Perguntas Frequentes

É um diploma que entrou na nossa ordem jurídica em 25 de maio de 2018, através do Regulamento (EU) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, que pretende responder aos desafios colocados pela revolução tecnológica ocorrida nas últimas décadas e proteger melhor os dados sobre as pessoas, os direitos dos cidadãos da UE e a livre circulação de dados.

A quantidade de dados armazenados e transacionados, estruturados e não estruturados, não limitados às fronteiras, aumentou e aumentará exponencialmente nos próximos anos, pelo que a recolha e utilização dos dados pessoais é uma preocupação cada vez maior dos titulares dos dados e das organizações, obrigando por isso à introdução de um enquadramento jurídico mais rigoroso.

Para estar em conformidade com o RGPD, é fundamental que as organizações percebam que informação pessoal possuem, para que a utilizam, onde e como a armazenam e que sistemas tecnológicos, modelos organizativos e processos é que vão ter de alterar.

O RGPD tem como principais objetivos que o cidadão recupere o controlo sobre os seus dados pessoais, nomeadamente através de novos direitos, como aceder, alterar, transferir, apagar ou solicitar a sua informação na qualidade de titular dos dados.

• Maior amplitude do conceito de dados pessoais - Passa a incluir, nomeadamente, dados de localização e identificadores por via eletrónica (como endereços IP, cookies). Para além disso, passam a existir definições precisas no que respeita a “perfis”, "pseudonimização", "dados genéticos", "dados biométricos e "dados relativos à saúde".
• Direito ao esquecimento (apagamento), direito de portabilidade dos dados, direito ao consentimento e direito de oposição ao profiling - Os titulares dos dados passam a ter o direito a requerer a eliminação dos seus dados pessoais mediante determinadas circunstâncias. Passam, também, a poder transferir os seus dados de um responsável pelo tratamento para outro responsável e as organizações ficam obrigadas a fornecer ao titular dos dados, num formato de uso corrente e de leitura automática, os dados que aquele lhe tenha transmitido. Passam igualmente a gozar de regras mais exigentes para o consentimento (que pode ser retirado a qualquer momento) e também ao direito de se oporem ao profiling (processamento de informação, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais).
• Reforço das obrigações das organizações - Para além da obrigação de adoção de políticas e procedimentos de segurança de dados, como a pseudonimização ou a cifragem de dados, é criada a figura do Data Protection Officer (DPO) / Encarregado de Proteção de Dados (EPD).
• Regras especiais para menores - O RGPD prevê a impossibilidade de menores, com idade inferior a 16 anos, prestarem o seu consentimento para tratamentos de dados em serviços online (oferta direta de serviços da sociedade da informação às crianças), ficando, no entanto, ao critério de cada Estado-membro determinar se os jovens com idades compreendidas entre os 13 e 16 anos poderão ter acesso a serviços online.
• Obrigação de comunicar quebras de segurança - As organizações passam a estar obrigadas a notificar os casos de violação de dados pessoais às autoridades competentes e aos próprios titulares dos dados.
• Accountability - Desaparece a obrigação de notificação/autorização à CNPD, tornando-se esta um órgão fiscalizador. Há uma mudança de paradigma, que obriga os responsáveis pelo tratamento de dados de serem capazes de, a qualquer momento, demonstrar o cumprimento das exigências previstas no RGPD.
• Encarregado de Proteção de Dados (EPD) - As autoridades e organismos públicos estão obrigados a contratar/nomear um EPD, o qual deve ter conhecimentos especializados no domínio do direito e das práticas da proteção de dados, considerando que a sua principal função é controlar o cumprimento das regras do novo Regulamento pela organização.
• Avaliação de impacto sobre a proteção de dados - Os tratamentos de dados pessoais suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas singulares têm de ser precedidos de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD), designadamente nos casos estipulados no n.º 3, art. 35.º do RGPD e no Regulamento 798/2018, de 30 novembro.

O Regulamento não necessita de transposição. É diretamente aplicável a todos os Estados Membros em simultâneo.

As transferências de dados são proibidas para fora da UE, exceto se reunidas as condições previstas no capítulo V do RGPD.

Com efeito, na transferência de dados pessoais para fora da UE, o RGPD exige que seja assegurado um elevado nível de proteção dos dados pessoais, compatível com o nível de proteção conferido pelo próprio RGPD. Isto é, só são legais as transferências internacionais realizadas para jurisdições fora da UE consideradas “seguras”, através dos diversos institutos jurídicos que o próprio RGPD regulamenta.

A noção de violação de dados pessoais lembra imediatamente a fuga de dados pessoais em benefício de terceiros não autorizados (por exemplo, a pirataria de dados por um indivíduo mal intencionado). É este o caso, mas a definição do termo é, na verdade, mais ampla:

• Perder a disponibilidade dos dados pessoais;
• Prejudicar a integridade dos dados pessoais;
• Prejudicar a confidencialidade dos dados pessoais.

Portanto, uma violação de dados pode constituir não só uma fuga de dados, mas também a perda permanente de dados.
O RGPD impõe novas obrigações aos responsáveis pelo tratamento e aos subcontratados em termos de notificações de violação de dados.

Os cidadãos podem apresentar as suas queixas à Comissão Nacional de Proteção de Dados (CNPD), enquanto autoridade nacional de controlo, responsável por assegurar que as regras contidas no documento são cumpridas.

A não conformidade com o RGPD, pode conduzir a multas até 20.000.000€ ou 4% da faturação global da organização (consoante o montante mais elevado).

As entidades têm até 72 horas para comunicar à CNPD eventuais violações de dados pessoais. Se essa violação for considerada de alto risco para os direitos e liberdades dos cidadãos e se esse risco não tiver sido mitigado, então o titular também tem o direito a ser informado dessa fuga. É possível apresentar uma queixa à CNPD e, em caso de prejuízo, intentar uma ação judicial a requerer indemnização.

Sim, pode haver, caso a empresa ou entidade não tenha respeitado as leis da proteção de dados e, na sequência disso, o cidadão tenha sofrido prejuízos materiais ou de outro tipo, nomeadamente, danos de reputação.

A Lei n.º 58/2019, de 8 de agosto, é a nova Lei de Proteção de Dados, que assegura a execução do RGPD na ordem jurídica portuguesa. Entrou em vigor no dia 9 de agosto e revoga a anterior LPDP (Lei n.º 67/98).

Há três razões para a existência desta nova Lei, designadamente:

Um: o RGPD deixa aos Estados-Membros a decisão sobre algumas matérias específicas, tais como dados especialmente protegidos, tratamento de dados dos trabalhadores, idade mínima de menores, etc..

Dois: o RGPD determina que cada Estado-Membro nomeie, por ato legislativo, a autoridade de controlo encarregue da fiscalização da sua aplicação.

Três: entendem alguns autores que as contraordenações e os crimes são matéria da exclusiva competência da Assembleia da República. Assim, as normas do RGPD sobre as contraordenações não são diretamente aplicáveis, daí a necessidade de serem transpostas por ato legislativo nacional.

Entrou também em vigor uma lei específica de proteção de dados para os tratamentos efetuados por autoridades competentes para a deteção, prevenção, investigação e repressão de infrações penais e para a execução de sanções penais – Lei n.º 59/2019, de 8 de agosto.

Estes três instrumentos legais (RGPD, Lei n.º 58/2018 e Lei n.º 59/2019) constituem a nova legislação de proteção de dados pessoais.

I. Autoridade de Controlo (Capítulo II, artigos 3.º a 8.º)

• A Comissão Nacional de Proteção de Dados (CNPD) é designada como a autoridade de controlo nacional para efeitos do RGPD e da lei que agora entra em vigor (Alteração e Republicação da Lei n.º 43/2004, de 18 de agosto).
• Prevê a cooperação com o Instituto Português de Acreditação, I. P. (IPAC, I. P.) em matéria de acreditação dos organismos de certificação em sistemas de proteção de dados.
• Reforça que compete à CNPD fomentar a elaboração de códigos de conduta que regulem atividades determinadas, os quais devem tomar em atenção as necessidades específicas das micro, pequenas e médias empresas.
• Refere que a CNPD difunde uma lista de tipos de tratamento de dados cuja avaliação prévia de impacto não é obrigatória.
• Obriga as entidades públicas e privadas a colaborar com a CNPD, quando necessário, para o cabal cumprimento das suas competências, designadamente examinar o sistema informático e os ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.

II. Funções do Encarregado de Proteção de Dados (Capítulo III, art.^os 9.º a 13.º)

• Para além das competências que são confiadas ao EPD, nos termos do disposto no RGPD, cabem-lhe ainda as seguintes funções:

a) assegurar a realização de auditorias de proteção de dados, quer periódicas, quer não programadas;

b) sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;

c) assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

• O encarregado de proteção de dados, bem como os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade que acresce aos deveres de sigilo profissional previstos na lei.

III. Disposições especiais - consentimento de menores, proteção de pessoas falecidas, portabilidade e interoperabilidade, videovigilância, dever de segredo, prazo de conservação, transferências de dados e tratamento de dados pessoais por entidades públicas para finalidades diferentes (Capítulo V, art.º^s 16.º a 23.º)

• Refere que o consentimento de menores relativo à oferta direta de serviços da sociedade de informação só é admissível quando os menores já tenham completado 13 anos de idade.
• Prevê a necessidade de proteção de dados pessoais especiais de pessoas falecidas.
• Clarifica que o direito de portabilidade dos dados abrange apenas os dados fornecidos pelos respetivos titulares.
• Esclarece que, sempre que a interoperabilidade dos dados entregues à Administração Pública não seja tecnicamente possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam entregues num formato digital aberto, de acordo com o Regulamento Nacional de Interoperabilidade Digital em vigor.
• Impõe regras e limites na utilização de Videovigilância (ver ponto 6).
• Clarifica algumas dúvidas em relação ao prazo de conservação de dados pessoais, como os dados relativos a declarações contributivas para efeitos de aposentação ou reforma, que podem ser conservados sem limite de prazo.

IV. Situações específicas de tratamento de dados pessoais – liberdade de expressão, publicação em jornal oficial, acesso a documentos administrativos, publicação de dados no âmbito da contratação pública, relações laborais, tratamento de dados de saúde e dados genéticos, bases de dados ou registos centralizados de saúde, tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos (Capítulo VI, art.^os 24.º a 31.º)

• A proteção de dados pessoais não prejudica o exercício da liberdade de expressão, informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para fins de expressão académica, artística ou literária, mas não legitima a divulgação de dados pessoais como moradas e contactos, à exceção daqueles que sejam de conhecimento generalizado.
• Sempre que o dado pessoal «nome» seja suficiente para garantir a identificação do titular e a eficácia do tratamento, não devem ser publicados em jornais oficiais outros dados pessoais, sendo o responsável pelo tratamento a entidade que manda proceder à publicação.
• Caso seja necessária a publicação de dados pessoais, não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do contraente público e do cocontratante.
• O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador, devendo assegurar-se que apenas se utilizem representações dos dados biométricos e que o respetivo processo de recolha não permita a reversibilidade dos referidos dados.
• Estabelece que o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais:

a) se do tratamento resultar uma vantagem jurídica ou económica para o Trabalhador;
b) se esse tratamento for necessário para a execução de um contrato no qual o trabalhador seja parte, ou necessário para diligências pré-contratuais.

• Inclui requisitos de confidencialidade e sigilo associados ao tratamento de dados de saúde e dados genéticos. O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação.
• O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização dos mesmos, sempre que os fins visados possam ser atingidos por uma destas vias.

V. Tutela administrativa, responsabilidade civil, tutela jurisdicional, representação dos titulares dos dados, legitimidade da CNPD (Capítulo VII, secção I, art.^os 32.º a 36.º)

• Em termos de responsabilidade civil, indica que qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de obter do responsável ou subcontratante a reparação pelo dano sofrido.

VI. Contraordenações (Capítulo VII, secção II a IV, art.^os 37.º a 56.º)

• O legislador nacional introduz algumas novidades no regime das contraordenações. As contraordenações muito graves são punidas com coima:

a) de 5 000€ a 20 000 000€ ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) de 2 000€ a 2 000 000€ ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) de 1 000€ a 500 000€, no caso de pessoas singulares.

• As contraordenações graves são punidas com coima:

a) de 2 500€ a 10 000 000€ ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) de 1 000€ a 1 000 000€ ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) de 500€ a 250 000€, no caso de pessoas singulares.

• Esta Lei vem estabelecer como critérios de determinação da medida da coima, além dos previstos no RGPD, os seguintes:

a) A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço anual, no caso de pessoa coletiva;
b) O caráter continuado da infração;
c) A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados.

• Outra novidade inserida no diploma é a de estipular que, à exceção dos casos de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável. O montante das coimas cobradas reverte em 60% para o Estado e em 40% para a CNPD.
• Apresenta lista dos crimes puníveis com pena de prisão, como a utilização de dados de forma incompatível com a finalidade da recolha, o acesso indevido, o desvio de dados, a viciação ou destruição de dados, a inserção de dados falsos, a violação do dever de sigilo e a desobediência.

VII. Entidades Públicas (art.^os 44.º e 59.º)

• No âmbito de aplicação das contraordenações, as coimas previstas no RGPD e na presente lei aplicam-se de igual modo às entidades públicas e privadas, mas as entidades públicas, podendo as primeiras, fundamentar e solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos, a contar da entrada em vigor da Lei n.º 58/2019.

VIII. Legislação alterada e revogada (artigos 65.º e 66.º)

• Este diploma procede à alteração à Lei n.º 26/2016, de 22 de agosto (nova LADA), nomeadamente do artigo 6.º do regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos que passa a ter a seguinte redação:

«Artigo 6.º

[...]

9 — Sem prejuízo das ponderações previstas nos números anteriores, nos pedidos de acesso a documentos nominativos que não contenham dados pessoais que revelem a origem étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, dados genéticos, biométricos ou relativos à saúde, ou dados relativos à intimidade da vida privada, à vida sexual ou à orientação sexual de uma pessoa, presume -se, na falta de outro indicado pelo requerente, que o pedido se fundamenta no direito de acesso a documentos administrativos.»

• A norma revogatória faz caducar a Lei n.º 67/98, de 26 de outubro, que transpõe para a ordem jurídica portuguesa a Diretiva 95/45/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção de pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados.
• São também revogados o n.º 3 do art.º 15.º e o n.º 2 do art.º 17.º da Lei n.º 43/2004, de 18 de agosto (Lei de organização e funcionamento da CNPD), alterada pela Lei n.º 55-A/2010, de 31 de dezembro (Orçamento do estado para 2011).

Mantêm-se válidos os princípios gerais aplicáveis aos tratamentos de dados e, nessa medida, as orientações da CNPD podem continuar a ser usadas como referência. No entanto, a CNPD irá proceder à sua atualização em conformidade com o novo quadro legal.

Sim, mantém-se válidas em tudo o que não contrarie o disposto no RGPD e na Lei n.º 58/2019, e desde que os tratamentos de dados pessoais não tenham sofrido alterações. Adicionalmente, os responsáveis pelo tratamento dos dados têm de cumprir as exigências do RGPD, à exceção da realização de avaliações de impacto sobre a proteção de dados, previstas no artigo 35.º do RGPD, para os tratamentos de dados pessoais já autorizados.

Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desaparece com a aplicação do RGPD. Já não é necessário solicitar autorização à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD.

"Informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.”

Consulte aqui para alguns exemplos.

São identificadores que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, a saúde e a genética, a biometria que identifique uma pessoa de forma inequívoca, a vida sexual ou orientação sexual, as condenações penais e infrações, as aptidões intelectuais e profissionais, os traços de personalidade ou desempenho profissional, entre outros aspetos sensíveis da vida de uma pessoa.

Consulte aqui para consultar mais informação.

Inclui categorias especiais de dados pessoais (artigo 9.º do RGPD), "bem como dados pessoais relacionados com condenações penais e infrações, tal como definido no artigo 10.º. Um exemplo seria um hospital geral que mantenha registos médicos dos doentes ou um investigador privado que mantenha informações acerca dos autores das infrações. Para além destas disposições do RGPD, algumas categorias de dados podem ser consideradas como categorias que aumentam os possíveis riscos para os direitos e as liberdades dos indivíduos. Estes dados pessoais são considerados sensíveis (na aceção comum deste termo) porque estão associados a atividades privadas e familiares (tais como comunicações eletrónicas cuja confidencialidade deve ser protegida) ou porque afetam o exercício de um direito fundamental (tais como dados de localização cuja recolha põe em causa a liberdade de circulação) ou porque a sua violação implica claramente que a vida quotidiana do titular dos dados será gravemente afetada (tais como dados financeiros que possam ser utilizados numa fraude de pagamentos). A este respeito, pode ser relevante saber se os dados já foram tornados públicos pelo titular dos dados ou por terceiros. O facto de os dados pessoais já terem sido tornados públicos pode ser considerado um fator pertinente para avaliar se, possivelmente, os dados seriam ou não utilizados para determinados fins. Este critério pode também incluir dados como documentos pessoais, mensagens de correio eletrónico, diários, notas de dispositivos eletrónicos de leitura equipados com funções de introdução de notas, bem como informações muito pessoais incluídas em aplicações onde ficam registados eventos da vida dos indivíduos". (in wp 248)

O "RGPD não define o que constitui grande escala, contudo o considerando 91 fornece alguma orientação. Em qualquer caso, o Grupo de Trabalho do Artigo 29.º recomenda que os seguintes fatores, em especial, sejam considerados quando se determina se o tratamento é ou não efetuado em grande escala:

a. o número de titulares de dados envolvidos, quer através de um número específico, quer através de uma percentagem da população pertinente;

b. o volume de dados e/ou a diversidade de dados diferentes a tratar;

c. a duração da atividade de tratamento de dados ou a sua pertinência;

d. a dimensão geográfica da atividade de tratamento." (in wp 248)

Por "exemplo, com origem em duas ou mais operações de tratamento de dados realizadas com diferentes finalidades e/ou por diferentes responsáveis pelo tratamento de dados de tal forma que excedam as expectativas razoáveis do titular dos dados". (in wp 248)

O "tratamento deste tipo de dados constitui um critério devido ao acentuado desequilíbrio de poder entre os titulares dos dados e o responsável pelo tratamento dos dados, significando isto que os indivíduos podem não ser capazes de consentir, ou opor-se, facilmente ao tratamento dos seus dados ou de exercer os seus direitos. Os titulares de dados vulneráveis podem incluir crianças (estas podem ser consideradas incapazes de consentir ou opor-se consciente e criteriosamente ao tratamento dos seus dados), empregados, segmentos mais vulneráveis da população que necessitem de proteção especial (pessoas com doenças mentais, requerentes de asilo, idosos, doentes, etc.) e todos os casos em que possa ser identificado um desequilíbrio na relação entre a posição do titular dos dados e o responsável pelo tratamento". (in wp 248)

Os titulares de dados pessoais tratados na UC, podem ser:

• Estudantes da UC;
• Candidatos à UC
• Colaboradores externos;
• Colaboradores internos;
• Fornecedores;
• Clientes;
• Membros de júri de concursos de recrutamento de pessoal;
• Candidatos a procedimentos concursais de recrutamento ou de mobilidade interna.

Atualmente não existem minutas oficiais, mas a CNPD não exclui a possibilidade de vir a disponibilizar alguns textos padrão, quando em causa estiverem tratamentos de dados pessoais mais simples.

De qualquer forma, o EPD-UC disponibiliza na sua página oficial, a todos os trabalhadores da organização, um conjunto de minutas elaboradas para situações específicas.

O consentimento é uma das circunstâncias que torna legal o tratamento dos dados pessoais. Um dos aspetos fundamentais do RGPD é a forma como este consentimento tem que ser obtido. Tem que ser livre, específico para uma determinada finalidade, inequívoco e informado, o que implica conhecimento de todos os dados pessoais objeto de tratamento. O pedido de consentimento deve ser apresentado “de forma clara e concisa, utilizando linguagem de fácil entendimento e diferenciar-se de outras informações como sejam ‘’os termos e condições”. Este documento deve, ainda, incluir o tipo de uso que será feito dos dados e incluir os contactos da entidade que vai processar essa informação.

O consentimento tem, pois, de ser inequívoco, isto é, a pessoa tem de manifestar a sua vontade em autorizar. Tem também de prestar as informações que previstas no art.º 13.º do RGPD, adequadas ao seu caso concreto, não se esquecendo de informar o titular dos dados de que pode revogar o consentimento a todo o momento e indicando o meio como o pode fazer.

O consentimento tem, ainda, de ser específico, devendo ser diferenciado, por exemplo, quando haja utilização de dados para fins distintos ou quando haja comunicação de dados a terceiros, e acompanhado sempre da informação necessária relativa a cada situação. Também não é possível fazer depender a execução de um contrato do consentimento do titular dos dados.

Até agora o consentimento podia ser tácito, ou seja, incluído numa longa lista de termos e condições que raramente as pessoas liam. Isso deixa de ser válido. Se um tratamento de dados foi autorizado com base num consentimento que não cumpre as novas regras, este não tem validade, pelo que a entidade que trata esses dados terá que pedir novamente um novo consentimento informado, nas condições exigidas pelo RGPD.

Antes de mais, deve verificar-se se o consentimento do titular é o fundamento de legitimidade adequado quando está em causa uma relação contratual com um utente/cliente, uma vez que o tratamento de dados necessário à execução de um contrato não precisa do consentimento do utente/cliente.

Se estiver em causa o tratamento de dados pessoais adicionais em relação ao contrato e se o consentimento obtido anteriormente foi dado de forma implícita, então será necessário obter um novo consentimento do titular dos dados, nas condições exigíveis pelo RGPD. Por exemplo, se o consentimento foi dado para uma determinada finalidade e se pretende fazer uso dos dados para outros fins, então deverá obter um novo consentimento.

Não. Os tratamentos de dados pessoais, no âmbito da gestão dos recursos humanos, têm como fundamentos de legitimidade a execução do contrato de trabalho e a lei. O consentimento dos trabalhadores não é, de uma maneira geral, considerado válido, pois raramente poderá ser dado em condições de liberdade, atendendo ao desequilíbrio de poder entre as partes.

As listas de distribuição e o email constituem o canal predominante pelo qual as organizações tentam alcançar novos utentes/clientes, bem como manter o relacionamento com os já existentes.

Efetivamente, o RGPD veio exigir alterações significativas na maneira como as organizações conduzem as suas práticas de contacto por email.

Assim, a recolha e utilização de endereços de email deve ter presente os seguintes conceitos:

O “Opt in” é a autorização dada por um titular de dados, para receber mensagens de uma determinada instituição.

O “Double Opt in” é um “Opt in” reforçado. O Responsável pelo tratamento de dados, após enviar a primeira mensagem, envia uma segunda, geralmente um link, de confirmação. Para que o consentimento seja confirmado, é necessário que o titular dos dados faça a validação do link, ou seja, existe uma dupla confirmação. A validação pode mencionar “por favor confirme a sua subscrição”, sem indicar quaisquer dados adicionais.

O “Soft Opt In” refere-se a uma forma implícita de garantir o envio de comunicações institucionais para os titulares dos dados, quando já exista um relacionamento prévio estabelecido entre as partes. Neste caso, entende-se que a relação entre as partes já permite o envio de mensagens entre elas.

O “Opt out” aplica-se quando o destinatário indica explicitamente que não deseja receber mensagens de uma lista especifica ou global.

Sim, a designação do EPD é obrigatória sempre que:

• Independentemente dos dados objeto de tratamento, este for efetuado por autoridade ou organismo público (al. a) do art.º 37.º/1)^[1], à exceção dos tribunais no exercício da sua função jurisdicional^[2];

• As “atividades principais” do RT/S consistirem em operações de tratamento que exijam controlo regular e sistemático dos titulares dos dados em grande escala (al. b) do art.º 37.º/1, reforçada pela al. a) do art.º 13 da Lei 58);
• As “atividades principais” do RT/S consistirem em operações de tratamento em grande escala de categorias especiais de dados^[3] ou^[4] de dados pessoais relacionados com condenações penais e infrações (al. c) do art.º 37/1 reforçada pela al. b) do art.º 13 da Lei 58);
• Noutras situações em que o direito da União ou dos Estados-Membros o exija (art.º 37.º/4).

Excetuando os casos em que seja evidente que uma organização não é obrigada a designar um EPD, o GT 29 recomenda que o RT/S documente a análise interna efetuada no sentido de determinar se deve ou não ser nomeado um EPD, com vista a poder comprovar que os fatores pertinentes foram devidamente tomados em consideração^[5]. Esta análise deve fazer parte da documentação no âmbito do princípio da responsabilidade e pode vir a ser solicitada pela autoridade de controlo, devendo ser atualizada sempre que necessário, por exemplo, caso os RT/S iniciem novas atividades ou prestem novos serviços que possam ser abrangidos pelo art.º 37.º/1 (designação do EPD).

Ademais, mesmo quando não é obrigatório designar um EPD, as organizações poderão considerar conveniente designá-lo a título voluntário. Nestes casos são extensíveis à sua nomeação, posição e atribuições os requisitos aplicáveis à designação obrigatória.

[1] O art.º 12.º da Lei 58/2019 de 8 de agosto, que assegura a execução do RGPD em Portugal, (doravante designada como Lei 58) particulariza a designação de EPD em entidades públicas.

[2] Art.º 32.º da Diretiva (UE) 2016/680.

[3] Nos termos do art.º 9.º, estas categorias abrangem os dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

[4] O art.º 37.º/1, al. c), utiliza a conjunção «e». O motivo da utilização conjunção «ou» em vez de «e» deve-se ao facto não haver nenhuma razão estratégica para que os dois critérios tenham de ser aplicados simultaneamente.

[5] “Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.” (art.º 24.º/1).

As “atividades principais” (al. b) e c) do art.º 37.º/1) podem entender-se como as operações essenciais para alcançar os objetivos do RT/S, as quais incluem também todas as atividades em que o tratamento de dados constitui parte indissociável das atividades do RT/S. Por exemplo, os hospitais devem nomear um EPD porque o tratamento de dados relativos à saúde deve ser considerado uma das atividades principais, ao contrário de determinadas atividades de apoio à atividade principal, como a remuneração dos seus trabalhadores ou atividades comuns de apoio informático (atividades de funções acessórias).

Entende-se por entidades públicas (art.º 12.º/2 da Lei 58):

• O Estado;
• As regiões autónomas;
• As autarquias locais e as entidades supranacionais previstas na lei;
• As entidades administrativas independentes e o Banco de Portugal;
• Os institutos públicos;
• As instituições de ensino superior públicas, independentemente da sua natureza;
• As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;
• As associações públicas.

Existe pelo menos um EPD (art.º 12.º/3 da Lei 58):

• Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;
• Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;
• Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;
• Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;
• Por cada entidade, no caso das demais entidades referidas no número anterior, sendo designada pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.

O RGPD não define o que constitui um tratamento de “grande escala”, mas o GT 29 recomenda que sejam tomados em consideração os seguintes fatores:

• o número de titulares de dados afetados – como número concreto ou em percentagem da população em causa;
• o volume de dados e/ou o alcance dos diferentes elementos de dados objeto de tratamento;
• a duração, ou permanência, da atividade de tratamento de dados;
• o âmbito geográfico da atividade de tratamento.

Consideram-se como exemplos de tratamento de grande escala:

• o tratamento de dados de doentes no exercício normal das atividades de um hospital;
• o tratamento de dados de viagem das pessoas que utilizam o sistema de transportes públicos de uma cidade;
• o tratamento em tempo real de dados de geolocalização de clientes de uma cadeia de restauração rápida internacional para fins estatísticos;
• o tratamento de dados de clientes no exercício normal das atividades de uma companhia de seguros ou de um banco;
• o tratamento de dados pessoais para fins de publicidade comportamental por um motor de busca;
• o tratamento de dados (conteúdo, tráfego, localização) por operadoras.

Como exemplos de não tratamento de grande escala, considera-se:

• o tratamento de dados de doentes pacientes por um médico;
• o tratamento de dados pessoais relacionados com condenações penais e infrações por um advogado.

A noção de “controlo regular e sistemático” (al. b) do art.º 37.º/1) dos titulares dos dados não está definida no RGPD, mas inclui claramente todas as formas de seguimento e de definição de perfis.

Na interpretação do GT 29, “regular” significa, neste caso, uma ou mais das seguintes características:

• Contínuo ou que ocorre a intervalos específicos num determinado período;
• Recorrente ou repetido em horários estipulados;
• Constante ou periódico.

Na interpretação do GT29, “sistemático” significa, neste caso, uma ou mais das seguintes características:

• Que ocorre de acordo com um sistema;
• Predefinido, organizado ou metódico;
• Realizado no âmbito de um plano geral de recolha de dados;
• Efetuado no âmbito de uma estratégia.

São exemplos de atividades que podem constituir um controlo regular e sistemático dos titulares de dados:

• a exploração de uma rede de telecomunicações;
• a prestação de serviços de telecomunicações;
• a reorientação de mensagens de correio eletrónico;
• as atividades de promoção comercial baseadas em dados;
• a definição de perfis e pontuação para fins de avaliação dos riscos;
• a localização;
• os programas de fidelização;
• a publicidade comportamental;
• o controlo de dados relativos ao bem-estar, à condição física e à saúde através de dispositivos usáveis;
• a televisão em circuito fechado;
• os dispositivos ligados por contadores inteligentes, automóveis inteligentes, domótica, etc.

Sim, pode ser designado um único EPD para várias autoridades ou organismos públicos, tendo em conta a respetiva estrutura organizacional e dimensão. Uma vez que o EPD tem a seu cargo um conjunto de funções, o RT/S deve assegurar que um único EPD, com a ajuda de uma equipa, se necessário, possa cumprir as suas funções de forma eficiente, apesar de ter sido nomeado para várias autoridades e organismos públicos (art.º 37.º, n.os 2 e 3).

O EPD deve estar “facilmente acessível a partir de cada estabelecimento”, i.e., as comunicações devem ser efetuadas na língua ou nas línguas utilizadas pelas autoridades de controlo e pelos titulares de dados em causa.

A disponibilidade de um EPD (quer fisicamente nas mesmas instalações que os trabalhadores, quer através de uma linha direta ou de outros meios de comunicação seguros) é essencial para garantir que os titulares dos dados possam contactá-lo (art.º 37.º/6).

Sim, o EPD pode ser um elemento do pessoal da entidade RT/S, ou exercer as suas funções com base num contrato de prestação de serviços.

Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de interesses dos membros das equipas, o GT 29 recomenda que o contrato de prestação de serviços preveja uma clara repartição das tarefas no seio da equipa do EPD externo e a designação de uma única pessoa como contacto principal e pessoa “responsável” do cliente (art.º 37.º/6).

No sentido de assegurar que o EPD esteja acessível, o GT 29 recomenda que o EPD esteja localizado na UE, independentemente de o RT/S estar ou não estabelecido na UE.

O art.º 37.º/5, dispõe que o EPD “é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no art.º 39.º”. O considerando 97 prevê que o nível necessário de conhecimentos especializados deverá ser determinado em função das operações de tratamento de dados realizadas e da proteção exigida para os dados pessoais objeto de tratamento.

O nível necessário de competências não é definido de forma rigorosa, mas deve coadunar-se com a sensibilidade, a complexidade e a quantidade de dados tratados por uma organização. Por exemplo, se a atividade de tratamento de dados for particularmente complexa, ou se estiver em causa uma grande quantidade de dados sensíveis, o EPD poderá́ necessitar de um nível de competências e de apoio mais elevado. Outra variação depende do facto de a organização transferir sistematicamente os dados pessoais para fora da UE ou de estas transferências serem ocasionais. Neste sentido, o EPD deve ser escolhido de forma criteriosa, tendo devidamente em conta as questões de proteção de dados suscitadas no âmbito da organização.

Embora o art.º 37.º/5, não explicite quais as qualidades profissionais que devem ser consideradas aquando da nomeação do EPD, como atributos pertinentes, os EPD devem ter competências no domínio da legislação nacional e comunitária em matéria de proteção de dados e um conhecimento profundo do RGPD. É igualmente conveniente que as autoridades de controlo promovam formações adequadas e regulares destinadas aos EPD. O EPD deve ter bons conhecimentos do setor empresarial e da organização do responsável pelo tratamento e também das operações de tratamento efetuadas, bem como dos sistemas de informação, da segurança dos dados e das necessidades de proteção de dados do responsável pelo tratamento.

No caso das autoridades ou organismos públicos, o EPD deve igualmente ter um conhecimento sólido das regras e dos procedimentos administrativos da organização.

A capacidade para desempenhar as funções atribuídas ao EPD deve ser interpretada como um atributo respeitante não só́ às suas qualidades e conhecimentos pessoais, mas também à sua posição no seio da organização. As qualidades pessoais devem incluir, por exemplo, a integridade e um elevado nível de ética profissional; a principal preocupação do EPD deve consistir em permitir o cumprimento do RGPD. O EPD desempenha um papel determinante na promoção de uma cultura de proteção de dados no seio da organização e contribui para dar cumprimento aos elementos essenciais do RGPD, tais como os princípios do tratamento de dados (Capítulo II), os direitos dos titulares de dados (Capítulo III), a proteção de dados desde a conceção e por defeito (art.º 25.º), os registos das atividades de tratamento (art.º 30.º), a segurança do tratamento (art.º 32.º) e a notificação e comunicação de violações de dados (art.os 33.º e 34.º).

As funções do EPD podem igualmente ser exercidas com base num contrato de prestação de serviços celebrado com uma pessoa ou uma organização fora do âmbito da organização do RT/S. Neste último caso, é essencial que cada membro da organização que exerça as funções de EPD cumpra todos os requisitos aplicáveis da Secção 4 do RGPD (p. ex., é essencial que nenhum interveniente tenha um conflito de interesses). É igualmente importante que cada um destes membros esteja protegido pelas disposições do RGPD (p. ex., garantindo a impossibilidade de rescisão abusiva do contrato de prestação de serviços para atividades enquanto EPD, ou de destituição abusiva de qualquer membro da organização que executa as tarefas de EPD). Simultaneamente, as competências e os pontos fortes individuais podem ser combinados de modo que várias pessoas, trabalhando em equipa, possam servir os seus clientes de forma mais eficiente.

Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de interesses dos membros das equipas, recomenda-se uma clara repartição das tarefas no seio da equipa do EPD e a designação de uma única pessoa como contacto principal e pessoa «responsável» para cada cliente.

Em suma, as competências e conhecimentos especializados pertinentes do EPD, devem incluir:

• Competências no domínio das normas e práticas de proteção de dados nacionais e europeias, incluindo um conhecimento profundo do RGPD;
• Conhecimento das operações de tratamento efetuadas;
• Conhecimento das tecnologias da informação e da segurança dos dados
• Conhecimento do setor empresarial e da organização;
• Capacidade para promover uma cultura de proteção de dados no seio da organização (art.º 37.º/5).

O EPD “é designado com base nos requisitos previstos no art.º 37.º/5 do RGPD, não carecendo de certificação profissional para o efeito” (art.º 9.º/1 da Lei 58).

O EPD não é pessoalmente responsável pelo incumprimento dos requisitos de proteção de dados. Compete ao RT/S assegurar e comprovar que o tratamento respeita o Regulamento aplicável. O cumprimento das normas de proteção de dados é da competência do RT/S.

O art.º 37.º/7 não exige que os contactos publicados incluam o nome do EPD. Ainda que a publicação desta informação possa constituir uma boa prática^[1], cabe ao RT/S e ao EPD decidirem se tal é necessário ou útil nas circunstâncias concretas. No entanto, a comunicação do nome do EPD à autoridade de controlo é essencial para que o EPD possa funcionar como ponto de contacto entre a organização e a autoridade de controlo (al. e) do art.º 39.º/1).

Os contactos do EPD devem incluir informações que permitam aos titulares dos dados e às autoridades de controlo contactar facilmente o EPD (endereço postal, número de telefone e/ou endereço de correio eletrónico). Se necessário, para efeitos de comunicação com o público, podem igualmente ser disponibilizados outros meios de comunicação, por exemplo uma linha direta específica, ou um formulário específico de contacto do EPD, disponível no sítio Web da organização.

[1] A título de boa prática, o GT 29 recomenda que a organização informe os seus trabalhadores do nome e contactos do EPD, por exemplo, através da intranet da organização, nas listas telefónicas internas e em organogramas.

Sim, os dados do EPD têm de ser comunicados à CNPD, em formulário próprio.

O EPD está vinculado à obrigação de sigilo/confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros (art.º 38.º/5). Esta confidencialidade é igualmente importante para que os trabalhadores possam apresentar queixas ao EPD (o art.º 10.º/1 da Lei 58 reforça essa obrigação de confidencialidade).

Nos termos do art.º 38.º, o RT/S deve assegurar que o EPD seja “envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais”.

O RT/S deve assegurar que o EPD é informado e consultado durante a fase inicial, para facilitar o cumprimento do RGPD e promover uma abordagem de proteção da privacidade desde a conceção, devendo este ser o procedimento normal da governação da organização. Além disso, é importante que o EPD seja encarado como interlocutor no seio da organização e que faça parte dos grupos de trabalho incumbidos de gerir as atividades de tratamento de dados nessa organização.

Por conseguinte, a organização deve assegurar, por exemplo, que:

• O EPD é convidado a participar regularmente nas reuniões dos quadros de gestão médios e superiores;
• A sua presença é recomendada sempre que sejam adotadas decisões com implicações na proteção de dados;
• Todas as informações pertinentes sejam transmitidas oportunamente ao EPD, para que este possa prestar um aconselhamento adequado;
• O parecer do EPD é sempre devidamente ponderado. Em caso de desacordo, o GT 29 recomenda, como boa prática, que sejam enunciados os motivos para não seguir o parecer do EPD;
• O EPD é imediatamente consultado após a ocorrência de uma violação de dados ou outro incidente;
• Se for caso disso, o RT/S pode elaborar orientações ou programas em matéria de proteção de dados que definam em que momento o EPD deve ser consultado.

O art.º 38.º/2 exige que a organização apoie o seu EPD, “fornecendo-lhe os recursos necessários ao desempenho das suas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento”. Em função da natureza das operações de tratamento e das atividades e dimensão da organização, devem ser concedidos os seguintes recursos ao EPD:

• Apoio ativo às suas funções por parte dos quadros de gestão superiores;
• Tempo suficiente para que este possa desempenhar as suas tarefas;
• Apoio adequado em termos de recursos humanos, financeiros, infraestruturas (locais, instalações, equipamento), sempre que necessário;
• Comunicação oficial da sua nomeação a todo o pessoal, a fim de divulgar a sua existência e missão dentro da organização;
• Acesso a outros serviços no seio da organização, para que este possa receber apoio, contributos ou informações essenciais por parte destes outros serviços;
• Formação contínua que lhe possibilite manter-se atualizado no que diz respeito aos desenvolvimentos no domínio da proteção de dados. O objetivo deve ser uma melhoria permanente do nível das suas competências, incentivando-o a participar em cursos de formação sobre proteção de dados e noutras iniciativas de desenvolvimento profissional, tais como conferências sobre privacidade, seminários, etc.;
• Uma equipa do EPD, consoante a dimensão e a estrutura da organização. Nestes casos, a estrutura interna da equipa e as funções e responsabilidades de cada um dos seus membros devem estar claramente definidas. De igual modo, se a função do EPD for exercida por um prestador de serviços externo, um conjunto de pessoas que trabalham para essa entidade poderá́ exercer de modo eficaz as funções de EPD enquanto equipa, sob a responsabilidade de um contacto principal designado para o cliente.

De modo geral, quanto mais complexas e/ou sensíveis forem as operações de tratamento, mais recursos devem ser concedidos ao EPD. A missão de proteção de dados deve ser eficaz e dotada de recursos suficientes para o tratamento de dados efetuado.

O EPD tem pelo menos as seguintes funções (art.º 39.º/1):

• Informa e aconselha o RT/S, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
• “Controla a conformidade” com o presente regulamento, com outras disposições de proteção de dados da UE ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
• Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do art.º 35.º;
• Coopera com a autoridade de controlo;
• Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o art.º 36.º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.

E ainda (art.º 11.º da Lei 58):

• Assegura a realização de auditorias, quer periódicas, quer não programadas;
• Sensibiliza os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;
• Assegura as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

A al. b) do art.º 39.º/1, incumbe o EPD, entre outras funções, de controlar a conformidade com o RGPD. O considerando 97 especifica, por outro lado, que o EPD deve assistir "o responsável pelo tratamento [...] ou o subcontratante [...] no controlo do cumprimento do presente regulamento a nível interno".

No âmbito destas atribuições de controlo da conformidade, os EPD podem, nomeadamente:

• Recolher informações para identificar as atividades de tratamento;
• Analisar e verificar a conformidade das atividades de tratamento;
• Prestar informações e aconselhamento e formular recomendações ao RT/S.

O controlo da conformidade não significa que a responsabilidade pessoal do EPD seja imputada em caso de incumprimento. O RGPD esclarece que compete ao responsável pelo tratamento, e não ao EPD, aplicar “as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento” (art.º 24.º/1). O cumprimento das regras de proteção de dados é uma competência empresarial do responsável pelo tratamento de dados, e não do EPD.

Nos termos do art.º 35.º/1, cabe ao responsável pelo tratamento, e não ao EPD, proceder, quando necessário, a uma avaliação de impacto sobre a proteção de dados (AIPD). Todavia, o EPD pode desempenhar um papel importante e útil, prestando assistência ao responsável pelo tratamento. Aplicando o princípio da proteção de dados desde a conceção, o art.º 35/2, dispõe expressamente que, ao efetuar uma AIPD, o responsável pelo tratamento deve “solicitar o parecer” do EPD. Por sua vez, a al. c) do art.º 39.º/1, determina que o EPD deve “prestar aconselhamento, quando tal lhe for solicitado, no que respeita à AIPD, e controlar a sua realização nos termos do art.º 35.º”.

O GT 29 recomenda que o responsável pelo tratamento solicite o parecer do EPD sobre as seguintes questões, entre outras^[1]:

• Se deve ou não efetuar uma AIPD;
• Qual a metodologia a seguir na realização de uma AIPD;
• Se deve realizar a AIPD internamente ou externalizá-la;
• Quais as salvaguardas (incluindo medidas técnicas e organizativas) a aplicar no sentido de atenuar os eventuais riscos para os direitos e interesses dos titulares de dados;
• Se a avaliação de impacto sobre a proteção de dados foi ou não corretamente efetuada e se as suas conclusões (se o tratamento deve ou não ser realizado e quais as salvaguardas a aplicar) estão em conformidade com o RGPD.
• Se o responsável pelo tratamento discordar do parecer emitido pelo EPD, a documentação da AIPD deve justificar especificamente, por escrito, os motivos pelos quais o parecer não foi tido em conta^[2].

O GT 29 recomenda, além disso, que o responsável pelo tratamento indique claramente, por exemplo, no contrato com o EPD, bem como nas informações prestadas aos trabalhadores e aos quadros de gestão (e a outras partes interessadas, se for caso disso), as tarefas específicas do EPD e o respetivo âmbito de aplicação, nomeadamente no que diz respeito à realização da AIPD.

[1] O art.º 39.º/1, menciona as funções do EPD e indica que o EPD tem, «pelo menos», as seguintes funções. Por conseguinte, nada impede que o responsável pelo tratamento atribua ao EPD outras funções, além das explicitamente referidas no artigo 39.º/1, ou que especifique as tarefas de forma mais pormenorizada.

[2] O artigo 24.º/1, dispõe o seguinte: «Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades».

O art.º 39.º/2, exige que o EPD tenha “em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento”.

Este artigo alude a um princípio geral e assente no bom senso, que pode revelar-se pertinente em muitos aspetos do trabalho diário do EPD. Essencialmente, exige que os EPD estabeleçam prioridades nas suas atividades e centrem os seus esforços nas questões que apresentam maiores riscos em matéria de proteção de dados. Tal não implica que os EPD devam negligenciar o controlo da conformidade das operações de tratamento de dados que, em termos comparativos, acarretam um nível de risco mais reduzido, indiciando antes que devem centrar-se fundamentalmente nos domínios de maior risco.

Esta abordagem seletiva e pragmática deve apoiar os EPD na sua missão de prestar aconselhamento ao responsável pelo tratamento sobre:

• a metodologia a seguir na realização de uma AIPD;
• os domínios que devem ser objeto de auditorias internas ou externas sobre a proteção de dados;
• as ações de formação internas a disponibilizar ao pessoal ou aos quadros de gestão responsáveis pelas atividades de tratamento de dados;
• as operações de tratamento às quais o responsável pelo tratamento deve consagrar uma parte mais significativa do seu tempo e recursos.

Nos termos do art.º 30.º, n.^os 1 e 2, é o RT/S, e não o EPD, que “conserva um registo de todas as atividades de tratamento sob a sua responsabilidade” ou “conserva um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento”. Este instrumento permite ao responsável pelo tratamento e à autoridade de controlo, a pedido destes, obter uma perspetiva geral de todas as atividades de tratamento de dados pessoais levadas a cabo por uma organização. Trata-se, portanto, de um requisito prévio da conformidade e, como tal, constitui uma medida de responsabilização eficaz.

O art.º 39.º/1, prevê uma lista das funções mínimas que devem incumbir ao EPD. Por conseguinte, nada impede que o RT/S atribua ao EPD a função de conservar o registo das atividades de tratamento sob a responsabilidade do RT/S. Esses registos devem ser considerados um dos instrumentos que permitem ao EPD desempenhar as suas funções de controlo da conformidade e de prestação de informações e aconselhamento ao RT/S (art.º 39.º/1, al. c), e art.º 30.º).

Na prática e por norma, os EPD criam inventários e mantêm um registo das operações de tratamento baseado nas informações que recebem dos vários departamentos da sua organização que tratam dados pessoais. Esta prática foi estabelecida ao abrigo de muitas disposições legislativas nacionais em vigor e em conformidade com as normas de proteção de dados aplicáveis às instituições e aos órgãos da UE^[1].

[1] Art.º 24.º/1, al. d), do Regulamento (CE) n.º 45/2001.

O art.º 38.º/6, permite que o EPD possa “exercer outras funções e atribuições”. Porém, exige que a organização assegure que “essas funções e atribuições não resultam num conflito de interesses”.

A ausência de conflitos de interesses está intimamente ligada ao requisito de independência dos EPD. Embora os EPD estejam autorizados a desempenhar outras tarefas, só podem ser incumbidos de outras funções e atribuições se estas não derem origem a conflitos de interesses. Deste modo, o EPD não pode exercer um cargo dentro da organização que o leve a determinar as finalidades e os meios do tratamento de dados pessoais. Devido à estrutura organizacional específica de cada organização, este aspeto deve ser apreciado caso a caso.

Regra geral, os cargos suscetíveis de gerarem conflitos no seio da organização podem incluir os cargos de direção superiores, mas também outras funções em níveis inferiores da estrutura organizacional, se esses cargos ou funções levarem à determinação das finalidades e dos meios de tratamento. Além disso, pode igualmente surgir um conflito de interesses se, por exemplo, um EPD externo for chamado a representar o RT/S perante os tribunais no âmbito de processos respeitantes a questões de proteção de dados art.º 38.º, n.os 3 e 6).

Consoante as atividades, a dimensão e a estrutura da organização, é aconselhável, como boa prática, que o RT/S:

• Identifique os cargos que se afigurariam incompatíveis com as funções de EPD;
• Aprove normas internas para o efeito, com o intuito de evitar conflitos de interesses;
• Inclua uma explicação mais geral sobre os conflitos de interesses;
• Declare que os respetivos EPD não têm conflitos de interesses no que se refere às suas funções enquanto EPD, como forma de divulgação deste requisito;
• Inclua salvaguardas no regulamento interno da organização e assegurem que o anúncio de vaga para o lugar de EPD ou o contrato de prestação de serviços seja suficientemente preciso e pormenorizado, com vista a evitar conflitos de interesses.

Neste contexto, importa igualmente ter em conta que os conflitos de interesses podem assumir formas diferentes em função do vínculo laboral do EPD, enquanto colaborador interno ou externo.

Existem várias salvaguardas para permitir ao EPD atuar de forma independente, nomeadamente:

• O RT/S não dá instruções relativas ao exercício das funções do EPD;
• O RT/S não pode destituir nem penalizar o EPD pelo exercício das suas funções;
• Não existe conflito de interesses com outras possíveis funções e atribuições.

Nos termos do art.º 39.º/ 1, alíneas d) e e), o EPD “coopera com a autoridade de controlo” e serve de “ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o art.º 36.º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto”.

Estas funções enquadram-se no papel ponto de contacto no sentido de facilitar (“facilitador”) o acesso da autoridade de controlo aos documentos e informações necessários para o desempenho das funções elencadas no art.º 57.º, bem como para o exercício dos seus poderes de investigação, de correção, consultivos e de autorização, tal como referidos no art.º 58.º. A obrigação de sigilo/confidencialidade não proíbe o EPD de contactar, consultar e solicitar o parecer da autoridade de controlo, conforme previsto na al. e) do art.º 39.º/1.

Em conformidade com o art.º 38.º/3, o EPD não pode ser destituído nem penalizado (sequer ameaçado) pelo RT/S pelo facto de exercer as suas funções. Este requisito beneficia o EPD de proteção suficiente no desempenho das suas funções, reforça a sua autonomia e ajuda-o a garantir uma atuação independente. Quanto mais garantias existirem contra a destituição abusiva, maior será a probabilidade de o EPD poder atuar de forma independente.

Para efeitos de cumprimento de obrigação legal:

Tratamento de dados pessoais no âmbito de uma obrigação legal, como por exemplo na qualidade de organismo pagador.

Para exercício de funções de interesse público:

Tratamento de dados pessoais necessário ao exercício de funções de interesse público de que está investida a UC.

Para execução de contrato:

Tratamento de dados necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados.

Com o consentimento dos titulares:

Tratamento de dados pessoais que depende do consentimento do respetivo titular. Neste caso, o titular tem o direito de retirar a qualquer momento o consentimento prestado, sem comprometer a licitude do tratamento que tenha sido efetuado com base nesse consentimento. O consentimento pode ser retirado utilizando os seguintes meios e contactos:

• Endereço de Correio eletrónico: epd[at]uc.pt
• Comunicação escrita dirigida ao responsável pelo tratamento.

O período de tempo durante o qual os dados pessoais são armazenados e conservados varia de acordo com a finalidade para a qual a informação é tratada.

Sempre que não exista uma exigência legal específica, os dados serão armazenados e conservados apenas pelo período mínimo necessário para a prossecução das finalidades que motivaram a sua recolha ou o seu posterior tratamento, nos termos definidos na lei.

A maioria desses dados são necessários para responder a inquéritos oficiais como o RAIDES. De forma a cumprir este desiderato, a UC mantém esta informação durante todo o tempo de permanência do aluno na Universidade e por mais dois anos, após a sua última inscrição.

Os candidatos que não se transformam em alunos, seja porque não foram aceites, seja porque desistem antes de iniciar, seja porque o procedimento se esgota no final da candidatura, têm os seus dados pessoais eliminados no final do período necessário para garantir os prazos de reclamação, com exceção dos dados de faturação, caso tenha existido pagamentos, que são eliminados findo o prazo legal.

Os dados pessoais dos trabalhadores recolhidos pelas unidades orgânicas e serviços da UC, são obrigatórios no âmbito do emprego na função pública.

O RGPD tem medidas muito claras relativamente a estes casos. Existem prazos para comunicar ao Encarregado da Proteção de Dados, que por sua vez, terá que informar a Comissão Nacional de Proteção de Dados num máximo de 72h, após a tomada de conhecimento de que os dados foram comprometidos. Se a violação do RGPD puder afetar significativamente o titular dos dados, poderá ser necessário informá-lo(s).

O RGPD não faz distinção pelo suporte (papel ou digital). Em todos os casos é necessário assegurar a efetiva destruição dos dados. Se os dados estiverem em papel, deve ser usada uma destruidora de papel. CDs/DVDs devem também ser efetivamente destruídos. Num computador depois de apagados, é importante assegurar que os ficheiros são igualmente destruídos do "Recycle Bin".

Com o RGPD, já não é necessário pedir autorização à CNPD para ter um sistema de videovigilância. Assim, já não é preciso preencher qualquer formulário ou pagar taxa, nem prestar qualquer informação desta natureza à CNPD.

No entanto, para poder instalar um sistema de videovigilância tem de se atender a vários requisitos legais, que incluem, além do RGPD, a Lei n.º 34/2013 de 16 de maio, que regula a atividade de segurança privada, as disposições do Código do Trabalho, o disposto no art.º 19.º da Lei n.º 58/2019, de 8 de agosto, e outra legislação aplicável a cada situação em concreto.

Sim, em tudo o que não contrariem o disposto no RGPD e/ou na Lei n.º 58/2019 (art.º 19.º). Os responsáveis pelo tratamento devem cumprir as condições estabelecidas nas autorizações para o tratamento de dados pessoais através de videovigilância.

Não é necessário realizar qualquer notificação ou comunicação à CNPD, devendo as imagens captadas respeitar o disposto no art.º 19º da Lei 58/2019. No entanto, qualquer colocação de câmaras em locais não abrangidos pela autorização, originará a caducidade desta.

De acordo com o RGPD, compete ao responsável pelo tratamento analisar previamente se o tratamento de dados pessoais, decorrente da utilização de um sistema de videovigilância, cumpre os requisitos do RGPD e demais legislação aplicável.

A instalação de videovigilância tem por objetivo a proteção de pessoas e bens, seja pelo seu potencial efeito dissuasor, seja para permitir a identificação do perpetrador em processo criminal. Por isso, a colocação das câmaras deve ter em conta a estrita necessidade de manter um perímetro de segurança e de controlar os acessos a partir do exterior, de modo adequado às circunstâncias do local e proporcionado para não restringir excessivamente os direitos dos cidadãos.

Assim, as câmaras não deverão abranger, designadamente, áreas de espera em consultório médico, zonas de descanso ou lazer, o interior dos elevadores, salas de aula, salas de refeições, esplanadas, vestiários, interior e acessos a casas de banho, interior de ginásios.

Na colocação das câmaras, deve ser tido especial cuidado para que estas não permitam captar imagens da digitação de códigos de segurança em terminais de pagamento.

As câmaras não podem incidir sobre a via pública ou a propriedade de terceiros.

Nos termos da redação do n.º 3 do art.º 19.º da Lei 58/2019, “nos estabelecimentos de ensino, as câmaras de videovigilância só podem incidir sobre os perímetros externos e locais de acesso, e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção, como laboratórios ou salas de informática.”

No contexto laboral, mantêm-se vigentes as condições impostas pelo Código do Trabalho para a vigilância à distância, à exceção da necessidade de solicitar autorização da CNPD, que é incompatível com o RGPD.

Assim, a videovigilância não pode ser usada para controlo do desempenho dos trabalhadores, não devendo, por isso, incidir regularmente sobre estes, o que exclui a abrangência das áreas de laboração, seja em linha de produção, armazém ou trabalho administrativo em escritório.

Os trabalhadores têm de ser informados sobre a existência do sistema de videovigilância, bem como de todas as questões relevantes quanto ao seu funcionamento.

Em conformidade com a Lei n.º 34/2013, de 16 de maio, deve conservar as imagens pelo período de 30 dias. Isto sem prejuízo de ser necessário manter as imagens por mais tempo, no âmbito de processo criminal em curso.

Nos casos em que é admitida a videovigilância, é proibida a captação de som, exceto no período em que as instalações estejam encerradas, isto é, sem pessoas a trabalhar nas zonas vigiadas, ou mediante autorização prévia da CNPD (art.º 19.º, n.º 4, da Lei n.º 58/2019).

Sim. Os titulares dos dados têm o direito a ser informados sobre a utilização de sistemas de videovigilância. O aviso informativo deve respeitar o previsto no art.º 31.º, n.º 5, da Lei n.º 34/2013, de 16 de maio, devendo mencionar "Para sua proteção, este local é objeto de videovigilância".

Veja a proposta do EPD-UC de sinalética nos edifícios da UC com sistemas de videovigilância aqui.

O sinal aviso tem apenas de estar visível no local onde estão instaladas as câmaras.

O sinal aviso tem apenas de estar visível junto dos acessos.

Sim, desde que seja para o estrito cumprimento das suas funções profissionais (e.g. elaboração de uma pauta) e que não seja possível, ou viável, a utilização dos equipamentos da UC para tal.

Os dados pessoais, por exemplo de alunos ou funcionários, devem permanecer nos computadores pessoais o tempo indispensável à realização da tarefa legítima, após o qual devem ser apagados.

Durante o tempo em que permanecem no computador pessoal, o trabalhador deve assegurar-se que o seu computador cumpre todas as regras básicas de segurança, nomeadamente o disposto no Regulamento de Utilização de Recursos de TIC da UC.

Opcionalmente, o utilizador poderá cifrar os ficheiros com dados pessoais, com a ajuda de programas como o WinRAR e o 7-Zip, que sendo de utilização livre, permitem comprimir e cifrar um conjunto de ficheiros com uma password.

Sem prejuízo de outras, devem ser asseguradas as boas práticas previstas no Regulamento de Utilização de TIC da UC, nomeadamente as estabelecidas no seu artigo 8.º .

A instituição não deve, por regra, fundamentar o tratamento de categorias especiais de dados no consentimento, considerando que na “evidente situação de vulnerabilidade das pessoas que se encontram contaminadas pelo vírus, bem como a sua situação de dependência da intervenção das autoridades públicas“^[1]não se vê, nestas condições, que a emissão de um consentimento seja uma “manifestação de vontade, livre, específica, informada e inequívoca”.^[2]

[1] Orientações da CNPD/2020 de 22 de abril - Divulgação de informação relativa a infetados por Covid-19.

[2] RGPD - al. 11) do art.º 4.º.

A UC pode fazer tratamento de categorias especiais de dados, quando necessário para cumprir obrigações legais a que está sujeita. Pode, ainda, fazer este tratamento por razões de interesse público, como no controlo de doenças infeto-contagiosas.

A UC pode fazer o tratamento de dados de saúde conforme preconizado na questão anterior, mas não pode publicar estes dados com a identificação dos trabalhadores, nem de forma a que possam indiretamente ser identificados. Este tipo de tratamento depende de norma legal habilitante que o preveja e, simultaneamente, acautele os direitos e interesses dos trabalhadores.

A UC não pode fazer essa publicação, uma vez que o isolamento profilático é um instrumento usado pela Autoridade de Saúde, que impõe o isolamento das pessoas infetadas para que, preventivamente, se contenha a propagação do vírus. O Certificado de Isolamento Profilático impõe legalmente a presença em isolamento e, como serve de justificativo para as faltas ao trabalho, o seu tratamento deve obedecer a um ainda maior nível de segurança e de confidencialidade.

A UC pode publicar dados de saúde anonimizados, desde que a sua dimensão não possa ser associada a outro indicador e, nesse processo, se permita identificar os trabalhadores.

A UC não pode disponibilizar os dados, uma vez que não está legitimada para alterar as finalidades de um tratamento. Estes dados foram recolhidos com finalidades específicas e ao abrigo dos requisitos legais anteriormente referidos, pelo que o pedido deve ser endereçado à DGS.

A UC, através dos SSGST-UC^[1], com informação prévia ao trabalhador, só pode exigir o previsto na norma em vigor, devendo nesses casos ter sempre presente o princípio da proporcionalidade e da minimização de dados.

[1] Só através de uma análise sustentada e valoração do risco na área da saúde e segurança dos trabalhadores, pode, a instituição, tomar a decisão de obter a informação necessária com vista à adoção do tipo de medidas preventivas.

A UC pode realizar ou diligenciar a realização de exames médicos, através do SSGST-UC, naquilo que a legislação, em matéria de emprego ou de saúde e segurança, determinar.

A UC pode exigir que os seus trabalhadores realizem testes diagnósticos de COVID-19, desde que essa exigência advenha do cumprimento de uma base legal, à luz das normas/orientações da DGS, e sustentada numa articulação entre os serviços de saúde ocupacional da UC e a autoridade de saúde competente. A mesma deve estar sustentada pela ponderação da sua adequação, proporcionalidade e necessidade de tratamento de dados pessoais e sempre que comprovadamente não possa conter a sua propagação com a aplicação de outros(s) método(s), menos intrusivos. Nestes casos a UC deve suportar os respetivos encargos. Não obstante, a pedido do trabalhador, a UC deverá permitir a realização dos mesmos testes noutros laboratórios certificados, podendo, nestes casos, imputar os custos ao próprio trabalhador.

A UC deve acompanhar a orientação da CNPD, de 23 de abril, ou seja, abster-se de “adotar iniciativas que impliquem a recolha de dados pessoais de saúde dos seus trabalhadores quando as mesmas não tenham base legal, nem tenham sido ordenadas pelas autoridades administrativas competentes”. Porém, mantém-se a possibilidade de a UC, no âmbito da medicina do trabalho, poder “avaliar o estado de saúde dos trabalhadores e obter as informações que se revelem necessárias para avaliar a aptidão para o trabalho, nos termos gerais definidos na lei da segurança e saúde no trabalho”.^[1]

[1] In Orientações da CNPD/2020, de 23 de abril.

A UC só deverá substituir o trabalhador nas suas responsabilidades, caso este não as cumpra e por indicação fundamentada do SSGST-UC. A DGS, no ponto “Procedimentos num caso suspeito”, constante da Orientação n.º 6/2020, recomenda que “O Trabalhador doente (caso suspeito de COVID-19) já na área de “isolamento”, contacte o SNS 24 (808 24 24 24)”.

A UC, através do SSGST-UC, deve “colaborar com as Autoridades de Saúde, na identificação, listagem e acompanhamento dos contactos próximos, e demais ações requeridas pelas Autoridades”^[1].

[1] In Orientação Técnica n.º 14/2020 do PNSO/DGS, de 19 de março.

A DGS (Orientação n.º 6/2020) recomenda que perante um caso suspeito validado (ainda que a aguardar resultados de testes laboratoriais), a instituição informe os restantes trabalhadores da existência de tal caso. Considera-se que essa informação, não deve incluir o nome do trabalhador. Nestas circunstâncias, a UC, para além de ter de informar os trabalhadores sobre casos suspeitos de COVID-19, de ter de tomar medidas de proteção constantes no Plano de Contingência e nas recomendações das autoridades de saúde pública, deve abster-se de revelar a identidade de qualquer trabalhador (potencialmente) infetado, salvo nos casos em que, sustentados pelo SSGST-UC, se justifique esta ação imperiosa. Nestes casos, “os trabalhadores em causa devem ser antecipadamente informados e a sua dignidade e integridade protegidas” ^[1] de modo a que seja respeitado o preconizado na Lei n.º 58/2019 ^[2].

[1] In Orientações do Comité Europeu para a Proteção de Dados, de 19 de março de 2020.

[2] Nº 6 do art.º 29.º “O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação.”

A UC não pode imiscuir-se na intimidade da vida privada do trabalhador. Porém, atendendo ao atual contexto pandémico, sobreleva o dever de o empregador assegurar as condições de segurança e saúde no local de trabalho, pelo que, em situações específicas, através do SSGST-UC, estes dados podem eventualmente vir a ser objeto de tratamento em articulação com as autoridades de saúde, num processo de comunicação bidirecional.

A UC não pode imiscuir-se na intimidade da vida privada do trabalhador. Porém, para garantir a salvaguarda física dos seus trabalhadores e minimizar a possibilidade de disseminação da doença, através do SSGST-UC, poderá recolher dados pessoais em estrito cumprimento do plano de contingência adotado. Neste caso, o questionário deverá limitar-se às questões essenciais de despiste da propagação do vírus, conforme os interesses legítimos prosseguidos pela instituição e necessários por motivos de interesse público no domínio da saúde pública, bem como em cumprimento com as recomendações das autoridades competentes. A informação recolhida é confidencial e fica à responsabilidade do serviço de saúde ocupacional.

A UC deve limitar-se a cumprir o que está definido no seu Plano de Contingência, deve respeitar o princípio da minimização dos dados e não deve substituir-se às autoridades competentes.

A DGS, no ponto 6 (“Procedimentos num caso suspeito”) da Orientação n.º 6/2020, recomenda: “O empregador colabora com a Autoridade de Saúde Local na identificação dos contactos próximos do doente (Caso suspeito validado)” após verificação de caso suspeito validado pelo competente serviço de saúde. No entanto, apesar da desejável cooperação, também aqui a instituição deve provar através do SSGST-UC, a necessidade, adequação e proporcionalidade do tratamento dos dados de saúde. A informação pertinente em termos de prevenção da doença deve ser partilhada com a autoridade de saúde competente.

O trabalhador está obrigado pelo RJPSST a cumprir com as prescrições de segurança e de saúde no trabalho e deve assumir essa responsabilidade para com os seus colegas de trabalho. É, através do cumprimento desta obrigação, que a UC pode assegurar as condições de segurança e saúde, de forma continuada e permanente (princípio da prevenção contante no art.º 15.º do RJPSST). Neste report, o trabalhador está obrigado a cumprir o preconizado no art.º 106.º do CT, i.e., “O trabalhador deve informar o empregador sobre aspectos relevantes para a prestação da actividade laboral.” Sem divulgar aspetos da sua esfera pessoal, o trabalhador tem a obrigação de comunicar ao serviço de saúde ocupacional eventuais sintomas compatíveis com a definição de caso COVID-19.

No seguimento da resposta à questão anterior, sem prejuízo da aplicação do disposto na LFTP (art.º 128.º) em matéria de doença no período de férias, considerando o risco inerente ao regresso ao trabalho, que pode ocorrer dentro do prazo de quarentena da doença, determinado pelas autoridades de saúde, mesmo que o trabalhador não pretenda ver suspensas as suas férias tem o dever de comunicar à entidade empregadora, através do Serviço de saúde ocupacional, a situação de doença ocorrida em período de férias. Caso já se encontre recuperado, não tem o dever de informar, uma vez que já não apresenta risco para a Saúde Pública. No entanto, se depois de recuperado for ainda contacto de conviventes positivos, deve informar o SSGST-UC.

Para além do dever moral associado à apropriação de valores humanos e às relações de convivência, no âmbito dos deveres gerais de lealdade e de cooperação em matéria de segurança e saúde no trabalho, o trabalhador deve informar a UC, caso represente um perigo para os colegas de trabalho. Mais, de acordo com o n.º 7 do art.º 281.º do CT, “Os trabalhadores devem cumprir as prescrições de segurança e saúde no trabalho estabelecidas na lei ou em instrumentos de regulamentação colectiva de trabalho, ou determinadas pelo empregador.” A este propósito, assinala-se: “Aquele que, com dolo ou mera culpa, violar ilicitamente o direito de outrem ou qualquer disposição legal destinada a proteger interesses alheios fica obrigado a indemnizar o lesado pelos danos resultantes da violação.” (n.º 1 do art.º 483.º).

Sim, mas apenas nos locais indicados para o efeito e com as restrições adequadas. As classificações dos alunos são dados pessoais e por isso não são públicos. No entanto, a bem da transparência, as avaliações podem e devem ser conhecidas pelos colegas de avaliação.

Sim, a informação relativa ao corpo docente, regime do vínculo e regime de prestação de serviços, no contexto das relações laborais e nos casos determinados na Lei pode ser publicada, porque cumpre finalidades legais e funções legítimas.

Porém, numa lógica de compatibilização da obrigatoriedade de divulgação com os direitos dos titulares dos dados, devem ser respeitados os princípios da proporcionalidade e da minimização dos dados pessoais.

Por motivos de segurança e minimização dos riscos de reprodução massiva de dados, a informação deve ser submetida a um processo de digitalização/imagem, com a marca da UC em fundo, ou outro processo similar que dificulte a sua leitura automatizada.

Em regra todas as trocas de dados pessoais dentro da Universidade de Coimbra são permitidas desde que sejam legítimas, i.e. tenham como objetivo o cumprimento da função da Universidade. De facto, no âmbito do RGPD, o envio de informação pessoal entre unidades orgânicas não é diferente da troca de dados pessoais entre funcionários dentro da mesma unidade orgânica. Em ambos os casos a troca de informação deverá ser legítima, controlada e transparente.

No entanto, como a troca de informação entre unidades orgânicas implica uma perda de controlo, em regra, todas as trocas de dados pessoais entre unidades orgânicas devem ser comunicadas ao EPD.

No âmbito das suas atribuições, a UC procede à comunicação dos dados pessoais a destinatários, os quais podem ser uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo.

São designadamente destinatários as seguintes entidades:

• Instituições da União Europeia;
• Serviços e organismos da Administração direta e indireta do Estado;
• Organismos de certificação, de inspeção e de auditoria nacionais ou europeus
• Autoridades de segurança e de investigação;
• Tribunais;
• Entidades administrativas independentes;
• Instituições de crédito;
• Seguradoras;
• Quaisquer interessados que se encontrem munidos de autorização escrita do titular dos dados, explícita e específica quanto à finalidade e tipo de dados, ou demonstrem possuir um interesse legítimo, pessoal e direto, constitucionalmente protegido e suficientemente relevante que justifique o acesso pretendido, nos termos da Lei n.º 26/2016, de 22 de agosto (Lei de Acesso aos Documentos Administrativos).

Os destinatários das comunicações de dados poderão ainda simultaneamente assumir a categoria de:

• Terceiros - pessoa singular ou coletiva, autoridade pública, serviço ou organismo que, não sendo o titular dos dados, nem o responsável pelo tratamento, nem o subcontratante, nem as pessoas que tratam dados pessoais sob a autoridade direta do responsável pelo tratamento ou do subcontratante, esteja autorizada a tratar dados pessoais mediante uma base legal específica para o efeito).
• Subcontratante - pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trata dados pessoais por conta do responsável pelo tratamento desses dados, para as finalidades e com os meios de tratamento por este definidos ou determinados pelo direito da União Europeia ou de um Estado-Membro.

Em regra, todas as trocas periódicas de dados pessoais com entidades terceiras à Universidade devem ser comunicadas ao Encarregado de Proteção de Dados da sua Instituição.

Uma entidade (singular ou coletiva) pode efetuar o tratamento de dados pessoais em nome de uma outra entidade, desde que exista um contrato ou outro ato jurídico. É importante que o subcontratante nomeado apresente garantias suficientes para a aplicação de medidas técnicas e organizativas destinadas a assegurar que o tratamento dos dados cumprirá as normas do Regulamento Geral de Proteção de Dados e proteja os direitos das pessoas.

O subcontratante nomeado não pode, posteriormente, nomear outro subcontratante sem a autorização prévia da entidade que o subcontratou, específica ou geral, por escrito. O contrato ou ato jurídico celebrado entre uma empresa/organização e o subcontratante deve incluir os seguintes elementos:

- o tratamento só pode ser efetuado com base em instruções documentadas do responsável pelo tratamento;

- o subcontratante garante que as pessoas autorizadas a efetuar o tratamento de dados pessoais assumiram um compromisso de confidencialidade ou se encontram sujeitas a uma obrigação legal de confidencialidade adequada;

- o subcontratante deve oferecer um nível mínimo de segurança definido pelo responsável pelo tratamento;

- o subcontratante deve ajudá-lo a garantir a conformidade com o RGPD.

É uma caixa de correio eletrónico associada a uma Conta de Serviço, que identifica serviços, projetos, eventos ou dispositivos da UC e que é atribuída a um Utilizador Responsável, com vista ao desenvolvimento das atividades específicas daqueles serviços, projetos, eventos ou dispositivos, podendo ser partilhada por vários Utilizadores.

É uma caixa de correio eletrónico associada a uma Conta de Utilizador individual criada pela UC para comunicar com as pessoas que dela fazem parte.

Não, os Utilizadores devem, no âmbito da sua relação com a UC, utilizar a conta de correio eletrónico por esta disponibilizada, abstendo-se do uso de contas externas.

Se esse correio apresentar elementos que possam identificar uma pessoa singular então representa um dado pessoal e deve ser protegido com os mecanismos adequados.

Sim, em regra o todo correio eletrónico é um dado pessoal, exceto aquelas que nomeiam cargos ou organizações.

Sim, podem ser utilizados os emails de funcionários e alunos nos termos do disposto no artigo 20.º do Regulamento de Utilização de Recursos de Tecnologias da Informação e da Comunicação, ou seja, para envio massivo de mensagens de teor institucional, relacionadas com a natureza e objeto da relação existente com a UC e outras, desde que a sua finalidade esteja alinhada com a missão e atribuições da UC e previamente autorizadas pelo órgão competente, e sejam destinadas a veicular informação de interesse para os destinatários,

Neste último caso, os titulares poderão, em qualquer momento, solicitar a não inclusão do seu endereço em lista de distribuição.

Pode, para assuntos que decorrem da atividade que desenvolve na UC, ou para outros assuntos, mas apenas se tiver o consentimento informado do titular da caixa de correio.

Os dados pessoais não devem ser mantidos em Cloud públicas, como a Dropbox, o Google Docs ou o Office365. Caso seja absolutamente necessário manter essa informação na Cloud pública então esta deve estar cifrada (e.g. WinRAR, 7-Zip).

As Cloud públicas não devem ser usadas para processar dados pessoais, pois pode não estar garantido o respeito pelo RGPD. Em vez disso, deve privilegiar o uso de sistemas de armazenamento e partilha de ficheiros disponibilizados pela UC, como sejam a licença Google Docs for Education, o a licença Microsoft Office365 que a grande maioria das escolas possuem no âmbito do Microsoft Campus Agreement. Tal implica a utilização das contas de utilizadores associadas à UC.

É um documento que descreve múltiplas operações de tratamento, avalia a necessidade do tratamento e auxilia a gestão dos riscos para determinar medidas necessárias para mitigar os riscos no tratamento dos dados pessoais.

Só quando o tratamento de dados é suscetível de implicar um elevado risco nas atividades de processamento de dados pessoais.

Sempre que não se conseguir encontrar medidas suficientes para reduzir os riscos elevados identificados para um nível aceitável, é obrigatório consultar a autoridade de controlo.

Sempre que o tratamento seja suscetível de resultar num elevado risco para os direitos e as liberdades das pessoas, nomeadamente quando (art.º 35/3 do RGPD):

a) Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;

b) Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.º, n.º 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.º; ou

c) Controlo sistemático de zonas acessíveis ao público em grande escala.

O responsável pelo tratamento com o encarregado da proteção de dados, e os subcontratantes.

• Avaliar a probabilidade/gravidade do risco.
• Garantir a realização da AIPD solicitando o parecer do encarregado da proteção de dados.

O subcontratante deve auxiliar o responsável pelo tratamento na realização da AIPD e fornecer todas as informações necessárias.

• Conservar um registo de todas as atividades de tratamento de dados sob a sua responsabilidade, onde constam, designadamente as finalidades do tratamento de dados, a descrição das categorias de titulares de dados e categorias de dados pessoais e descrição geral das medidas técnicas e organizativas no domínio da segurança.
• Solicitar a opinião dos titulares dos dados e dos seus representantes, se for adequado.

A opinião pode ser solicitada através de estudos, inquéritos e outros meios considerados adequados.

A avaliação deve incluir, pelo menos (art.º 35/7 do RGPD):

1.ª fase – Contexto

“a) Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;”

2.ª fase – Avaliação (risk assessment).

“b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos";

c) Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o” art.º 35/1; e

3.ª fase – Decisão (risk management).

“d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.”

1. Âmbito do AIPD;

2. Objetivos da avaliação de impacto;

3. Equipa e contactos dos responsáveis;

4. Operações de Tratamento de dados pessoais:

• Contexto e finalidades do tratamento de dados pessoais;
• Ativos importantes que dependem de dados pessoais (componentes, sistemas, redes, papel);
• Acessos aos dados pessoais;
• Descrição das operações de tratamento de dados pessoais;

5. Avaliação das necessidades nas operações de processamento:

• Medidas previstas para demonstrar a conformidade e necessidade do tratamento;
• Medidas que contribuem para os direitos dos titulares dos dados;

6. Avaliar e mitigar riscos inerentes do direito dos titulares dos dados:

• Relacionados com a violação de confidencialidade ou integridade;
• Relacionados com a perda de dados pessoais;
• Relacionados com o exercício dos direitos dos titulares de dados;
• Possíveis impactos e ameaças;
• Medida para redução dos riscos com descrições técnicas;

7. Prever medidas de segurança e procedimentos para assegurar a proteção de dados:

• Descrição de medidas técnicas para assegurar a proteção;

8. Recomendações de melhoria;

Este documento pode levar até 6 meses a ser concluído, dependendo da natureza organizacional de pessoas, processos, procedimentos que tenham a ver com dados pessoais e, por uma questão de boas práticas, a AIPD deve ser continuamente revista e regularmente reavaliada.

Exemplos:

• Dados de menores;
• Dados de saúde;
• Informação relativa a situação profissional, experiência profissional, remuneração, ausências ao trabalho e demais informação;
• Informação académica ou níveis de escolaridade, com recolha direta ou indireta:
• Informação e dados bancários, de crédito, penhoras e arrestos;
• Informação para emissão de documentos, por exemplo recibos de vencimento;
• Recolha através de sistemas de plataformas, por exemplo, de dados pessoais de docentes;
• Recolha, direta ou indireta, de dados pessoais de alunos ou estudantes;
• Comunicação de dados pessoais entre entidades públicas, independentemente do meio de comunicação ou forma;
• Gravação e divulgação de imagens de pessoas singulares;
• Fotografias, divulgação e exposição de fotografias de pessoas singulares;
• Vigilância sistemática;
• Videovigilância, com ou sem gravação e armazenamento de imagens;
• Uso ou aplicação de soluções tecnológicas ou organizacionais inovadoras;
• Transferência de dados para fora da União Europeia, por exemplo, informação curricular ou certificados de habilitações;

Os dados biométricos são considerados dados sensíveis, pelo que só é legítimo proceder ao seu tratamento nas seguintes situações:

• se for obtido o consentimento do titular dos dados, nos termos legalmente exigíveis, ou seja, assegurando que o consentimento é explícito, informado, específico e dado livremente;
• se foi utilizado para controlo de assiduidade e para controlo de acessos às instalações do empregador (art.º 28.º/6, da Lei n.º 58/2019); e
• se houver outra lei que expressamente preveja esse tratamento e que, adicionalmente, estabeleça garantias para a defesa dos direitos dos titulares.

Sim, se cumprir todos os requisitos locais e características do sistema no caso concreto. O tratamento de dados biométricos é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador (art.º 28.º/6, da Lei n.º 58/2019, e art.º 9.º/2/b do RGPD).

No entanto, deve assegurar-se que só são utilizadas representações do dado biométrico (template) e que o processo não permite a reversibilidade dos dados (art.º 28.º/6, da Lei n.º 58/2019). Deve garantir-se uma declaração do fabricante do sistema atestando a existência destas características.

No contexto laboral, o tratamento de dados biométricos dos trabalhadores tem ainda de respeitar o disposto no art.º 18.º do Código do Trabalho, com exceção da notificação à CNPD.

Não. A lei é muito clara só admitindo como tratamento legítimo para a finalidade de controlo de assiduidade e/ou controlo de acesso às instalações do empregador. Assim, não podem ser recolhidos e utilizados dados biométricos dos trabalhadores para qualquer outro fim.

Sim, desde que obtido o consentimento dos utentes, nos termos legais e melhor explicitados aqui. No entanto, tem de haver alternativa de acesso às instalações para os utentes que não consentirem na recolha dos seus dados biométricos. Para garantir as condições de liberdade efetiva de escolha, o responsável pelo tratamento não pode criar obstáculos, ou de outro modo dificultar, o acesso alternativo sem controlo biométrico. Os meios empregues no controlo de acesso devem ser proporcionais ao nível de segurança das instalações e às necessidades de verificação de acesso.

A obrigatoriedade de realizar uma avaliação de impacto sobre a proteção de dados (AIPD) quando há tratamento de dados biométricos depende de vários fatores.

As organizações que já possuem uma autorização da CNPD para o tratamento de dados biométricos – e desde que não tenha havido alteração às condições autorizadas para o funcionamento do sistema – não precisam de realizar uma AIPD.

As organizações que não tenham obtido até 25 de maio de 2018 autorização da CNPD, estão obrigadas a realizar uma avaliação de impacto sobre a proteção de dados quando realizarem tratamentos em larga escala, conforme exigido pelo artigo 35.º, n.º 3, alínea b), do RGPD. Quando realizarem tratamentos de dados biométricos, em pequena escala, estão igualmente obrigadas a realizar avaliações de impacto, sempre que o tratamento recaia sobre titulares de dados de grupos vulneráveis, como é o caso de trabalhadores, como previsto no ponto 7 do Regulamento 1/2018 da CNPD, no seguimento do Parecer 18/2018 do Comité Europeu da Proteção de Dados.

A obrigação de promover a realização de uma avaliação de impacto antes de iniciar o tratamento de dados é do responsável pelo tratamento. Contudo, a AIPD pode ser realizada diretamente pelo responsável pelo tratamento ou pela empresa que concebeu e/ou desenvolveu o sistema biométrico (cf. parte final do artigo 35.º/1 do RGPD), desde que o responsável pelo tratamento assuma os seus resultados.

Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desapareceu com a aplicação do RGPD. Já não é necessário solicitar autorização, preencher formulário ou pagar taxa à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD.

Se fizer alterações ao tratamento de dados biométricos previamente autorizado pela CNPD e às condições aí fixadas, a autorização perde a sua validade (caduca). Em consequência, terá de cumprir todas as exigências legais como se estivesse a projetar um tratamento de dados pela primeira vez.

Ameaça: “potencial causa de um incidente indesejado, que pode provocar danos a um sistema, indivíduo ou organização.”
(ISO/IEC 27032)

Ameaças híbridas: “embora as definições de ameaças híbridas variem e tenham de permanecer flexíveis para responder à sua natureza evolutiva, o conceito destina-se a abarcar a combinação de atividades coercivas com atividades subversivas, de métodos convencionais com métodos não convencionais (ou seja, diplomáticos, militares, económicos, tecnológicos) que podem ser utilizados de forma coordenada por intervenientes estatais ou não estatais para atingir objetivos específicos, mantendo-se, no entanto, abaixo do limiar de uma guerra formalmente declarada.”
(CE e ARUNEPS, Comunicação Conjunta ao Parlamento Europeu e ao Conselho, Quadro comum em matéria de luta contra as ameaças híbridas uma resposta da União Europeia)

O que são:
A ameaça interna diz respeito a um agente que compromete a cibersegurança de uma organização a partir do seu interior. Este comprometimento pode ser voluntário (por vingança ou dinheiro, por exemplo); resultado de um condicionamento (por efeito de chantagem sobre um colaborador, por exemplo); ou negligente (quando um trabalhador, involuntariamente, compromete a sua organização através de um comportamento descuidado, como a partilha de credenciais em resultado de um phishing).
O que fazem:
Ainda que os outros tipos de ameaça interna possam existir em Portugal, a negligente é particularmente relevante, na medida em que resulta dos casos em que alguém clica num link ou anexo maliciosos ou partilha credenciais de acesso a contas, colocando em causa, sem o desejar, a segurança da informação da sua organização. Também inclui outras ações de engenharia social, como através de telefone, no sentido de permitir acessos remotos ou instalação de malware nos dispositivos de uma entidade. Este agente não atua isoladamente, é instrumentalizado por outros agentes de ameaça, como os cibercriminosos ou os atores estatais.
O comprometimento de contas, privilegiadas ou não, é uma das consequências mais notórias deste tipo de agente de ameaça, quer porque este não utiliza uma palavra-passe suficientemente forte e é descoberta por força-bruta ou tentativa-erro, quer porque a mesma é revelada através de um ataque de phishing ou de uma exfiltração de dados. Alguns agentes de ameaça conseguem comprometer também o múltiplo fator de autenticação, através, por exemplo, de SIM swapping, quando o smartphone serve esse propósito.
Quem atingem:
Este tipo de agente de ameaça é constituído sobretudo por colaboradores de organizações, nomeadamente da Administração Pública ou de operadores de serviços essenciais quando os alvos são mais dirigidos, mas virtualmente qualquer organização quando os ataques são generalizados.

Ameaça Persistente Avançada: “um adversário que possui níveis sofisticados de especialização e recursos significativos que lhe permitem criar oportunidades para alcançar os seus objetivos através do uso de vários vetores de ataque (...) A ameaça persistente avançada: (i) procura concretizar os seus objetivos repetidamente durante um longo período de tempo; (ii) adapta-se aos defensores e aos seus esforços de resistência; e (iii) está determinada a manter o nível de interação necessário para atingir os seus objetivos.”
(NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms)

O que são:
Por atores estatais entendem-se agentes de ameaça que atuam sob a direção estratégica e/ou direta de um Estado, sendo um escopo tradicionalmente composto por coletivos de operadores a atuarem na proximidade de serviços de informações ou diretamente integrados nas suas estruturas orgânicas. Estes agentes de ameaça executam ações hostis no ciberespaço a favor dos preceitos estratégicos do seu Estado e em evidente correlação com os desígnios programáticos das sua política externa, militar ou económico-financeira. Alguns destes agentes de ameaça são designados de “ameaças persistentes avançadas” (APT, no acrónimo em inglês).
Na vasta maioria dos eventos observados, as atividades de atores estatais concentram-se na execução de operações de ciberespionagem, orientadas para o comprometimento persistente e encoberto de infraestruturas informáticas detentoras de informação sensível ou de valor estratégico que pretendem exfiltrar de forma não detetada e recorrente. A estas ações de ciberespionagem acrescem casos, com menor expressão quantitativa, mas de elevada gravidade, correlacionados com atos de cibersabotagem, com o fito de causarem disrupção holística ou setorial em alvos externos.
Num número crescente de ocasiões estas ações cibernéticas hostis são, também, dinamizadas por Estados, à escala global, em benefício da sua política doméstica, da sua projeção global ou no âmbito de operações mais latas de natureza híbrida, onde ciberataques concorrem para o sucesso de estratégias de vasto escopo que incluem também, por exemplo, linhas de atuação no domínio da propaganda e da desinformação para a disrupção da normalidade democrática das sociedades.
O que fazem:
A materialização desta ameaça no ciberespaço de interesse nacional ocorre em moldes coincidentes com o observado ao longo de todo o espaço comunitário e transatlântico, observando-se o empenho de uma crescente variedade de metodologias ofensivas com vista ao comprometimento das suas vítimas institucionais, tradicionalmente adstritas ao setor público e às áreas de soberania.
Tratando-se de atores oportunistas que prezam a anonimização da sua identidade e natureza funcional, os atores estatais privilegiam, cada vez mais, o empenho de metodologias ofensivas generalistas, desprovidas de uma assinatura de propriedade exclusiva, sendo, hoje, recorrente observar-se o recurso a métodos operacionais coincidentes com os empenhados por agentes da cibercriminalidade ou do hacktivismo.
Entre estes destacam-se o uso de phishing e spear phishing; a criação de domínios próximos do âmbito governamental para favorecer o typosquatting e o acesso a sites fraudulentos; bem como ações de reconhecimento e de mapeamento de vulnerabilidades para posterior exploração.
Quem atingem:
Os atores estatais procuram atingir vítimas detentoras de acessos ou de informação com reconhecido valor estratégico.
Estas vítimas tendem a ser, na vasta maioria das ocasiões, de natureza público-governamental, não se devendo, contudo, desconsiderar a gravidade desta tipologia de ciberameaças contra alvos privados, nomeadamente infraestruturas críticas e serviços essenciais.

Blacklist [lista negra]: “uma lista de entidades discretas, tais como hosts ou aplicações, que foram previamente consideradas estarem associadas a atividade maliciosa.”
(NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms)

Botnet: “rede de computadores infetados [drones] por software malicioso e controlados à distância, sem o conhecimento dos utilizadores, com a finalidade de enviar mensagens eletrónicas não solicitadas, roubar informações ou lançar ciberataques coordenados.”
(TCE, Desafios à Eficácia da Política de Cibersegurança da UE)

Bug Bounty: um bug bounty é um programa que incentiva a procura, descoberta e descrição de bugs em software com base na oferta de uma recompensa. Muitas empresas oferecem uma recompensa deste tipo de modo a impulsionarem a melhoria dos seus produtos e serviços.
(adaptado de Techopedia)

O que são:
Os cyber-offenders dizem respeito aos agentes de ameaça que atuam com motivações pessoais, frequentemente de contornos passionais ou reputacionais. Correspondem sobretudo a indivíduos, e não a grupos, que agridem, perseguem ou prejudicam outros indivíduos de forma criminosa online.
Quando alguns grupos atuam com intuitos meramente destrutivos podem caber do ponto de vista motivacional neste tipo de agente de ameaça.
O que fazem:
Estes indivíduos realizam ações como o stalking (perseguição), a sextortion ou o discurso de ódio online, registados, por exemplo, pelo Gabinete Cibercrime da PGR, ou a difamação e injúrias, as ameaças, o cyberbullying, a violência doméstica, ou outras ações várias com contornos de abuso sexual, presentes nos dados partilhados pela APAV. Este domínio nem sempre é captado pelos registos de incidentes de cibersegurança ou pelos indicadores de cibercrime, principalmente porque nem sempre são registados como tendo caráter digital, ainda que ocorram no ciberespaço.
Quem atingem:
Os cyber-offenders podem atingir qualquer cidadão, na medida em que atuam no âmbito das interações sociais quotidianas.

CEO Fraud/Comprometimento de Email de CEO/Negócio: “A fraude de CEO/negócio acontece quando um funcionário de uma empresa é enganado de modo a pagar uma fatura falsa ou a fazer uma transferência não autorizada com a conta da empresa.”
(Europol, Cyberscams)

Cibercrimes: “factos correspondentes a crimes previstos na Lei do Cibercrime e ainda a outros ilícitos penais praticados com recurso a meios tecnológicos, nos quais estes meios sejam essenciais à prática do crime em causa.” [O cibercriminoso é aquele que pratica estes crimes; contudo, no âmbito dos agentes de ameaças, esta designação é atribuída àquele que pratica estes crimes com intenções sobretudo económicas].
(ENSC 2019-2023 [e ENISA, Threat Landscape 2021])

Como o próprio nome indica, cibercrime é todo o tipo de crime que tem como alvo ou faz uso de um computador, de uma rede de computadores ou de um dispositivo electrónico ligado em rede, nomeadamente, através da Internet. Muitas vezes, os cibercrimes são extensões ou adaptações, no mundo virtual, de crimes levados a cabo no mundo real. Entre os cibercrimes mais comuns contam-se os esquemas de burlas online, destinados a enganar o utilizador para obter informação confidencial e roubar ou extorquir o seu dinheiro. Alguns exemplos que lhe podem soar familiares são o phishing, smishing ou vishing, o malware, os esquemas de ofertas online, entre outros. Com formas de operar semelhantes ou nem por isso, reforçamos que o fim é quase sempre o mesmo: ter acesso aos seus dados confidenciais (como palavras-passe ou códigos de segurança) e chegar ao seu dinheiro.

Entre os ataques informáticos dirigidos a quem usa serviços bancários online, destacam-se sobretudo o phishing, o smishing e o vishing. O objectivo e o tipo de esquema de burla são muito idênticos, ou seja, o cibercriminoso faz-se passar pelo banco ou outra entidade de confiança e pede informação confidencial à vítima. Esta informação pode passar por dados de acesso (as palavras-passe, por exemplo), dados do cartão (nomeadamente, CVV ou PIN) ou códigos de segurança, autenticação ou autorização (como aqueles que são enviados para o telemóvel, pelo banco, para validação de uma operação que esteja a ser realizada online).
Estes três tipos de cibercrime diferenciam-se pela forma de aceder à vítima e pela maneira como a informação confidencial é pedida. Assim:
• No phishing, o ciberataque é geralmente levado a cabo através de e-mails, os quais podem contar links que redireccionam para páginas falsas com o convite de nelas serem inseridos os dados confidenciais a que o cibercriminoso quer ter acesso. Muitas vezes, o cliente pensa que está mesmo a aceder à página de homebanking do seu banco, pois as páginas falsas para as quais é redireccionado através desses links são extremamente parecidas com as da entidade bancária legítima.
• No smishing, o cibercriminoso recorre ao envio de SMS, mensagens de WhatsApp ou de outras aplicações de mensagens escritas. O esquema depois é em tudo semelhante ao phishing, com links para páginas falsas a solicitar os dados confidenciais.
• No vishing, a fraude é concretizada através de uma chamada telefónica, durante a qual o burlão se faz passar por alguém do banco ou de uma empresa da confiança da vítima, alegando algum tipo de problema ou necessidade de obtenção de dados pessoais e confidenciais, como dados do cartão ou códigos de segurança. De realçar que, em regra, o criminoso alega que esses dados são necessários com muita rapidez para a resolução do dito problema. É precisamente este carácter de urgência que leva, muitas vezes, a vítima a ser enganada, já que acaba por agir sem pensar. Deve-se ter em atenção que nenhum bancosolicita dados confidenciais, como palavras-passe, PIN ou códigos de segurança, autorização ou autenticação numa chamada telefónica. Em caso de dúvida de que realmente alguma coisa possa estar a acontecer com a conta, cartão ou homebanking, deve-se desligar a chamada e ligar de imediato para o telefone oficial da linha de apoio do banco ou para o balcão ou gestor de conta.

Saiba mais aqui.

O que são:
Em geral, os cibercriminosos caracterizam-se por ser indivíduos ou grupos que agem ilicitamente com o objetivo de obter ganhos financeiros. Com frequência, a sua constituição configura formas de crime organizado online. Poderá, em caso pontuais, ocorrer uma comunhão de interesses ou de oportunidades entre Estados e cibercriminosos, passando os segundos a atuar como proxies operacionais a favor de um Estado diretor.

O que fazem:
No ciberespaço de interesse nacional, os cibercriminosos tiveram e continuam a ter uma atividade relativamente intensa.
As suas ações procuram, em particular, a cifragem extorsionista de sistemas e de infraestruturas informáticas, a captura de dados sensíveis, como dados bancários e de credenciais de acesso a contas, e a realização de fraudes/burlas, além de outras metodologias de extorsão. O phishing (bem como as variantes de smishing e vishing) é um dos vetores de ataque mais utilizados por estes agentes para a implementação de acessos remotos encobertos ou para a captura de informação sensível, dirigindo-se sobretudo a cidadãos ou utilizadores profissionais e utilizando temáticas diversas, como as ligadas à Banca ou a Serviços Postais.
Alguns destes ataques resultam em comprometimentos de contas, nomeadamente quando são capturadas credenciais de acesso. O ransomware também é um dos resultados das ações destes agentes de ameaça com cada vez maior impacto. Este malware, que cifra a informação das vítimas sob um pedido de resgate para a sua recuperação, pode ser instalado em dispositivos através de emails ou mediante a exploração de vulnerabilidades nos sistemas, por exemplo. Esta ameaça atinge principalmente organizações e não indivíduos.

Um outro tipo de prática muito comum entre os cibercriminosos é a fraude e a burla online. Muitos dos casos registados pelo Gabinete Cibercrime, pela CNPD, pela DGPJ ou pela APAV, por exemplo, são deste tipo. Em geral, implicam um dano patrimonial na vítima e uma simulação fraudulenta de uma marca ou de uma pessoa (por exemplo, um comprador ou um vendedor), que conduz a vítima a um engodo (por exemplo, a transferência de dinheiro para o agente criminoso). É notório um crescente número de casos relacionados com páginas falsas de marcas conhecidas ou de investimentos em criptomoedas.
Durante 2021, verificou-se ainda que estes agentes de ameaça intensificaram as suas ações de reconhecimento de vulnerabilidades nas infraestruturas nacionais para posterior exploração e realização de intrusões e/ou a instalação de malware, algo a que não é alheia a identificação de diversas vulnerabilidades importantes em 2021.

Quem atingem:
Os cibercriminosos, em Portugal, atingem sobretudo os setores da Banca, da Saúde e da Educação/Ensino Superior, bem como as PME e os cidadãos em geral.

Ciberespaço: “consiste no ambiente complexo, de valores e interesses, materializado numa área de responsabilidade coletiva, que resulta da interação entre pessoas, redes e sistemas de informação.”
(ENSC 2019-2023)

Cibersegurança: “consiste no conjunto de medidas e ações de prevenção, monitorização, deteção, reação, análise e correção que visam manter o estado de segurança desejado e garantir a confidencialidade, integridade, disponibilidade e não repúdio da informação, das redes e sistemas de informação no ciberespaço, e das pessoas que nele interagem."
(ENSC 2019-2023)

Ciberespionagem: “esta ameaça geralmente tem como alvo os setores industriais, as infraestruturas críticas e estratégicas em todo o mundo, incluindo entidades governamentais, transportes, provedores de telecomunicações, empresas de energia, hospitais e bancos. Foca-se na geopolítica, no furto de segredos comerciais e de Estado, de direitos de propriedade intelectual e de informações proprietárias em campos estratégicos.”
(ENISA, Threat Landscape 2018)

Ciberterrorismo: existe cada vez mais uma convergência entre terrorismo e ciberespaço. “Ao mesmo tempo que têm como motivação a realização de ciberataques, os Ciberterroristas têm como objetivos o recrutamento e a monetarização”. Não obstante este uso instrumental do ciberespaço, o principal objetivo deste agente de ameaça, em última análise, é a realização de ciberataques por razões típicas de grupos terroristas.
(ENISA, Threat Landscape 2018)

Cyberbullying: “bullying realizado através da Internet ou telemóvel, envolvendo mensagens ofensivas ou maliciosas, emails, chats ou comentários, ou mesmo, em casos extremos, websites construídos com intenções maliciosas contra indivíduos ou certos grupos de pessoas.”
(Richardson et al., Internet Literacy Handbook

Cyber-offender: agente de ameaça que realiza ações como sextortion ou cyberbullying contra vítimas adolescentes e jovens adultos ou com nível semelhante de vulnerabilidade, provocando danos psicológicos e por vezes físicos nas vítimas.
A extrapolação das ações deste tipo para outros contextos permite classificar este tipo de agente como alguém que realiza ações que visam meramente a disrupção e a perturbação de um alvo, sem que existam motivos económicos ou ideológicos claros ou expressos.
(Adaptado de ENISA, Threat Landscape 2020 [extrapolação realizada por CNCS])

Command & Control (C&C): “a parte mais importante de uma botnet é a designada infraestrutura de comando e controlo (C&C). Esta infraestrutura é constituída por bots e pela entidade de controlo que tanto pode ser centralizada como distribuída. São usados pelo bot master um ou mais protocolos de comunicação para comandar os computadores das vítimas e coordenar as suas ações (...) A infraestrutura de C&C serve tipicamente como a única forma de controlar bots numa botnet.”
(ENISA, Botnets: Detection, Measurement, Disinfection & Defence)

Defacement [defacing]: “alteração ilícita de páginas web”.
(ENISA, Abordagem Gradual de Criação de uma CSIRT)

Desinformação: “toda a informação comprovadamente falsa ou enganadora que é criada, apresentada e divulgada para obter vantagens económicas ou para enganar deliberadamente o público, e que é suscetível de causar um prejuízo público.”
(ERC, A Desinformação - Contexto Europeu e Nacional)

Engenharia Social: “o ato de enganar um indivíduo no sentido de este revelar informação sensível, assim obtendo-se acesso não autorizado ou cometendo fraude, com base numa associação com este indivíduo de modo a ganhar a sua confiança.”
(NIST, Digital Identity Guidelines)

E-skimming: skimming realizado por via eletrónica – o skimming “envolve a duplicação da faixa magnética de um cartão bancário, frequentemente através de dispositivos escondidos em terminais ATM”. Por via eletrónica, atinge-se o mesmo fim através de métodos de pagamento online.
(Europol, Payment Fraud e Europol Internet Organized Crime Thread Assessment)

Força-bruta: “em criptografia, um ataque que explora todas as possíveis combinações para encontrar uma chave que combine com a correta.”
(NIST, De-Identification of Personal Information)

Hacktivistas: agentes de ameaças “orientados a realizar ações de protesto contra decisões políticas/geopolíticas que afetam matérias nacionais e internacionais.”
(ENISA, Threat Landscape 2018

O que são:
Os hacktivistas são grupos organizados, de modo formal ou informal, que desenvolvem atividades no ciberespaço com o objetivo de realizar afirmações ideologicamente orientadas. Portanto, não atuam com objetivos económicos ou geopolíticos. Por vezes, confundem-se nas suas motivações com aspetos ligados à reputação e exibição, alguns deles mais próprios da categoria de cyber-offender.

O que fazem:
Em Portugal, em 2021, os hacktivistas mantêm um volume de atividade irregular, cuja intensidade depende muito do ciclo de vida de cada novo grupo. As suas ações conduziram sobretudo à realização de defacements com o fim de interferir com a reputação online de instituições consideradas relevantes para a transmissão de uma mensagem. Algumas das suas atividades podem também procurar a exfiltração e a exposição de dados. Tradicionalmente, estes agentes de ameaça costumam usar a negação de serviço distribuída com o fim de prejudicar a reputação das instituições alvo.
Quem atingem:
Os alvos mais comuns dos hacktivistas são a Administração Pública e os Órgãos de Soberania, bem como entidades ou pessoas com peso institucional em função da afirmação ideológica que pretendem realizar.

Em Portugal, os tipos de agentes de ameaça mais relevantes são os cibercriminosos e os atores estatais, seguidos da ameaça interna negligente, dos cyber-offenders e dos hacktivistas.
Os cibercriminosos utilizam em particular o phishing/smishing/vishing, o ransomware e a fraude/burla online como métodos para atingir os seus objetivos; os atores estatais, em Portugal, realizam ataques de phishing e spear phishing e procuram o comprometimento de contas, bem como a exploração de vulnerabilidades para a realização de intrusões.

Incidentes: “eventos com um efeito adverso real na segurança das redes e dos sistemas de informação.”
(Lei n.º 46/2018, de 13 de agosto)

Insider [Ameaça Interna]: “a ameaça interna pode existir em todas as empresas ou organizações. Qualquer colaborador atual ou ex-colaborador, sócio ou fornecedor, que tenha, ou tenha tido, acesso aos ativos digitais da organização, pode abusar, voluntaria ou involuntariamente, desse acesso. Os três tipos mais comuns de ameaças internas são: insider malicioso, que age intencionalmente; insider negligente, que é desleixado ou não está em conformidade com as políticas e instruções de segurança; e insider comprometido, que age involuntariamente como instrumento de um atacante real.”
(ENISA, Threat Landscape 2018)

Intrusion Detection Systems (IDS): “produto de hardware ou software que recolhe e analisa informação de várias áreas num computador ou rede de modo a identificar possíveis falhas de segurança, que incluem intrusões (ataques a partir do exterior da organização) e má utilização (ataques a partir do interior da organização).”
(NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms)

Malware [Software Malicioso]: “programa que é introduzido num sistema, geralmente de forma encoberta, com a intenção de comprometer a confidencialidade, a integridade ou a disponibilidade dos dados da vítima, de aplicações ou do sistema operativo, ou perturbando a vítima.”
(NIST, IR 7298 Revision 2, Glossary of Key Information Security Terms)

Existem muitos tipos de malware, por exemplo:

• O spyware, que é um programa malicioso instalado, sem que a vítima se aperceba, no seu computador ou tablet, e que permite detectar o acesso a uma página de Internet protegida, registando os dados que a vítima aí introduz.
• O ransonware (uma espécie de rapto informático), que é um software malicioso criado para deixar a vítima sem acesso aos ficheiros do seu computador. O cibercriminoso depois pedirá dinheiro (o “resgate”) para devolver o acesso aos referidos arquivos.

Observável (instância): “representa uma efetiva observação específica que ocorreu no domínio ciber. As propriedades detalhadas desta observação são específicas e não ambíguas.”
(STIX)

O Pharming acontece quando um vírus informático instalado num computador ou tablet (por exemplo, após o download ou instalação de algum ficheiro aparentemente insuspeito) redirecciona a vítima para uma página de Internet falsa para obtenção dos seus dados confidenciais.

Phishing: “mecanismo de elaboração de mensagens que usam técnicas de engenharia social de modo que o alvo seja ludibriado ‘mordendo o isco’. Mais especificamente, os atacantes tentam enganar os recetores de emails ou mensagens par que estes abram anexos maliciosos, cliquem em URL inseguros, revelem as suas credenciais através de páginas de phishing aparentemente legítimas [pharming], façam transferências de dinheiro, etc.”
(ENISA, Threat Landscape 2018)

Ransomware: tipo de malware que permite que “um atacante se apodere dos ficheiros e/ou dispositivos de uma vítima, bloqueando a possibilidade de esta poder aceder-lhes. Para a recuperação dos ficheiros, é exigido ao proprietário um resgate em criptomoedas.”
(ENISA, Threat Landscape 2018)

É uma espécie de rapto informático, em que um software malicioso é criado para deixar a vítima sem acesso aos ficheiros do seu computador.

Scan/Scanning: “Ataques baseados em pedidos realizados a um sistema com o intuito de descobrir pontos fracos. Também inclui processos de teste para recolha de informações sobre sistemas, serviços e contas. Exemplos: fingerd, consultas DNS, ICMP, SMTP (EXPN, RCPT, etc.), scanning de portos..”
(RNCSIRT, Taxonomia Comum da Rede Nacional de CSIRT)

Script kiddies: indivíduos com poucas competências na realização de ciberataques, mas que, ainda assim, os conseguem realizar através da aquisição de ferramentas de hacking fáceis de adquirir e usar. “Estas ferramentas podem tornar-se meios com muito alcance nas mãos de grupos com poucas capacidades. Além disso, quando se tenta quantificar o conhecimento disponível e poder de ataque dos script kiddies, consegue-se ter um vislumbre de um dos desafios de cibersegurança: jovens com alguma orientação podem tornar-se muito eficientes em ações de hacking.”
(ENISA, Threat Landscape 2019)

Sextortion: “a prática de forçar alguém a fazer algo, particularmente a realizar atos sexuais [ou a pagar um resgate], através de uma ameaça de publicação de dados ou imagens de natureza íntima ou com cariz sexual da vítima [ameaça que por vezes não corresponde a uma possibilidade efetiva, apresentando-se detalhes técnicos, como a palavra-passe da vítima, de modo a tornar a ameaça mais credível]”.
(Adaptado de Cambridge Advanced Learner's Dictionary & Thesaurus

O shoulder surfing é outra forma de crime cibernético, talvez a mais rudimentar de todas, mas igualmente eficaz. É muito provável que todos já tenhamos espreitado por cima do ombro de um colega de escola para ver o que escrevia nalgum teste… Pois bem, este tipo de crime começa de forma idêntica, mais precisamente quando alguém consegue recolher informação ou dados confidenciais da vítima através de observação directa, por exemplo, em locais com muitas pessoas como os transportes públicos, quando a vítima coloca palavras-passe ou códigos de segurança nos seus dispositivos electrónicos sem saber que está a ser observada.

SIM swapping: “ocorre quando um agente malicioso, através de técnicas de engenharia social, adquire controlo sobre o cartão SIM do telemóvel da vítima utilizando dados pessoais furtados.”
(Europol, SIM swapping – a mobile phone scam)

O SIM card swap verifica-se quando alguém recolhe informação pessoal da vítima, directamente ou nas redes sociais, conseguindo fazer-se passar por ela numa loja de comunicações e solicitar uma segunda via do cartão de telemóvel. Esta manobra permite que todas as chamadas e SMS recebidas (como códigos de segurança ou autorização) sejam direccionadas para um cartão de telemóvel que está na posse do cibercriminoso, sem que a pessoa lesada se aperceba.

Smishing: “(combinação das palavras SMS e phishing) é a tentativa por atacantes de obter dados pessoais, financeiros ou de segurança por mensagem de texto”.
(Europol, Cyberscams)

O spyware, é um programa malicioso instalado, sem que a vítima se aperceba, no seu computador ou tablet, e que permite detectar o acesso a uma página de Internet protegida, registando os dados que a vítima aí introduz.

Typosquatting: técnica usada para atrair o tráfego para um website redirecionando gralhas comuns em termos de pesquisa ou de websites populares. Quem pratica esta atividade pode tentar vender produtos, instalar malware no dispositivo de um utilizador ou até mesmo fazer uma declaração política. A versão extrema do typosquatting é semelhante ao phishing, em que um website impostor imita um website real, proporcionando assim ao utilizador uma falsa impressão de que acedeu ao website correto. O typosquatting também é referido como sequestro de URL.
(adaptado de Techopedia)

Violação de dados pessoais: “uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.”
(RGPD)

Vishing: uso de mensagens de voz ou de chamadas telefónicas para roubar identidades e recursos financeiros. O termo resulta da combinação de voice e phishing.
(adaptado de Techopedia)

Vulnerabilidade: “falha em software ou componentes de hardware que permite que um atacante efetue ações que normalmente não seriam permitidas.”
(CERT Carnegie Mellon University)

A Convenção Europeia dos Direitos do Homem é um tratado internacional aberto exclusivamente à assinatura dos Estados Membros do Conselho da Europa. A Convenção, que institui o Tribunal e regula o seu funcionamento, contém uma lista de direitos e liberdades que os Estados se comprometem a respeitar.

Trata-se de um importante instrumento de defesa dos direitos humanos de âmbito regional, e o primeiro com carácter legalmente vinculativo após a proclamação da Declaração Universal dos Direitos do Homem (DUDH), a 10 de dezembro de 1948. Portugal aderiu ao Conselho da Europa em 22 de Setembro de 1976, e aprovou para ratificação, pela Lei n.º 65/78, de 13 de Outubro, o texto da Convenção e respetivos protocolos.

A Convenção criou o Tribunal Europeu dos Direitos do Homem para proteger os cidadãos contra violações dos direitos humanos.

O Tribunal Europeu dos Direitos do Homem é uma jurisdição internacional com sede em Estrasburgo, e é composto por um número de juízes igual aos dos Estados Membros do Conselho da Europa que ratificaram a Convenção para a proteção dos Direitos do Homem e das Liberdades Fundamentais. Atualmente o seu número ascende a quarenta e sete.

Os juízes têm assento no Tribunal a título individual e não representam nenhum Estado.

O Tribunal aplica a Convenção Europeia dos Direitos do Homem. A sua missão consiste em certificar-se de que os direitos e garantias definidos na Convenção são respeitados pelos Estados. O Tribunal aprecia as queixas (denominadas «petições») apresentadas por indivíduos ou, por vezes, por Estados. Sempre que constata uma violação por parte de um Estado Membro de um ou vários direitos e garantias consagrados na Convenção, o Tribunal profere uma sentença. Esta sentença tem força obrigatória: o país em causa é obrigado a executá-la.

Pode apresentar uma queixa perante o Tribunal sempre que se considerar vítima direta de uma ou mais violações dos direitos e garantias previstos na Convenção ou nos seus protocolos (e não sobre qualquer outro instrumento jurídico), nomeadamente:

• do direito à vida;
• do direito a um processo equitativo em matéria civil e penal;
• do direito ao respeito pela vida privada e familiar;
• da liberdade de expressão;
• da liberdade de pensamento, de consciência e de religião; " do direito a um recurso efetivo;
• do direito à proteção da propriedade;
• do direito de voto e do direito a participar em eleições.

Tal violação, poderá envolver, por exemplo: tortura e maus-tratos de detidos; a legalidade de uma detenção; deficiências no julgamento de um processo civil ou penal; discriminação no exercício de um destes direitos; os direitos parentais; o respeito pela vida privada e familiar, pelo domicílio ou pela correspondência; restrições à expressão de uma opinião ou à transmissão ou receção de informações; liberdade de reunião e de associação; expulsões e extradições; confiscação de bens e expropriações.

• Não é necessário ser cidadão de um dos Estados Membros do Conselho da Europa. Apenas é exigido que a violação invocada tenha sido cometida por um desses Estados sob a sua própria «jurisdição», o que geralmente corresponde ao seu território;
• Pode ser uma pessoa singular ou coletiva (sociedade, associação, etc.);
• É necessário que seja direta e pessoalmente vítima da infração denunciada. Não pode apresentar uma queixa contra uma lei ou um ato, apenas porque o considera injusto; também não pode apresentar uma queixa em nome de outras pessoas (a menos que essas pessoas estejam claramente identificadas e você seja o seu representante oficial).

Previamente, perante os tribunais nacionais:

• Devem esgotar-se todos os recursos passíveis de remediar a situação objeto da queixa (trata-se muito frequentemente de um processo instaurado junto do tribunal competente, seguido, se necessário, de um recurso e até de um recurso a um tribunal superior, como o Supremo Tribunal ou o Tribunal Constitucional, no caso de existir);
• O exercício destes recursos não é em si suficiente: impõe-se igualmente apresentar os motivos da sua queixa (isto é, as violações da Convenção que alega) no âmbito destes recursos;
• A partir da data da decisão interna definitiva (em geral, a sentença da mais alta jurisdição), dispõe de um prazo de seis meses para apresentar a sua queixa. Uma vez expirado esse prazo, o Tribunal não pode aceitar a queixa.

A queixa pode ser apresentada contra:

• Contra um ou vários Estados Partes da Convenção que, no seu entender, tenha/tenham violado (por ato ou omissão que o afete diretamente) a Convenção;
• O ato ou omissão contestados devem emanar de uma autoridade pública desse(s) Estado(s);
• O Tribunal não pode ocupar-se de queixas contra particulares ou instituições privadas, como empresas comerciais.

Enviando ao Tribunal o formulário de queixa devidamente preenchido e assinado, acompanhado dos documentos pertinentes, por correio para a seguinte morada:

The Registrar

European Court of Human Rights

Council of Europe

F-67075 Strasbourg cedex

Notas:

• Pode escrever numa das línguas oficiais do Tribunal (Inglês ou Francês), mas também numa das línguas oficiais de um dos Estados Membros que ratificaram a Convenção.
• O Secretário do Tribunal poderá solicitar-lhe documentos, informações ou esclarecimentos complementares relativos à queixa apresentada.
• Deverá descarregar o formulário de queixa através do sítio internet do Tribunal, preenchê-lo cuidadosamente e de forma legível, assiná-lo e reenviá-lo o mais depressa possível. O formulário deve conter:
  • um breve resumo dos factos assim como os motivos da queixa;
  • a indicação dos direitos consagrados pela Convenção que considera terem sido violados;
  • os recursos já exercidos;
  • uma cópia das decisões proferidas no âmbito do processo por todas as autoridades públicas envolvidas (estes documentos não serão devolvidos, pelo que deverá enviar apenas cópias) ; e
  • a sua assinatura enquanto requerente ou a do seu representante.
• Se pretender preservar o anonimato, deverá informar desde logo o Tribunal e fundamentar o seu pedido. O Presidente examinará a pertinência do seu pedido.
• Nesta fase do processo, o requerente não é obrigado a fazer-se representar por um advogado. Se, ainda assim, pretende fazer-se representar junto do Tribunal, deve completar e assinar o quadro previsto no formulário para esse efeito.

Outras informações relativas às queixas:

• O processo é escrito. Será informado por escrito de qualquer decisão tomada pelo Tribunal. A realização de audiências públicas será excecional.
• A apreciação do seu dossiê será gratuita.
• Ainda que no início do processo não tenha de se fazer representar por um advogado, precisará de o fazer no momento em que a sua queixa for notificada ao Governo. Contudo, na maioria dos casos, as queixas são declaradas inadmissíveis antes de serem notificadas aos Governos.
• Só terá de suportar as suas próprias despesas (os honorários do advogado ou as despesas associadas a pesquisa e correspondência).
• Uma vez apresentada a sua queixa, pode solicitar assistência judiciária. Esta assistência, que não é automática, não é concedida imediatamente, mas sim numa fase mais adiantada do processo.
• O Tribunal examina, em primeiro lugar, se a sua queixa é admissível, o que significa que o caso deve satisfazer determinadas condições definidas na Convenção. Se não cumprir as condições indicadas, a sua queixa será rejeitada. No caso de ter alegado várias violações, o Tribunal pode declarar uma ou várias admissíveis e rejeitar outras.
• Se a sua queixa ou uma das violações alegadas for declarada inadmissível, esta decisão é definitiva e irrevogável.
• Se a sua petição ou uma das suas queixas for declarada admissível, o Tribunal incentivará as partes a chegarem a um acordo amigável. Na falta de uma resolução amigável, o Tribunal procede à apreciação da queixa quanto ao «fundo», ou seja, decide se houve ou não violação da Convenção.
• Pode decorrer um ano até que o Tribunal proceda a uma primeira apreciação da sua queixa. Algumas queixas podem ser classificadas de urgentes e tratadas prioritariamente, em particular, no caso de existir uma ameaça com perigo iminente para a integridade física do requerente.

Se o Tribunal constatar uma violação, pode conceder uma «reparação razoável», que consiste num montante destinado a compensar os prejuízos. O Tribunal pode também exigir ao Estado condenado que proceda ao reembolso das suas despesas com o processo. Se o Tribunal não constatar qualquer violação por parte do Estado, não terá de pagar quaisquer despesas suplementares (nomeadamente as despesas incorridas pelo Estado requerido).

Notas:

• O Tribunal não é competente para anular as decisões ou legislação nacionais.
• A execução das sentenças não é da responsabilidade do Tribunal. Depois de proferida a sentença pelo Tribunal, a sua execução é da responsabilidade do Comité de Ministros do Conselho da Europa a quem incumbe zelar pela sua execução e assegurar o pagamento das eventuais compensações financeiras.

• O Tribunal não atua como uma instância de recurso superior aos tribunais nacionais: não julga novamente os processos nem é competente para anular ou modificar as suas decisões.
• O Tribunal não intervém diretamente a favor do queixoso junto da autoridade que é objeto da queixa. Em circunstâncias excecionais, o Tribunal pode no entanto acordar a aplicação de medidas provisórias. Na prática, só o faz quando o requerente corre um sério risco de sofrer danos físicos.
• O Tribunal não ajuda a encontrar nem paga um advogado para redigir a petição.
• O Tribunal não informa sobre as disposições legais em vigor no Estado requerido.

O direito de acesso aos arquivos e registos administrativos é um direito decorrente da Constituição da República Portuguesa e da lei.

O acesso a documentos administrativos pode efetuar-se, conforme opção do requerente, através dos seguintes meios:

• Consulta
• Reprodução
• Certidão

Existem diversos tipos de restrições ao direito de acesso a documentos administrativos relacionadas, nomeadamente, com:

• Segurança e investigação criminal
• Segredo de Estado
• Direitos de autor, segredo comercial e industrial
• Processos e procedimentos pendentes
• Dados pessoais de terceiros

É documento nominativo o documento administrativo que contenha dados pessoais, definidos nos termos do regime legal de proteção de dados pessoais.

Um terceiro só tem direito de acesso a documentos nominativos:

• Se estiver munido de autorização escrita do titular dos dados que seja explícita e específica quanto à sua finalidade e quanto ao tipo de dados a que quer aceder;
• Se demonstrar fundamentadamente ser titular de um interesse direto, pessoal, legítimo e constitucionalmente protegido suficientemente relevante, após ponderação, no quadro do princípio da proporcionalidade, de todos os direitos fundamentais em presença e do princípio da administração aberta, que justifique o acesso à informação; declarações falsas nesta matéria são puníveis com pena de prisão até um ano ou com pena de multa.

A informação de saúde é propriedade do seu titular sendo as unidades do sistema de saúde os depositários. Salvo situações excecionais, cada pessoa tem direito de acesso à sua informação de saúde.

Todos os interessados em consultar a informação administrativa, produzida ou na posse da UC, podem pedir a sua consulta presencial ou a sua reprodução (fotocópia ou digitalização), utilizando este modelo de requerimento, por:

• Correio postal - Projeto Especial - Informação Administrativa e Proteção de Dados Rua Larga, Edifício FMUC (R/C Esq.) | 3004-504 COIMBRA | PORTUGAL.
• Correio eletrónico epd[at]uc.pt.

Os requerentes de pedidos de acesso a informação na posse da UC podem apresentar queixa das decisões, ou da falta de resposta, do Responsável pelo Acesso:

• Junto dos Tribunais Administrativos.
• Junto da CADA - Comissão de Acesso aos Documentos Administrativos, entidade pública independente, que tem como missão, nos termos da lei, zelar pelo cumprimento das disposições legais referentes ao acesso à informação administrativa.

A queixa deve ser apresentada através dos meios de contacto da CADA, nomeadamente por correio eletrónico ou por via postal, acompanhada de cópia do requerimento de acesso aos documentos administrativos apresentado junto da entidade requerida e de outros elementos que sejam pertinentes para a análise.

A queixa deve ser apresentada no seguinte prazo, consoante os casos:

• 20 dias (corridos) subsequente ao indeferimento do pedido acesso.
• 20 dias (corridos) a contar do termo do prazo de resposta da entidade requerida (10 dias úteis).