo ou ao decurso de um ano após a sua elaboração, consoante o evento que ocorra em primeiro lugar.

Ponderadas essas opções, pode ser facultado ao investigador o seu processo de avaliação.

Quanto ao acesso a documentos administrativos nominativos por parte de terceiros, caberá ao requerente provar o interesse legítimo para a consulta dos referidos documentos, “sem prejuízo da protecção dos dados pessoais nos termos da lei” (art.º 83º/2 do CPA).

Do mesmo modo, no caso da informação não procedimental, um terceiro apenas pode aceder a documentação administrativa nominativa se suportar o pedido no mencionado art.º 6.º/5 da ‘nova LADA’.

Independentemente do tipo de informação (procedimental ou não procedimental), como os interesses não se presumem, cabe ao requerente, terceiro, o ónus de justificar o carácter legítimo do seu interesse no acesso aos dados pessoais. Ao requerido cabe o ónus de fundamentar a decisão de eventual indeferimento do pedido, nomeadamente no facto dos interesses ou dos direitos, liberdades e garantias dos restantes prevalecerem sobre o interesse legítimo do requerente no acesso a tal informação .

Em todo o caso, não pode ser descurado o preceito de que “Todos, sem necessidade de enunciar qualquer interesse, têm direito de acesso aos documentos administrativos, o qual compreende os direitos de consulta, de reprodução e de informação sobre a sua existência e conteúdo”, sendo necessário, para tal, que o documento deixe de ser classificado como administrativo nominativo, bastando que do mesmo seja subtraída (através de rasura) qualquer informação que permita identificar direta ou indiretamente os titulares dos dados.

No caso de se verificar a inexistência da documentação solicitada, deve ser informado o requerente que o requerido não possui o pretendido, conforme prevê a ´nova LADA’ no art.º 15.º/1/d.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 22 de agosto - Lei de Acesso a Informação Administrativa e Ambiental.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Decreto-Lei n.º 57/2016, de 29 de agosto - (com as alterações introduzidas pela Lei n.º 57/2017, de 19 de julho) - Regime de contratação de doutorados destinado a estimular o emprego científico e tecnológico em todas as áreas do conhecimento

- Acórdão do Tribunal Central Administrativo Sul, de 04 de maio de 2017, Processo 2937/16.6BELSB.

- Regulamento n.º 334/2018, de 30 de maio - Regulamento de recrutamento, contratação, prestação de serviço e avaliação de doutorados contratados a termo, na Universidade de Coimbra.

20220209 - Parecer n.º 40

^{Acesso ao documento completo (Nível 3)}

Resumo

Quer se trate de um tratamento de dados pessoais levado a cabo pela UC, ou um pedido de acesso a documentos administrativos nominativos dirigido à UC por uma das forças e serviços de segurança, na ausência de:

- uma demonstração fundamentada de interesse direto, pessoal e legítimo apresentada pelo requerente,

- do consentimento do titular dos dados para esse tratamento,

- da autorização do titular para a cedência dessa informação a terceiros,

- do resultado de uma relação contratual,

- de uma obrigação legal,

- da defesa dos interesses vitais do titular ou de terceiros,

a possibilidade de tratamento de dados fica limitada ao dever de colaboração entre entidades ou, ainda, "se o tratamento for necessário para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento”.

Deve ter-se especial atenção que a UC exerce a autoridade pública cometida às suas competências. A UC não pode, por sua iniciativa, alterar a finalidade do tratamento que conduziu à recolha inicial dos dados dos estudantes, com vista à satisfação da autoridade pública de outras entidades.

O interesse público deve ser avaliado, caso a caso, ponderado com o respeito pelos direitos e interesses dos cidadãos protegidos por lei, e ter sempre em consideração o princípio da especialidade que delimita a capacidade jurídica das pessoas coletivas. Deste modo, a prossecução de um interesse público da competência de outra pessoa coletiva, traduz-se num vício de incompetência.

A ‘nova LPDP’ abre uma exceção, permitindo o tratamento de dados pessoais por entidades públicas para finalidades diferentes das determinadas, mas apenas se devidamente fundamentado, visando assegurar a prossecução do interesse público que de outra forma não possa ser acautelado, devendo eventual transmissão de dados pessoais ao abrigo desta exceção "ser objeto de protocolo que estabeleça as responsabilidades de cada entidade interveniente, quer no ato de transmissão, quer em outros tratamentos a efetuar”.

Assim, em cada transferência devem:

- ser avaliadas as “eventuais consequências do tratamento posterior pretendido para os titulares dos dados”;

- ser salvaguardados os princípios da proteção de dados, como o princípio da minimização dos dados pessoais;

- ser informados os titulares dos dados da transferência e do tratamento posterior que lhes será dado.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 22 de agosto - Lei de Acesso a Informação Administrativa e Ambiental.

- Lei n.º 9/2007, de 19 de fevereiro - Lei Orgânica do Secretário-Geral do SIRP, do SIED e do SIS.

- Lei n.º 53/2007, de 31 de agosto - Lei orgânica do PSP.

- Lei n.º 62/2007, de 10 de Setembro - Regime jurídico das instituições de ensino superior.

- Lei n.º 63/2007, de 6 de novembro - Lei orgânica da GNR.

- Lei n.º 53/2008, de 29 de agosto - Lei da Segurança Interna.

- Lei n.º 137/2019, de 13 de setembro - Lei que aprova a nova estrutura organizacional da PJ.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Decreto-Lei n.º 252/2000, de 16 de outubro - Estrutura orgânica SEF.

- Despacho normativo n.º 43/2008, de 1 de setembro - Estatutos da Universidade de Coimbra.

- Acórdão do Tribunal Central Administrativo Sul, de 04 de maio de 2017, Processo 2937/16.6BELSB.

20220221 - Parecer n.º 41

^{Acesso ao documento completo (Nível 2)}

Resumo

O acesso a dados pessoais em tratamento de saúde é regido pelo princípio da necessidade de conhecer a informação. O tratamento desses dados deve ser efetuado por um profissional obrigado ao sigilo, ou por outra pessoa sujeita a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação.

É necessário estender o dever de sigilo/confidencialidade, no tratamento dos dados pessoais, a todos os intervenientes no processo, sejam investigadores sujeitos a obrigação legal de sigilo profissional ou de confidencialidade, sejam técnicos dos SASUC/SSGT, sujeitos ao dever de sigilo.

Assim, o tratamento de dados pessoais no âmbito de protocolos de colaboração, pode enquadrar-se na exceção prevista no art.º 9.º/2/h, considerando que este tratamento se afigura como sendo necessário para a prestação de cuidados ou tratamentos de saúde ou de ação social.

Dependendo dos termos e objetivos previstos no protocolo:

- Deve incluir uma cláusula sobre a proteção de dados pessoais que defina a finalidade do tratamento de dados pessoais e as responsabilidades das partes, bem como a inclusão de uma alínea que preveja a obrigação destas em “garantir o cumprimento de todo o normativo legal aplicável à proteção e confidencialidade dos dados pessoais dos estudantes”.

- Sempre que haja tratamento de dados que utiliza dispositivos eletrónicos que transmitem, por redes de comunicação, dados pessoais relativos à saúde e que realiza tratamento de dados pessoais em massa, com recurso à utilização de novas tecnologias ou nova utilização de tecnologias já existentes, entende-se que, para uma opinião fundamentada dos riscos inerentes a este tratamento, o responsável pelo tratamento de dados, ou quem age pela UC como tal, deve fazer depender da utilização da aplicação, a apresentação e análise dos resultados da AIPD, cuja realização é obrigatória.

- A UC deve poder, a todo o momento, exigir e ser-lhe disponibilizado um termo de confidencialidade onde constem, entre outros, o dever de manter confidencialidade relativamente a toda a informação, bem como a quaisquer ferramentas, metodologias e instrumentos fornecidos pelos SSGST, a obrigação de não partilhar com terceiros e a devolvê-los aos SSGST ou a destruir imediatamente, após lhe ser pedido, toda a informação que lhe tenha sido fornecida pelos SSGST e a cooperar com a autoridade de controlo, a pedido desta, na prossecução das suas atribuições.

- Caso o tratamento tenha fins múltiplos e/ou os dados pessoais não forem utilizados para o estritamente necessário, poderá haver necessidade de encontrar a licitude do tratamento na obtenção do consentimento informado, esclarecido e livre.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 62/2007, de 10 de setembro - Regime jurídico das instituições de ensino superior.

- Decreto-lei n.º 47303/1966, de 7 de novembro - Institui os Serviços Sociais da Universidade de Coimbra.

- Decreto-Lei n.º 408/1971, de 27 de setembro – Lei orgânica do Ministério da Educação Nacional.

- Decreto-Lei n.º 129/1993, de 22 de abril - Estabelece os princípios da política de acção social no ensino superior.

- Portaria n.º 1027/1981, de 28 de novembro - Integra os serviços médico-sociais universitários nas respectivas universidades.

- Despacho 4707/2014, de 1 de abril - Regulamento Orgânico dos SASUC.

- Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º sobre AIPD e tratamento «suscetível de resultar num elevado risco» para o RGPD.

- Regulamento n.º 798/2018, de 30 de novembro - CNPD - Lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados.

20220331 - Parecer n.º 42

^{Acesso ao documento completo (Nível 4)}

Resumo

Para um adequado tratamento de dados biométricos para controlo de assiduidade, ou para controlo de acesso às instalações da entidade patronal, entende-se que este tratamento é legitimo, salvo melhor opinião, apenas quando os métodos adotados sejam adequados, necessários e proporcionais face aos direitos dos trabalhadores e às garantias de equilíbrio entre os interesses e os direitos em presença.

Sabendo que este tratamento de dados biométricos é suscetível de contender com a privacidade dos trabalhadores, propõe-se que o responsável pelo tratamento:

- Procure sempre o meio menos invasivo, escolhendo, sempre que possível, um método não biométrico;

- Questione as razões que o levaram a optar por um sistema de controlo biométrico, especifique o objetivo a atingir pelo sistema e avalie a proporcionalidade dos dados a incluir no sistema, utilizando apenas os dados relevantes para que a finalidade seja atingida;

- Determine se as medidas de segurança adotadas são adequadas e eficazes, os direitos a atribuir aos trabalhadores e, se a aplicação dispõe de um mecanismo próprio para o exercício desses direitos;

- Assegure que apenas são utilizadas representações dos dados biométricos e que não seja possível, através do processo de recolha, a reversibilidade dos referidos dados;

- Informe o trabalhador sobre aspetos como as finalidades do tratamento, os sistemas e meios utilizados, o prazo e a informação guardada, quem pode aceder aos dados e em que circunstâncias, como é que os dados são protegidos e, também, os direitos dos trabalhadores, neste âmbito;

- Utilize tecnologias que não envolvam qualquer violação dos direitos de personalidade dos trabalhadores;

- Garanta que a recolha de dados biométricos não tem qualquer implicação com a integridade física do trabalhador, não afetando, igualmente, o seu direito à identidade pessoal e à intimidade da vida privada;

- Assegure que a localização dos equipamentos de leitura dos dados biométricos não permitem controlar a circulação dos trabalhadores no interior das instalações;

- Conserve os dados pessoais pelo período necessário para a prossecução das finalidades do tratamento, destruindo-os no momento da transferência do trabalhador para outro local de trabalho ou da cessação do contrato de trabalho;

- Obtenha parecer prévio da Comissão de Trabalhadores da UC, dando cumprimento ao disposto no artigo 24.º dos Estatutos daquela comissão.

Relativamente às medidas técnicas, sugere-se que o responsável pelo tratamento:

- Mantenha registos de todas as atividades de tratamento, designadamente para controlo e garantia de que a finalidade original é respeitada;

- Grave / armazene os dados em modelos biométricos próprios de modo a garantir que os trabalhadores só podem ser identificados num sistema;

- Utilize um sistema que permita a anulação da ligação de identidade, quer para a renovar, quer para a apagar definitivamente;

- Garanta a cifragem e decifragem biométricas na gravação / armazenamento;

- Utilize sistemas distintos para determinar se os dados biométricos são genuínos e se os mesmos se encontram associados a um trabalhador;

- Defina uma taxa de erro de aceitação e uma taxa de erro de rejeição próxima do zero (a utilização de sistemas com deficiente grau de desempenho pode violar o princípio da exatidão e o da qualidade dos dados e podem comprometer a finalidade do tratamento e criar dificuldades acrescidas ao trabalhador, que se podem vir a refletir no exercício dos seus direitos);

- Exija garantia escrita do fabricante, de que as chaves dos algoritmos não são cedidas a terceiros, nem à própria UC, e de que os sistemas não permitem a reversão;

- Exija do seu fornecedor informação detalhada do software e das características dos equipamentos, bem como a apresentação de soluções mais seguras.

Do mesmo modo, propõe-se que o trabalhador deva conhecer:

- A identificação e os contactos do responsável pelo tratamento dos dados ou de quem age por ele;

- Os contactos do Encarregado de Proteção de Dados;

- A finalidade e licitude do tratamento;

- O prazo de conservação dos dados;

- Os seus direitos e como os exercer;

- Se existe interconexão deste sistema com o sistema de gestão de pessoal/remunerações;

- As principais medidas técnicas e organizativas de segurança implementadas.

Para colmatar possíveis riscos de ineficiência do sistema, propõe-se que o mesmo seja testado num período experimental, eventualmente com recurso a outras tecnologias complementares de dupla verificação/validação do registo, como a visualização do nome e/ou outros dados do trabalhador.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 7/2009, de 12 de fevereiro - Código do Trabalho.

- Aviso n.º 1826/2021, de 27 de janeiro - Estatutos da Comissão de Trabalhadores da UC.

- Parecer n.º 3/2012, de 27 de abril - Grupo de Trabalho do Artigo 29.º sobre a evolução das tecnologias biométricas.

- Parecer n.º 2/2017, de 8 de junho - Grupo de Trabalho do Artigo 29.º sobre tratamento de dados no local de trabalho.

- Orientações WP 136/2007, de 20 de junho - Grupo de Trabalho do Artigo 29.º sobre o conceito de dados pessoais.

- Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º sobre AIPD e tratamento «suscetível de resultar num elevado risco» para o RGPD.

- Acórdão do Tribunal Regional de Coimbra, de 3 de abril de 2014, Processo n.º 5/13.1T4AGD.C1.

- Regulamento n.º 798/2018, de 30 de novembro - CNPD - Lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados.

- Deliberação da CNPD/2004, de 26 de fevereiro - Princípios aplicáveis ao tratamento destes dados para controlo de acessos e assiduidade dos trabalhadores.

20220405 - Parecer n.º 43

^{Acesso ao documento completo (Nível 2)}

Resumo

O tratamento de dados de saúde do estudante, por parte dos SASUC, para efeitos de atribuição de estatuto NE e definição e implementação de medidas de apoio suplementar, encontra licitude nas al. b), c) e e) do 6.º/1, e respeita a condição imposta pelo 9.º/2/h, do RGPD.
O estudante preencheu os pré-requisitos para a candidatura e inscrição no curso de Medicina.
A FMUC tem como “objetivo primordial a formação graduada e pós-graduada nas áreas da saúde e das ciências biomédicas, nomeadamente através de cursos de licenciatura, mestrado e doutoramento”.
A Ordem dos Médicos concede “o título profissional e os títulos de especialização profissional”.
O estatuto de estudante com Necessidades Especiais (NE) é certificado e comunicado pelos SASUC.
O Regulamento Pedagógico da FMUC determina que os docentes devem conceder apoio pedagógico suplementar aos estudantes com NE.
O estudante pode, mediante um ato positivo claro, que indique uma manifestação de vontade livre, específica, informada e inequívoca, autorizar a partilha dos seus dados pessoais com terceiros para uma finalidade previamente definida e não generalizada; Do mesmo modo, pode autorizar os SASUC a partilhar as informações constantes do seu processo individual, relativas às suas necessidades especiais, para efeitos de informação às entidades académicas interessadas, sempre que se mostrar pertinente à adequação das mesmas ao seu desempenho académico e pedagógico e, como é lógico, com respeito pelo juízo de prognose feito pelo estudante.
A CADA, no sentido de proteger a administração aberta / transparência administrativa, tem atuado diversamente quando os pedidos de acesso se referem a informações do foro íntimo ou relativas à saúde, uma vez que as mesmas integram em pleno a reserva de intimidade constitucionalmente protegida.
A Lei n.º 58/2019, no caso em apreço, não permite a exceção à proteção dos dados de saúde determinada pelo RGPD.

A cedência de relatórios médicos aos docentes dos estudantes só será licita, quando:

for necessária à prossecução dos fins para que foram recolhidos, isto é, se enquadre na articulação prevista no art.º 13.º/5/c, do Regulamento Orgânico dos SASUC, sempre no pressuposto de que a cedência beneficia a adequação do apoio pedagógico, promove a equidade e a não discriminação.
for precedida de consentimento explicito, livre, específico, informado e inequívoco do titular dos dados, para esta finalidade específica.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 22 de agosto (com as alterações introduzidas pela Lei n.º 68/2021, de 26 de agosto) - Lei de Acesso a Informação Administrativa e Ambiental.

- Diretiva 95/46 do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Lei n.º 117/2015, de 31 de agosto - Estatutos da Ordem dos Médicos.

- Despacho n.º 4707/2014, de 1 de abril - Altera e republica o Regulamento Orgânico dos SASUC.

- Despacho n.º 4722/2018, de 14 de maio - Altera e republica o Regulamento de Direitos Especiais dos Estudantes da Universidade de Coimbra.

- Deliberação n.º 379/2022, de 25 de março, da Comissão Nacional de Acesso ao Ensino Superior.

- Regulamento n.º 247/2017, de 11 de maio - Estatutos da FMUC.

- Parecer nº 20/2018, de 2 de maio - CNPD.

20220421 - Parecer n.º 44

^{Acesso ao documento completo (Nível 3)}

Resumo

O tratamento de dados pessoais para efeitos de avaliação de desempenho decorre de obrigação legal.
Sem o consentimento dos titulares dos dados pessoais, a cedência de dados de SIADAP não tem enquadramento no art.º 6.º do RGPD, não obstante o direito à proteção de dados pessoais não ser absoluto, devendo ser considerado em relação à função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade.
Os SASUC não recolhem informações com a finalidade de as disponibilizar à ST-SASUC (princípio da limitação das finalidades).
Os procedimentos relativos ao SIADAP 3 têm carácter confidencial, sem prejuízo dos casos tipificados na lei, em que a publicitação é obrigatória:
- As informações relativas às competências referem-se a funções orientadoras do procedimento de avaliação, dirigidas aos avaliadores, pelo que não estão cobertas pela regra do sigilo.
- A informação relativa à validação, apreciação e avaliação de trabalhadores estão sujeitas à confidencialidade, enquanto documentos nominativos de consulta condicionada.
Os Estatutos da CT-UC referem que o direito à informação recai sobre o dirigente máximo da UC e abrange designadamente, a gestão dos recursos humanos, sendo o espírito do legislador a “Gestão dos recursos humanos, em função dos mapas de pessoal”.
O caráter dissuasivo das sanções financeiramente muito expressivas, previstas no RGPD, recomenda uma abordagem balanceada entre os riscos para os titulares dos dados e as obrigações a que o responsável pelo tratamento está vinculado.
A regra da confidencialidade não é absoluta, uma vez que o SIADAP 3 subordina-se ao disposto no CPA e à ‘nova LADA’, ou seja, o direito de acesso a informação nominativa está condicionado ao princípio da transparência da administração pública, podendo ser concedido o acesso a terceiros desde que demonstrem, fundamentadamente, “um interesse direto, pessoal, legítimo e constitucionalmente protegido” e “suficientemente relevante” para justificar esse acesso.
Entende-se por interesse legítimo, um interesse específico atendível, que deverá ser avaliado casuisticamente dentro de critérios de razoabilidade, em função da relação existente entre o requerente e o objeto a esclarecer, a fundamentação sustentada pelo requerente na relevância da informação solicitada e das consequências na esfera do requerente.

Assim, entende-se que:

O direito à informação, não tem carácter absoluto, reporta-se aos instrumentos de gestão, tais como planos, orçamentos, relatórios e prestação de contas, projetos de reorganização, aprovisionamento, financiamento, regulamentos internos e gestão de recursos humanos, riscos para a segurança e saúde, instruções a adotar em caso de perigo e medidas de primeiros socorros.
Contrariamente à referência feita pela ST-SAUSC, não fica demonstrada, numa clara obrigação jurídica, que a UC tenha de ceder a informação requerida.
A requerente não expõe as atribuições e poderes que lhe tenham sido delegados pela CT-UC.
A finalidade do acesso à informação apresentada pela ST-SASUC, pode ser facilmente alcançada através da recolha direta junto dos interessados.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Lei n.º 66-B/2007, de 28 de dezembro - SIADAP - versão consolidada.

- Lei n.º 7/2009, de 12 de Fevereiro - Código do Trabalho (versão aprovada pela Lei n.º 93/2019, de 4 de setembro).

- Lei n.º 35/2014, de 20 de junho - Lei Geral do Trabalho em Funções Públicas, na sua redação atual.

- Decreto-Lei n.º 480/1999, de 9 de novembro - Código do Processo de Trabalho.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobra a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Deliberação n.º 494/2019 - CNPD - Desaplicação de artigos da Lei n.º 58/2019, de 8 de agosto.

- Acórdão do Pleno da Secção do Contencioso Administrativo do Supremo T. Adm, de 7 de julho de 2011, Processo n.º 0812/10.

- Acórdão do Tribunal da Relação de Lisboa, de 6 de fevereiro de 2013, Processo n.º 2463/10.7TTLSB.L1-4.

- Acórdão do Tribunal Central Administrativo Norte, de 20 de dezembro de 2019, Processo n.º 01414/19.8BEPRT.

- Aviso n.º 1826/2021, de 27 de janeiro - Estatutos da CT da UC.

- Parecer n.º 99/2020 - CADA.

20220527 - Parecer n.º 45

^{Acesso ao documento completo (Nível 2)}

Resumo

Apesar do contexto de desequilíbrio de ‘poder’ entre empregador e trabalhador, podem existir tratamentos de dados pessoais baseados no consentimento, quando for do interesse do próprio trabalhador, ou quando o ato de dar ou recusar o consentimento não produza quaisquer consequências negativas para o titular dos dados.
Basear a licitude do tratamento de dados em análise no contexto de um contrato não é exequível para todos os titulares de dados envolvidos, designadamente para aqueles, relativamente aos quais não existe qualquer vínculo contratual com a UC.
Considerando que a missão legalmente atribuída às instituições de ensino superior, no programa científico e tecnológico nacional, em atividades que vão desde a investigação e desenvolvimento tecnológico até à prestação de serviços, conclui-se que os apoios à indústria, certificação, normalização, peritagens, regulamentação e outras atividades, cabem nos conceitos de interesse público e de autoridade pública.
A fundamentação da licitude do tratamento no art.º 6.º/1/e requer evidências de que os fins da investigação são do interesse público, como parece ser o caso dos projetos revistos por painéis de avaliação e financiados por agências públicas, ou quando está em causa a execução de um contrato em que o titular dos dados é contrainteressado, como nos casos em que a acreditação dos ciclos de estudos conducentes ao grau de doutor se faz depender da existência de ambientes de investigação e dos resultados da avaliação das unidades de I&D.
É razoavelmente previsível, na relação entre o titular dos dados (trabalhador) e o responsável pelo tratamento de dados, que os dados recolhidos para efeitos de celebração de contrato de trabalho ou de bolseiro de investigação, por exemplo, sejam utilizados para a finalidade que se anuncia neste parecer.
É desnecessário outro fundamento jurídico para a recolha inicial dos dados pessoais, uma vez que a UC está investida da atribuição de investigação científica e é uma das suas missões primordiais (interesse público/autoridade pública), para as quais o tratamento posterior poderá ser considerado compatível e lícito.
Devem ser adotadas as seguintes medidas:
- Reforço da divulgação da informação legal a todos os trabalhadores nos termos recomendados no Parecer do EPD-UC 15-R1.
- Atualização da Política de Privacidade da UC.
- Informação aos trabalhadores incluídos sobre aspetos que poderão desconhecer, nomeadamente sobre quais os dados pessoais transferidos para entidades terceiras e eventual tratamento posterior que lhe venha a ser dado.
- Celebração de um contrato de confidencialidade entre parceiros de candidatura.
- Obtenção prévia de consentimento informado para tratamento de dados pessoais de candidatos sem vínculo contratual com a UC.
- Os dados transferidos para fundações ou outras entidades privadas, sempre que possível, devem ser previamente sujeitos a um processo de pseudonimização ou de anonimização.
- A UC pode efetuar tratamento de categorias especiais de dados, através de consentimento informado, ou ainda no exercício da sua autoridade, desde que consiga atestar que os dados pessoais tenham sido manifestamente tornados públicos pelo seu titular.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Carta dos Direitos Fundamentais da União Europeia (2016/C 202/02, do Jornal Oficial da EU de 7 de junho).

- Tratado de Funcionamento da União Europeia, de 7 de junho de 2016.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei 62/2007, de 10 de outubro - Regime Jurídico das Instituições do Ensino Superior.

- Lei n.º 7/2009, de 12 de Fevereiro - Código do Trabalho (versão aprovada pela Lei n.º 93/2019, de 4 de setembro).

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Decreto-Lei n.º 65/2018,de 16 de agosto - Altera o regime jurídico dos graus e diplomas do ensino superior.

- Decreto-Lei n.º 63/2019, de 16 de maio - Regime jurídico das instituições que se dedicam à investigação científica e desenvolvimento.

- Decreto-Lei n.º 126-B/2021, de 31 de dezembro - Regime jurídico dos centros de tecnologia e inovação e complementa o regime jurídico dos laboratórios colaborativos.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobra a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Acórdão do Supremo Tribunal Administrativo, de 14 de setembro de 1994, Apêndice de 1997-02-07.

- Parecer do Conselho Consultivo da Procuradoria Geral da República, de 22 de outubro de 2001, P000022001.

20220630 - Parecer n.º 46

^{Acesso ao documento completo (Nível 4)}

Resumo

Só estão isentos de consentimento informado por parte dos visitantes do site da UC, os cookies:
- essenciais, para a duração de uma sessão ou persistentes de personalização, quando à sua duração;
- de autenticação, para a duração de uma sessão, utilizados para prestar serviços autenticados;
- de segurança, para uma duração limitada ou persistente, centrados no utilizador e utilizados para detetar abusos de autenticação;
- criados por um leitor multimédia, para a duração de uma sessão;
- criados para equilibrar a carga durante uma sessão;
- cookies de terceiros para partilha de conteúdos entre os membros ligados a uma rede social.
Nos restantes casos, a utilização de cookies só é lícita se o utilizador tiver dado o seu consentimento explícito para uma, ou mais, finalidades específicas.
A existência de consentimento não legitima a recolha de dados que não seja necessária para a finalidade específica do tratamento.
A UC é responsável por todos os cookies que sejam colocados no equipamento terminal do utilizador e tem, por isso, a obrigação de assegurar que são cumpridas todas as exigências legais, designadamente a informação aos utilizadores e a obtenção do seu consentimento quando tal se impõe.
A UC deve ainda fazer prevalecer o “direito de oposição”, bem como prestar informação sobre a duração de funcionamento do cookie e a possibilidade de terceiros terem acesso, ou não, à informação constante nesse cookie.
A UC, enquanto responsável pelos seus sítios Web, só deve utilizar cookies quando estes respeitam a norma vigente.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 41/2004, de 18 de agosto - Relativa à “Proteção de dados pessoais e privacidade nas telecomunicações”, com a nova redação dada pela Lei n.º 46/2012, de 30 de Agosto,

- Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho - Relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas, com redação que lhe foi dada pela Diretiva 2009/136/CE.

- Orientações WP 171 (Parecer n.º 2/2010), de 22 de junho - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Publicidade comportamental em linha.

- Orientações WP 188 (Parecer n.º 16/2011), de 8 de dezembro - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Recomendação da EASA/IAB relativa às melhores práticas em matéria de publicidade comportamental em linha.

- Orientações WP 194 (Parecer n.º 4/2012), de 7 de junho - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Isenção de consentimento para a utilização de testemunhos de conexão.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Acórdão do Tribunal de Justiça (Grande Secção) 1 de outubro de 2019, ECLI:EU:C:2019:801.

- Procedimiento N.º PS/00300/2019, de 1 de outubro – Resolucíon R/00499/2019, AEPD.

20220730 - Parecer n.º 47

^{Acesso ao documento completo (Nível 4)}

Resumo

Os documentos de identificação contêm dados pessoais, nomeadamente o número de identificação civil e o número do CC.

O tratamento de dados pessoais neste âmbito deve circunscrever-se ao estritamente necessário, devendo ser evitada qualquer recolha acessória de dados (designadamente componentes do número do CC desnecessárias).

A retenção, conservação ou reprodução do CC, para efeitos de verificação de identidade, apenas é lícita nas seguintes condições:

nos casos expressamente previstos na lei;
mediante decisão de autoridade judiciária; ou
com o consentimento do titular.

Neste último caso, o consentimento tem de ser livre, como tal tem de ser disponibilizada uma alternativa ao titular para que este possa comprovar a sua identidade.

Se estiver legalmente determinada a sua cópia, o titular do CC poderá ocultar os dados pessoais que não sejam relevantes para o fim em causa, evitando assim a sua disseminação e reduzindo o risco de utilização indevida.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 5/1995, de 21 de fevereiro - Estabelece a obrigatoriedade do porte de documento de identificação.

- Lei n.º 7/2007, de 5 de fevereiro - Cria o Cartão de Cidadão e rege a sua emissão, renovação, utilização e cancelamento, na redação dada pela Lei n.º 61/2021, de 19 de agosto.

- Lei n.º 7/2009, de 12 de fevereiro - Código do Trabalho.

- Lei n.º 83/2017, de 18 de agosto - Estabelece medidas de combate ao branqueamento de capitais e ao financiamento do terrorismo.

- Decreto n.º 4837/1918, de 20 de setembro - Regula o Arquivo de Identificação.

- Decreto-Lei n.º 78/1987, de 17 de fevereiro - Código do Processo Penal, na versão consolidada de 21 de dezembro de 2021.

- Decreto-Lei n.º 135/1999, de 22 de abril - Define os princípios gerais de acção a obedecer na Administração Pública em actuação face ao cidadão e reune as normas vigentes no contexto da modernização administrativa.

- Decreto-Lei n.º 28/2019, de 15 de fevereiro - Procede à regulamentação das obrigações relativas ao processamento de faturas e outros documentos fiscalmente relevantes bem como das obrigações de conservação de livros, registos e respetivos documentos de suporte que recaem sobre os sujeitos passivos de IVA.

- Portaria n.º 286/2017, de 28 de setembro - Define modelos do Cartão de Cidadão, elementos de segurança física, medidas concretas de inclusão de cidadão com necessidades especiais e requisitos técnicos de sergurança.

- Portaria n.º 287/2017, de 28 de setembro - Regulamenta os mecanismos técnicos de acesso e leitura dos dados constantes de circuito integrado, o cancelamento via eletrónica e o prazo geral de validade do cartão de cidadão, o funcionamento do Portal do Cidadão, o montante devido pelo IRN à AMA, e as regras de conservação do ficheiro com o código PUK do cartão de cidadão.

20230116 - Parecer n.º 48

^{Acesso ao documento completo (nível 2)}

Resumo

O tratamento de dados em causa poderá ser enquadrado pelo Responsável de tratamento de dados, numa das licitudes apresentadas e previstas no RGPD.

Atendendo às vantagens na utilização de uma ferramenta segura, fiável, perene e transversal a vários dos seus Serviços/Unidades, o seu desenvolvimento deve ser efetuado de acordo com as competências atribuídas ao SGRH e ao SGSSIC, ou a outros Serviços da UC com idênticas competências que lhes venham a ser cometidas.

Atendendo ao nível de criticidade (média/alta) do tratamento de dados pessoais e ao preconizado no art.º 56 da Lei n.º 59/2019, de 8 de agosto, a decisão de autorização solicitada, deve ser suportada numa AIPD, que deverá ser apresentada pelo Responsável pelo Tratamento de Dados Pessoais ou pelo Subcontratante, com foco na licitude de tratamento invocada e na finalidade de cada um dos identificadores solicitados/reutilizados, na descrição sistemática das operações de tratamento previstas, na avaliação da necessidade e de proporcionalidade das operações de tratamento em relação aos objetivos, na avaliação dos riscos para os direitos e liberdades dos titulares dos dados, na indicação das estratégias para a mitigação dos riscos e nas vulnerabilidades do tratamento.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 67/1998, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 59/2019, de 8 de agosto - Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais.

- Lei n.º 26/2016, de 22 de agosto (com as alterações introduzidas pela Lei n.º 68/2021, de 26 de agosto) - Lei de Acesso a Informação Administrativa e Ambiental.

- Diretiva (EU) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril - Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados.

- Diretiva (UE) 2019/1024, do Parlamento Europeu e do Conselho, de 20 de junho - Relativa aos dados abertos e à reutilização de informações do setor público.

- Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º sobre AIPD e tratamento «suscetível de resultar num elevado risco» para o RGPD.

- Regulamento n.º 798/2018, de 30 de novembro - Torna público o Regulamento n.º 1/2018 - Tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados.

- Despacho normativo n.º 43/2008, de 1 de setembro - Estatutos da Universidade de Coimbra.

- Despacho n.º 5.915/2019, de 27 de junho - Cria o Projeto Especial UC-Business.

- Despacho n.º 772/2020, de 20 de janeiro - Reforço das competências e composição da equipa do UC-Business.

- Despacho n.º 10.510/2020, de 28 de outubro - Alteração ao Regulamento da Administração da Universidade de Coimbra.

- Parecer n.º 54/2018, de 15 de novembro - CNPD.

- Parecer n.º 63/2021, de 18 de maio - CNPD.

20230310 - Parecer n.º 49

Acesso ao documento completo (nível 3)

Resumo

Existe a garantia constitucional do direito à igualdade de oportunidade de acesso e êxito escolar. Este desígnio não está suficientemente acompanhado por legislação própria, lacuna que deve ser colmatada pela UC.
A UC prevê que, em determinadas situações, os estudantes com NE possam recorrer à gravação de áudio da aula.
O tratamento de dados, direta ou indiretamente associados a uma pessoa singular, quando sujeitos a determinadas técnicas e medidas organizativas, pode gerar uma real intrusão na sua privacidade.
A gravação pode colocar em causa o direito à proteção dos dados pessoais dos intervenientes em sala.
Estamos perante um conflito entre o direito de os estudantes com NE poderem efetuar a gravação áudio das suas aulas e o direito das pessoas singulares, docentes ou estudantes, a oporem-se às gravações.

Mesmo que em análise casuística não possa ser comprimido o direito à proteção dos dados, noutros casos, ou na maioria dos casos, deverá imperar a razoabilidade e a ponderação, em detrimento da imposição ou proibição, tanto mais que a possível gravação é já acompanhada por uma medida específica que salvaguarda os direitos fundamentais e os interesses dos titulares dos dados envolvidos na gravação.

Cabe ao docente, em ambiente de sala de aula, avaliar se há ou não impedimento para a gravação, nomeadamente através de oposição forte e fundamentada na violação clara de direitos fundamentais.

Quando ficar demonstrada essa oposição, o docente poderá sobrepor o direito à proteção de dados, desde que garanta alternativa à gravação, através de meios técnicos concretos colocados à disposição do estudante com NE, que igualizem as vantagens oferecidas pela gravação da aula.

^Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Convenção sobre os Direitos das Pessoas com Deficiência, 30 de março de 2007.

- Lei n.º 38/2004, de 18 de agosto - Define as bases gerais do regime jurídico da prevenção, habilitação, reabilitação e participação da pessoa com deficiência.

- Decreto-Lei n.º 129/2017, de 9 de outubro - Institui o programa Modelo de Apoio à Vida Independente.

- Decreto-Lei n.º 54/2018, de 6 de julho - Estabelece o regime jurídico da educação inclusiva.

- Regulamento n.º 805-A/2020, de 24 de setembro - Regulamento Académico da Universidade de Coimbra.

20230405 - Parecer n.º 50

Acesso ao documento completo (nível 3)

Resumo

Os dados pessoais dos estudantes da UC, registados em pautas e atas:

têm como finalidade a avaliação de competências e conhecimentos, parciais ou totais, de cada ou da totalidade das unidades curriculares;
podem-se inserir nas categorias especiais, na medida em que permitem aferir aptidões intelectuais;
mesmo que expurgada dos elementos identificativos como o nome e número de estudante, em determinadas circunstâncias é passível de identificar o titular, pelo que ainda é informação pessoal;
a sua utilização, enquanto elemento pedagógico, constitui uma nova finalidade, devendo, por isso, encontrar licitude numa das prorrogativas do art.º 6.º/1, do RGPD.

Não sendo assim, a utilização dos dados pessoais das pautas e atas para atividades pedagógicas viola o princípio da limitação das finalidades, que expressamente prevê essa impossibilidade (os dados ”não podem ser tratados posteriormente de uma forma incompatível com essas finalidades”) e, também, o princípio da minimização dos dados (“os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios”).

Como tal, desaconselha-se, em absoluto, a utilização de pautas e atas para qualquer exercício académico, devendo encontrar-se alternativas de dados que não correspondam a casos reais.

^Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 59/2019, de 8 de agosto - Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais.

- Lei n.º 26/2016, de 22 de agosto (com as alterações introduzidas pela Lei n.º 68/2021, de 26 de agosto) - Lei de Acesso a Informação Administrativa e Ambiental.

- Regulamento 223/2009, do Parlamento Europeu e do Conselho, de 11 de março - Relativo às Estatísticas Europeias.

- Diretiva (UE) 2019/1024, do Parlamento Europeu e do Conselho, de 20 de junho - Relativa aos dados abertos e à reutilização de informações do setor público.

- Lei n.º 22/2008, de 13 de maio - Lei do Sistema Estatístico Nacional.

- Lei n.º 68/2021, de 26 de agosto - Aprova os princípios gerais em matéria de dados abertos, relativa aos dados abertos e à reutilização de informação do setor público, alterando a Lei n.º 26/2016, de 22 de agosto.

- Regulamento n.º 805-A/2020, de 24 de setembro - Regulamento Académico da Universidade de Coimbra.

- Despacho normativo n.º 43/2008, de 1 de setembro - Estatutos da Universidade de Coimbra.

- Parecer n.º 63/2021, de 18 de maio - CNPD.

- Orientação n.º 8/2020, de 8 de abril - CNPD.

- Parecer n.º 12/2019, de 12 de junho - EPD-UC.

- Parecer n.º 18/2019, de 9 de outubro - EPD-UC.

- Parecer n.º 20/2019, de 3 de dezembro - EPD-UC.

20230830 - Parecer n.º 51

Acesso ao documento completo (nível 3)

Resumo

Deve ser dado especial relevo ao respeito pelos princípios da limitação da finalidade e da minimização dos dados pessoais.

O destinatário sujeito passivo de IVA é identificado na fatura através do NIF, firma ou denominação social e a sua sede.

Quatro regras relativas à identificação na fatura, quando o destinatário não seja sujeito passivo de IVA:

Se não se usar a despesa para efeitos de IRS, não é obrigado identificar-se;
O NIF é obrigatório para efeitos de benefício fiscal em IRS em despesas de restauração e hotelaria, cabeleireiros e estéticas e reparação automóvel;
No comprovativo das despesas sujeitas a dedução em sede de IRS (consultas, farmácia, educação) tem de constar a "identificação" do beneficiário (nome ou NIF), tendo esta de constar na fatura original, i.e., não podem ser posteriormente inseridos manualmente.
O nome, a morada e o NIF são obrigatórios para faturas com valor igual ou superior a 1.000€.

Caso não o preveja, o software Odoo deve ser parametrizado de modo a ficar alinhado com os preceitos fiscais e as várias tipologias de elementos de identificação dos destinatários ou adquirentes, para que o tratamento de dados pessoais cumpra, na plenitude, os princípios enunciados.

^Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Lei n.º 82-E/2014, de 31 de dezembro - Altera o Código do IRS (Decreto-Lei n.º 442-A/88, de 30 de Novembro).

- Decreto-Lei n.º 198/90, de 19 de junho e Decreto-Lei n.º 197/2012, de 24 de agosto - Alteram o Código do IVA (Decreto-Lei n.º 394-B/84, de 26 de Dezembro).

- Decreto-Lei n.º 28/2019, de 15 de fevereiro - Regulamentação das obrigações relativas ao processamento de faturas e outros documentos fiscalmente relevantes.

20230911 - Parecer n.º 52

Acesso ao documento completo (nível 2)

Resumo

Relativamente à possibilidade de recolher e utilizar a fotografia dos Guias Intérpretes a operar nos edifícios e outros espaços sob gestão da UC, para efeitos de controlo de acessos através do cartão de identificação, o EPD-UC concluiu o seguinte:

Se o tratamento das imagens não as tornar abrangidas pela definição de dados biométricos (i.e., serem processadas por meios técnicos específicos que permitam a identificação inequívoca ou a autenticação de uma pessoa singular), o tratamento é lícito se o responsável demonstrar que tal é necessário para efeito dos seus interesses legítimos, e que estes prevalecem sobre os interesses ou direitos e liberdades fundamentais do titular dos dados (art.º 6/1/f do RGPD).
Se o tratamento das imagens as tornar abrangidas pela definição de dados biométricos e o titular dos dados for trabalhador da UC, o tratamento é lícito desde que apenas se utilizem representações dos dados biométricos e que o respetivo processo de recolha não permita a reversibilidade dos referidos dados (art.º 28.º/6 da Lei 58/2019 e art.º 9/2/b do RGPD).
Se o tratamento das imagens as tornar abrangidas pela definição de dados biométricos e o titular dos dados for cliente/utente da UC, o tratamento só é licito se for obtido previamente o consentimento do titular, nos termos legais (art.º 9/2/a e considerando 32 do RGPD). Neste caso, e de acordo com a CNPD, “deve haver forma alternativa de acesso às instalações para os clientes/utentes que não consentirem na recolha dos seus dados biométricos".

Em qualquer circunstância, devem ser implementadas medidas técnicas e organizativas que possam comprovar o cumprimento do RGPD, bem como mitigar o risco de impacto indesejável sobre o titular, designadamente:

Aplicar os princípios da proporcionalidade e da subsidiariedade, independentemente do fundamento jurídico aplicável;
Dar especiais garantias de transparência, como por exemplo fornecer ao titular informações complementares em relação ao que está especificamente previsto nos artigos 13.º e 14.º do RGPD, incluindo os aspetos relativos à tecnologia de monotorização;
Garantir que os dados são tratados para determinadas finalidades legítimas, proporcionais e necessárias, ao mesmo tempo que os dados são adequados, pertinentes e não excessivos;
Implementar outras medidas técnicas e organizativas para assegurar que os dados não possam ser utilizados para tomar decisões ou outras medidas em relação às pessoas («separação funcional»);
Optar por tecnologias que reforcem a proteção da privacidade;
Incluir hologramas ou marcas d'água nas fotografias, para evitar duplicações não autorizadas;
Permitir o exercício dos direitos dos titulares dos dados;
Manter os dados exatos, e não os conservar mais tempo do que o necessário; e
Tomar todas as medidas necessárias para proteger os dados contra o acesso não autorizado e garantir que todos os trabalhadores do NUTUC tenham conhecimento suficiente das implicações deste tratamento.

^Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 48/1995, de 15 de março - Código Penal.

- Decreto-Lei n.º 47344/1966, de 25 de novembro (versão atual) - Código Civil.

- Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Acórdão 1581/07.3TVLSB.L1.S1 do Supremo Tribunal de Justiça.

- Orientações WP 217 (Parecer n.º 6/2014), de 8 e abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Sobre o conceito de interesses legítimos do responsável pelo tratamento dos dados na aceção do artigo 7.º da Diretiva 95/46/CE.

Autoriza o uso de cookies?

Pareceres do EPD

Pareceres

Resumo