Pareceres do EPD

20190104 - Parecer n.º 1

20190206 - Parecer n.º 2

20190211 - Parecer n.º 3

^{Acesso ao documento completo(Nível 3)}

Resumo

- A contratação de serviços de backup, através de computação em nuvem, não é vedada à luz do RGPD.

- É pressuposto que os titulares dos dados estejam/sejam informados, designadamente de quais os dados tratados, como são tratados, com que finalidade, por quem e qual o prazo de conservação.

- A escolha do subcontratante deve recair sobre entidade(s) que ofereça(m) garantias suficientes, em termos de conhecimentos especializados, fiabilidade e recursos, quanto à execução de medidas técnicas e organizativas, que cumprem com os requisitos do regulamento.

- Deve ser exigido junto do subcontratante, um conjunto de garantias técnicas e organizativas de compliance com o RGPD, demonstráveis e comprovadas, nomeadamente através de código de conduta aprovado ou de procedimento de certificação aprovado.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Resolução Conselho de Ministros 41/2018, de 28 de março - Orientações técnicas para a Administração Pública, recomendando-as ao setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD.

- Parecer n.º 1/2010, de 16 de fevereiro, do Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Conceitos de «responsável pelo tratamento» e «subcontratante».

- Parecer n.º 5/2012, de 1 de julho, do Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Computação em nuvem.

- Publicação "Evaluation of Cloud Computing Services Based on NIST SP 800-145", de fevereiro 2018 - Eric Simmon - National Institute of Standards and Technology.

20190213 - Parecer n.º 4

20190315 - Parecer n.º 5

20190328 - Parecer n.º 6

20190402 - Parecer n.º 7

^{Acesso ao documento completo(Nível 3)}

Resumo

- O consentimento deve ser informado (finalidade do tratamento dos dados; identificação do responsável pelo tratamento; categorias de dados pessoais recolhidos e tratados; forma de recolha e tratamento dos dados pessoais; entidades a quem possam os dados ser comunicados; possibilidade da Transferência de dados para países terceiros, prazo de conservação dos dados; formas de exercício do direito de acesso, de retificação ou esquecimento; contacto do Encarregado de Proteção de Dados da Universidade de Coimbra) livre e esclarecido.

- O consentimento deve ser expresso de forma escrita, em linguagem clara, acessível, positiva, isenta de juízos de valor, que permita a compreensão e autonomia do titular dos dados.

- Ao titular dos dados devem ser prestados todos os esclarecimentos que este solicite.

- Deve ser dado um período de reflexão adequado.

- A informação e os esclarecimentos, quando haja intervenção de menores, deverão ser apropriados, em função da sua idade e grau de maturidade.

- A revogação do consentimento informado, esclarecido e livre pode ocorrer a qualquer momento, sem exigência de qualquer formalidade.

- Minuta p07 - Informação legal e consentimento para cedência de dados para investigação científica.

Suporte

- Carta dos Direitos Fundamentais da União Europeia (2016/C 202/02, do Jornal Oficial da EU, de 7 de junho).

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Despacho n.º 15847/2007, de 23 de julho - Realização de estudos e inquéritos nas escolas.

- Regulamento 536/2014, de 16 de abril - Ensaios clínicos de medicamentos para uso humano.

- Orientações WP 243/2017, de 5 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Encarregados da Proteção de Dados.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Orientações WP 260/2018, de 11 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Transparência na aceção do Regulamento 2016/679.

- Parecer n.º 6/2019, de 28 de março - EPD-UC.

20190410 - Parecer n.º 8

^{Acesso ao documento completo (Nível 3)}

Resumo

A contratação de serviços informáticos para tratamento de dados pessoais, através de computação na nuvem, não é vedada pelo RGPD, desde que:

- o responsável pelo tratamento recorra apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas (conhecimentos especializados, fiabilidade e recursos), que cumprem com os requisitos do regulamento e demonstram capacidade de resposta às solicitações dos cidadãos, no âmbito do acesso a documentos administrativos, através de código de conduta aprovado ou de procedimento de certificação aprovado.

- os titulares dos dados estejam devidamente informados de quem efetua o tratamento e de quais os dados tratados, como são tratados, com que finalidade e qual o prazo de conservação.

Caso o serviço seja completamente autónomo ao tratamento que vem sendo efetuado pela UC, a licitude para a recolha e tratamento dos dados depende do consentimento explícito dos titulares dos dados.

Caso o serviço não requeira quaisquer dados recolhidos e tratados pela UC, salvaguardando os dados privados dos utilizadores, é altamente recomendável obter o consentimento dos titulares dos dados depois de devidamente informados das condições do tratamento em causa.

Caso o serviço a contratar em web, com interconexão de dados, requeira a leitura e atualização de dados em ambos os sistemas, para além de ser dado conhecimento aos titulares desta subcontratação, há que garantir todas as medidas para a segurança dos dados, para a exatidão dos dados e a sua atualização permanente e consistente.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 67/1998, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Lei n.º 26/2016, de 22 de agosto - Nova LADA.

- Resolução do Conselho de Ministros n.º 41/2018, de 28 de março - Orientações técnicas para a Administração Pública, recomendando-as ao setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD.

- Despacho n.º 755/2019, de 17 de janeiro - Alteração ao Regulamento Académico da Universidade de Coimbra.

- Regulamento n.º 341/2015, de 17 de junho - Regulamento Académico da Universidade de Coimbra.

- Parecer n.º 1/2010, de 16 de fevereiro, do Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Conceitos de «responsável pelo tratamento» e «subcontratante».

- Parecer n.º 5/2012, de 1 de julho, do Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Computação em nuvem.

- Parecer n.º 6/2019, de 28 de março - EPD-UC.

20190424 - Parecer n.º 9

20190430 - Parecer n.º 10

^{Acesso ao documento completo (temporariamente indisponível).}

Resumo

- No momento da recolha dos dados (nome e email), os titulares devem ser informados da finalidade do tratamento dos dados (que deve incluir a eventual participação em estudos científicos de carácter curricular), da identificação do responsável pelo tratamento dos dados, as categorias de dados pessoais recolhidos e tratados, a forma de recolha e tratamento dos dados pessoais, as entidades a quem possam os dados ser comunicados, sobre a possibilidade da transferência de dados para países terceiros, o prazo de conservação dos dados, as formas de exercício do direito de acesso, de retificação ou esquecimento e o contacto do Encarregado de Proteção de Dados da Universidade de Coimbra.

- Esta cedência de dados, deve ser comunicada ao EPD UC e aplica-se exclusivamente à comunidade académica da UC, para teses que confiram graus académicos, ficando o docente orientador solidariamente responsabilizado por eventuais incumprimentos, quando estes resultarem inequivocamente da sua ação.

- O processo de recolha e tratamento de dados subsequente para efeitos da investigação, deve iniciar-se com a obtenção do consentimento dos titulares dos dados e ser leal, lícito, transparente e respeitador das normas de minimização de dados e os direitos individuais.

- Concluído o trabalho académico, os dados cedidos devem ser destruídos.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 67/1998, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Lei 62/2007, de 10 de outubro - Regime Jurídico das Instituições de Ensino Superior.

- Decreto-Lei n.º 65/2018, de 16 de agosto - Regime jurídico dos graus académicos e diplomas do ensino superior.

- Parecer n.º 6/2019, de 28 de março - EPD-UC.

- Parecer n.º 7/2019, de 2 de abril - EPD-UC.

- Recomendação/2018, de 9 de novembro - EPD-UC

20190530 - Parecer n.º 11

20190612 - Parecer n.º 12

20190614 - Parecer n.º 13

20190619 - Parecer n.º 14

20190626 - Parecer n.º 15

20190702 - Parecer n.º 16

^{Acesso ao documento completo(Nível 3)}

Resumo

A contratação de serviços informáticos para tratamento de dados pessoais não é vedada à luz do RGPD, desde que o responsável pelo tratamento recorra apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas à salvaguarda dos direitos e liberdades dos titulares, sendo necessário que:

- Exista uma correta identificação do subcontratante e que se impeça ou controle contratualmente o tratamento em cadeia que envolva múltiplos subcontratantes.

- Os dados pessoais sejam tratados em locais geográficos do Espaço Económico Europeu (EEE).

- Os dados pessoais não sejam transferidos para países terceiros fora do EEE.

- Os titulares dos dados, quando estudantes da UC, sejam previamente informados de quem efetua o tratamento, quais os dados tratados, como são tratados, com que finalidade e qual o prazo de conservação, de acordo com a minuta anexa - minuta p16.

- Seja obtido consentimento escrito, sempre que os titulares dos dados não sejam alunos da UC.

Caso o serviço a contratar implique uma interconexão de dados com os sistemas atuais (Nónio) para os dados dos alunos da UC, para além de ser dado conhecimento aos titulares desta subcontratação, há que garantir medidas de segurança para que os dados apresentem exatidão e atualização permanentes.

O subcontratante deve também demonstrar a capacidade de garantir resposta às solicitações dos cidadãos, no âmbito do acesso a documentos administrativos, e demonstrar garantias técnicas e organizativas de compliance com o RGPD.

O contrato, deverá incluir, também, todos os aspetos relevantes para efeito de proteção de dados.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 67/1998, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Resolução do Conselho de Ministros n.º 41/2018, de 28 de março - Orientações técnicas para a Administração Pública, recomendando-as ao setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD.

- Regulamento 423/2009, de 27 de outubro - Regulamento da Administração da Universidade de Coimbra.

- Regulamento n.º 341/2015, de 17 de junho, alterado pelo Despacho n.º 755/2019, de 17 de janeiro - Regulamento Académico da Universidade de Coimbra.

- Parecer n.º 6/2019, de 28 de março - EPD-UC.

- Parecer n.º 8/2019, de 10 de abril - EPD-UC.

20190731 - Parecer n.º 17

20191009 - Parecer n.º 18

20191015 - Parecer n.º 19

20191203 - Parecer n.º 20

20200102 - Parecer n.º 21

^{Acesso ao documento completo(Nível 3)}

Resumo

Uma criança que tenha completado os 13 anos de idade, está apta a consentir o uso dos seus dados pessoais, unicamente para as condições previstas no art.º 8.º do RGPD (“Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação”) .

O responsável pelo tratamento de dados pessoais de titulares com idades compreendidas entre os 13 e os 18 anos, independentemente de abrangidos ou não pelo disposto no artigo 8.º do RGPD, deve:

- Sensibilizar e recolher o consentimento do titular, como medida de “participação gradual das crianças na proteção dos seus dados pessoais” e assim aumentar a consciencialização das crianças sobre os riscos, as consequências, e a salvaguarda dos direitos de proteção.

- Comprovar a idade dos titulares.

- Evitar recolha excessiva de dados pessoais.

- Utilizar linguagem clara e simples.

- Conhecer os diferentes direitos nacionais, em caso de serviços transfronteiriços.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Decreto Lei n.º 47344/1966, de 25 de novembro - Código Civil, versão consolidada.

- Diretiva 98/48/CE do Parlamento Europeu e do Conselho, de 20 de Julho -Altera a Directiva 98/34/CE relativa a um procedimento de informação no domínio das normas e regulamentações técnicas.

- Diretiva 2000/31/CE do Parlamento Europeu e do Conselho, de 8 de junho -Aspetos legais dos serviços da sociedade de informação, em especial do comércio eletrónico, no mercado interno.

- Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho, de 9 de setembro - Procedimento de informação no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação (codificação).

- Parecer n.º 2/2009, de 11 de fevereiro - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - A protecção dos dados pessoais das crianças (Orientações gerais e a situação especial das escolas).

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Acórdão do Tribunal de Justiça/2010, de 2 de dezembro, Processo n.º C-108/09.

- Acórdão do Tribunal de Justiça da União Europeia/2017, de 20 de dezembro, Processo n.º C-434/15.

20200217 - Parecer n.º 22

20200224 - Parecer n.º 23

^{Acesso ao documento completo (Nível 3)}

Resumo

- Se o tratamento de imagens se destina a fins jornalísticos, deve-se respeitar o acesso e exercício da profissão de jornalista.

- Se a finalidade de tratamento de imagens é a liberdade de expressão académica, só deve haver uso de imagens se estas não assumirem o “tratamento de categorias especiais de dados pessoais” e se forem tratadas de boa fé, de forma robusta, sustentada, enfatizada, civilizada e respeitadora.

- Se os fins do tratamento das imagens são de arquivo de interesse público, investigação científica ou histórica, ou para fins estatísticos, são aplicáveis as garantias e derrogações previstas no artigo 89.º do RGPD, complementado com o disposto no artigo 31.º da Nova Lei de Proteção de Dados.

- No caso de registo de imagem de grupos, quem recolhe as imagens deve comunicar antecipadamente essa intenção, preferencialmente por escrito, em sinalética informativa, visível, à entrada dos espaços sujeitos a captação de imagens.

- Noutros casos, a utilização de imagens deve ser precedida de consentimento válido dos titulares.

- Em qualquer caso, a intenção de utilização de imagens em páginas de internet ou de redes sociais deve ser comunicada previamente e de forma inequívoca aos titulares dos dados, aquando da sua recolha.

- O responsável pelo tratamento deve manter registos de todas as atividades de tratamento para garantir que a finalidade original para a qual a imagem foi obtida, é respeitada.

- As imagens podem estar sujeitas a direitos de autor e/ou direitos comerciais, para os quais é necessário obter a autorização de publicação ou reprodução.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 1/1999, de 13 de janeiro - Estatuto do Jornalista.

- Decreto Lei n.º 47344/1966, de 25 de novembro - Código Civil, versão consolidada.

- Acórdão n.º 1581/2011, de 7 de junho - Supremo Tribunal de Justiça.

- Conselho da Europa, Dossiê interinstitucional: 2012/0011 (COD), Bruxelas, 11 de junho de 2015 (9565/15).

- Publicação A Preliminary Opinion on data protection and scientific research, European Data Protection Supervisor, de 6 de janeiro de 2020.

- Parecer n.º 12/2019, de 12 de junho - EPD-UC.

- Parecer n.º 18/2019, de 9 de outubro - EPD-UC.

- Parecer n.º 20/2019, de 3 de dezembro - EPD-UC.

- Parecer n.º 21/2020, de 2 de janeiro - EPD-UC.

20200327 - Parecer n.º 24

^{Acesso ao documento completo (Nível 3)}

Resumo

As autorizações de videovigilância emitidas antes de 25 de maio continuam válidas, em tudo o que não contrarie o disposto no RGPD e na Lei 58/2019 (artigo 19.º) e desde que os responsáveis pelo tratamento cumpram as condições estabelecidas nas respetivas autorizações.

A instalação de sistemas de videovigilância deve respeitar os seguintes requisitos:

- A finalidade é limitada à proteção de pessoas e bens.

- No caso de sistemas com gravação, obrigatoriamente codificadas, o período de conservação das imagens é de 30 dias, findo o qual deverão ser destruídas, no prazo máximo de 24 horas.

- O acesso às imagens é restrito a pessoas em razão das suas funções, que devem guardar sigilo, sob pena de procedimento criminal.

- É proibida a cópia das gravações.

- É proibida a recolha de som, exceto nos termos previstos no artigo 19.º da Lei Nacional, sujeito a autorização pela CNPD.

- O sistema deve permitir o acesso direto às imagens em tempo real, pelas forças e serviços de segurança, para efeitos de ações de prevenção ou de investigação criminal, lavrando auto fundamentado da ocorrência.

- É obrigatório um sistema de alarmística que permita alertar as forças e serviços de segurança territorialmente competentes em caso de iminente perturbação, risco ou ameaça à segurança de pessoas e bens que justifique a sua intervenção.

- O sistema deve registar os acessos, incluindo a identificação de quem a eles acede, e apresentar garantias de inviolabilidade dos dados relativos à data e hora da recolha.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 7/2009, de 12 de fevereiro - Código do Trabalho.

- Lei nº 34/2013, de 16 de maio - Regime do exercício da atividade de segurança privada.

- Lei n.º 46/2019, de 8 de julho - Altera regime do exercício da atividade segurança privada e da autoproteção.

- Portaria n.º 273/2013, de 20 de agosto - Regula a lei nº 34/2013.

- Parecer n.º 95/2003, de 6 de novembro - PGR - Direito à imagem, a informar, à recolha de imagem e à intimidade da vida privada.

- Parecer n.º 10/2017, de 28 de julho - PGR - A Videovigilância - Atividade Policial ou de Segurança (Investigação Criminal).

20200410 - Parecer n.º 25

^{Acesso ao documento completo (Nível 3)}

Resumo

Provas públicas no atual cenário de crise, realizadas por teleconferência:

- Deve ser publicitada a informação necessária e indispensável para que a atividade possa ser visionada com condições técnicas, de segurança e de confidencialidade.

- Eventual gravação das sessões, por qualquer dos participantes ou por terceiros, desvirtua o disposto na Lei.

- Para além do acordo entre as partes para a realização da prova, é expressamente proibido o tratamento de dados, ao nível da gravação do som e/ou de imagem, exceto se houver consentimento expresso de todos os membros do referido ato público.

Outras provas de avaliação no atual estado de crise pandémica por teleconferência:

- Compete ao responsável pelo tratamento identificar a base de licitude para o tratamento entre uma das previstas no artigo 6.º do RGPD.

-Muitos dos tratamentos de dados efetuados pela UC encontram fundamentação em Lei habilitante (al. c) do artigo 6.º), como sejam os tratamentos de dados dos processos dos estudantes e dos processos dos colaboradores.

- Situações em que o docente venha a necessitar de auxiliares de avaliação (ou seja, da absoluta imprescindibilidade de garantir a sua veracidade) que consistam na gravação de imagens e/ou sons do próprio estudante, o visionamento ou a audição das mesmas só pode incidir sobre as tarefas/atividades desempenhadas, ficando a sua utilização interdita para outro fim.

- Caso se verifique a necessidade expressa no ponto anterior, é lícito proceder ao referido tratamento de dados pessoais até que seja possível retomar as condições habituais da prática letiva.

-Noutras situações, a gravação de imagem e/ou som do estudante, só pode ocorrer caso tenha sido obtido o seu consentimento prévio;

- Os titulares dos dados (os estudantes) devem ser informados em tudo o que está previsto no artigo 13.º do RGPD.

Registo de tratamento e destruição de dados pessoais:

- O responsável pelo tratamento (RT) deve manter registos de todas as atividades de tratamento.

- O RT deve considerar as recomendações da CNPD no que diz respeito às soluções tecnológicas e assegurar que, após concluído o processo de avaliação, todos os registos de imagens e/ou sons são de imediato e irreversivelmente destruídos.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Lei n.º 48/1995, de 15 de março - Código Penal.

- Lei n.º 34/2013 de 16 de maio, na redação dada pela Lei n.º 46/2019 de 8 de julho - Regula a atividade de segurança privada.

- Lei n.º 102/2019, de 6 de setembro - Acolhe as disposições da Convenção do Conselho da Europa contra o Tráfico de Órgãos Humanos, alterando o Código Penal e o Código de Processo Penal.

- Lei n.º 1-A/2020, de 19 de março - Medidas excecionais e temporárias de resposta à situação epidemiológica provocada pelo coronavírus SARS-CoV-2 e da doença COVID-19.

- Lei n.º 4-A/2020, de 6 de abril - Procede à primeira alteração à Lei n.º 1-A/2020.

- Decreto Lei n.º 47344/1966, de 25 de novembro - Código Civil, versão consolidada.

- Decreto-Lei n.º 74/2006, de 24 de março - Regime jurídico dos graus e diplomas do ensino superior.

- Decreto-Lei n.º 65/2018, de 16 de agosto - Regime jurídico dos graus e diplomas do ensino superior - Republicação do Decreto-Lei n.o 74/2006, de 24 de março.

- Decreto-Lei n.º 133/2019, de 3 de setembro - Aprova o regime jurídico do ensino superior ministrado a distância.

- Decreto-Lei n.º 10-A/2020, de 13 de março - Estabelece medidas excecionais e temporárias relativas à situação epidemiológica do novo Coronavírus — COVID 19.

- Decreto do Presidente da República n.o 14-A/2020 de 18 de março - Declara o estado de emergência, com fundamento na verificação de uma situação de calamidade pública.

- Decreto da Presidência do Conselho de Ministros, n.º 2-A/2020, de 20 de março - Procede à execução da declaração do estado de emergência efetuada pelo Decreto do Presidente da República n.o 14-A/2020, de 18 de março.

- Decreto do Presidente da República n.º 17-A/2020, de 2 de abril - Renova a declaração de estado de emergência, com fundamento na verificação de uma situação de calamidade pública.

- Decreto do Presidente da República n.º 2-B/2020, de 2 de abril - Regulamenta a prorrogação do estado de emergência decretado pelo Presidente da República.

- Resolucão da Assembleia da República n.º 22-A/2020, de 2 de abril - Autorizacão da renovacão do estado de emergência.

- Nota Esclarecimento Gabinete do Ministro da Ciência, Tecnologia e Ensino Superior, de 20 de março 2020 - Funcionamento de órgãos colegiais e realização de provas públicas por vídeo conferencia e utilização de meios eletrónicos.

- Acórdão n.º 607/2003, de 5 de dezembro - Tribunal Constitucional - Garantias de processo criminal.

- Acórdão n.º 1581/2011, de 7 de junho - Supremo Tribunal de Justiça.

- Despacho n.º 19/2019, de 7 de fevereiro - Aprova o calendário com os períodos letivos e de avaliação para o ano letivo de 2019/2020 na Universidade de Coimbra.

- Despacho Reitoral n.º 55/2020, de 2 de abril - Suspensão da atividade letiva presencial e a transição dos regimes de avaliação para meios digitais.

- Parecer n.º 1/2010, de 16 de fevereiro - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados.

- Parecer n.º 6/2014, de 9 de abril - Grupo de Trabalho do Artigo 29.º para a Proteção de Dados - Conceito de interesses legítimos do responsável pelo tratamento dos dados na aceção do artigo 7.º da Diretiva 95/46/CE.

- Orientações da CNPD/2020, de 8 de abril - Utilização de tecnologias de suporte ao ensino à distância.

ATUALIZAÇÃO

- Decreto-Lei n.º 14-G/2020, de 13 de abril - Aprova conjunto de medidas de modo a assegurar a continuidade do ano letivo 2019/2020.

- Resolução do Conselho de Ministros n.º 33-A/2020, de 30 de abril - Declara a situação de calamidade, no âmbito da pandemia da doença COVID-19.

- Gabinete do Ministro da Ciência, Tecnologia e Ensino Superior, de 30 de abril de 2020 - Recomendação às instituições científicas e de ensino superior relativamente à cessação do estado de emergência motivado pela pandemia COVID-19.

- Plano da Universidade de Coimbra, de 30 de abril de 2020 - Levantamento progressivo das medidas de contenção motivadas pela pandemia COVID-19.

- Decreto-Lei n.º 20-H/2020, de 14 de maio - Estabelece medidas excecionais de organização e funcionamento das atividades educativas e formativas, no âmbito da pandemia da doença COVID-19.

- Gabinete do Ministro da Ciência, Tecnologia e Ensino Superior, de 15 de maio de 2020 - Recomendação às instituições científicas e de ensino superior para garantir o processo de reativação faseada e responsável das atividades na presença de estudantes, docentes e investigadores.

- Orientações da CNPD/2020, de 25 de maio - Avaliação à distância nos estabelecimentos de ensino superior.

20200707 - Parecer n.º 26

20200710 - Parecer n.º 27

20200724 - Parecer n.º 28

20200826 - Parecer n.º 29

^{Acesso ao documento completo (Nível 3)}

Resumo

- O tratamento de dados pessoais para efeitos de avaliação de desempenho, não é sujeito a consentimento, dado que a licitude do tratamento decorre de obrigação legal.

- Ainda que não haja lugar a consentimento, o responsável pelo tratamento de dados pessoais deve garantir que junto dos titulares foram prestadas todas as informações referidas no ponto 8* dos fundamentos.

*Apesar de incorporar muitos dos princípios, direitos e obrigações que constavam da legislação anterior, um dos novos propósitos inscrito no RGPD, é o de transferir para o titular o controlo sobre os seus dados pessoais. Esta é uma das razões que obriga o responsável pelo tratamento a facultar ao titular dos dados um conjunto de informações transparentes, sobre as atividades de processamento, bem como sobre os direitos do titular, a forma do seu exercício e, particularmente, quando aplicável, quem são os terceiros a quem vão ser comunicados os seus dados e com que finalidades.

- Qualquer titular dos dados tem acesso, a todo o tempo, aos seus próprios dados pessoais.

- As atas das reuniões do Conselho Coordenador da Avaliação (CCA) relativas às suas competências, inscritas nas alíneas a), b) e c) do art.º 58.º/1 da Lei nº 66-B/2007, não estão cobertas pela regra do sigilo.

- As atas das reuniões do CCA relativas à validação e apreciação de trabalhadores, bem como as atas das reuniões da Comissão Paritária (CP), decorrentes de pedidos e/ou reclamações, elaboradas no exercício das respetivas competências, estão sujeitas à confidencialidade.

- Os documentos da avaliação (atas, relatórios, pareceres, etc.) que possuem dados pessoais de pessoas físicas, identificadas ou identificáveis, são documentos nominativos pelo que o acesso e consulta não é de acesso livre, mas condicionado.

- A regra da confidencialidade não é absoluta, estando condicionada ao princípio da transparência, podendo haver situações em que cede perante valores mais fortes em presença, mesmo que o requerente não possua autorização escrita de todos os titulares de dados visados (avaliados), desde que para o efeito demonstre, fundamentadamente, “um interesse direto, pessoal, legítimo e constitucionalmente protegido” e “suficientemente relevante” para justificar o acesso.

- O direito de acesso a documentos de natureza nominativa, deve ser ponderado por diversos elementos, designadamente pela fundamentação sustentada pelo requerente, pela relevância dos documentos solicitados e das consequências na esfera do requerente, bem como a presença de dados de natureza especial nos documentos solicitados.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Lei n.º 46/2007, de 24 de agosto - LADA.

- Lei n.º 66-B/2007, de 28 de dezembro - SIADAP - versão consolidada.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Acórdão do Supremo Tribunal da Justiça, de 5 de junho de 2012, Processo n.º 127/11.3YFLB.

- Acórdão do Tribunal Central Administrativo Norte, de 19 de abril de 2018, Porcesso n.º 2620/17.5BEBRG.

- Deliberação n.º 494/2019 - CNPD - Desaplicação de artigos da Lei n.º 58/2019, de 8 de agosto.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobra a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Pareceres n.º^s 70/2009, 346/2018, 404/2018, 48/2019, 181/2019, 318/2019, 319/2019, 99/2020, 148/2020 e 332/2020 - CADA.

- Parecer n.º 15/2019, de 26 de junho - EPD-UC.

- Parecer n.º 26/2020, de 7 de julho - EPD-UC.

20201027 - Parecer n.º 30

^{Acesso ao documento completo (Nível 3)}

Resumo

- O tratamento de informação pessoal/privada, guardada nas instalações e/ou arquivos digitais da UC, deve ser regulado por normativo interno, que permita a todos os intervenientes participar na sua elaboração e conhecer as regras que deverá observar no decurso da execução do trabalho em funções públicas.

- O tratamento de dados pessoais obtidos na sequência da monitorização da atividade desenvolvida pelos trabalhadores, tem de ser previamente do seu conhecimento e não pode invadir a esfera da vida privada.

- Os trabalhadores devem respeitar as regras de utilização dos instrumentos de trabalho, disponibilizados pela entidade empregadora, para fins pessoais.

- Os trabalhadores devem ser informados das finalidades do tratamento dos dados e deve permitir-se o direito de aceder aos seus dados pessoais.

- Na elaboração do regulamento deve ser auscultada a comissão de trabalhadores, ou de outras estruturas representativas dos trabalhadores, devendo ser seguida da respetiva publicitação de envio à Autoridade para as Condições do Trabalho.

- Deve-se proceder à sua publicitação junto dos interessados, pelos canais adequados, seja nos sítios de internet institucionais, seja afixando-o nos locais de trabalho, de modo que os trabalhadores possam deles tomar pleno conhecimento.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Lei n.º 7/2009, de 12 de Fevereiro - Código do Trabalho (versão aprovada pela Lei n.º 93/2019, de 4 de setembro).

- Decreto Lei n.º 47344/1966, de 25 de novembro - Código Civil.

- Decreto Lei n.º 48/95, de 15 de março - Código Penal.

- Acórdão do Supremo Tribunal de Justiça, de 5 de julho de 2007, Processo n.º 07S043.

- Acórdão do Tribunal da Relação do Porto, de 15 de dezembro de 2016, Processo nº 208/14.1TTVFR-D.P1.

- Deliberação da CNPD, de 29 de outubro de 2002 - Princípios sobre a privacidade no local de trabalho.

- Deliberação n.º 1638/2013, de 16 de julho - CNPD - Controlo da utilização para fins privados das tecnologias de informação e comunicação no contexto laboral.

- Parecer n.º2/2017, de 8 de junho - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Tratamento de dados no local de trabalho.

- Parecer n.º 15/2019, de 26 de junho - EPD-UC.

- Parecer n.º 17/2019, de 31 de julho - EPD-UC.

20201104 - Parecer n.º 31

^{Acesso ao documento completo (Nível 3)}

Resumo

- O WhatsApp não responde ao modelo administrativo e organizacional das entidades públicas, não dando as garantias que um administrado espera e exige do Estado.

- As aplicações tradicionais da UC devem ser personalizadas, adaptadas e corrigidas, para responderem às necessidades da atividade, com vantagem sobre a segurança dos dados e a privacidade dos titulares.

- Eventual opção pelo WhatsApp, deve cingir-se à utilização mínima de dados pessoais, apenas como um canal de comunicação para fins informativos ou de marketing e não como um meio de partilha de dados pessoais ou informações confidenciais.

- A UC deve sensibilizar os intervenientes para a elevada consciência ética que deve prevalecer na utilização da aplicação.

- Caso seja introduzido um widget na página web da UC, ao contrário da prática universal, este deverá ser apresentado desativado, podendo o mesmo ser ativado pelo utilizador através de um interruptor (flag).

- Deve-se adoptar um processo de opt-in (autorização do titular, para receber mensagens).

- Deve ser disponibilizada informação legal/consentimento, adaptada de uma destas minutas.

- Os utilizadores do grupo devem utilizar equipamentos seguros e assinar um acordo/compromisso de ética que abranja toda a sua interação.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 38/2007, de 16 de agosto - Regime Jurídico da Avaliação do Ensino Superior (RJAES).

- Decreto-Lei n.º 4/2015, de 07 de janeiro - Código do Procedimento Administrativo (CPA).

- Despacho n.º 827/2020, de 21 de janeiro - Regulamento da Reitoria da Universidade de Coimbra.

- Acórdão do Tribunal de Justiça (grande secção), de 5 de junho de 2018, Processo C-210/16.

- Acórdão do Tribunal Constitucional n.º 464/2019, de 21 de outubro.

- Acórdão do Tribunal de Justiça da UE, de 16 de julho de 2020, Processo C-311/18.

- Deliberação da Agência Espanhola de Proteção de Dados, P-334/19.

20210226 - Parecer n.º 32

^{Acesso ao documento completo (Nível 3)}

Resumo

- A LPDP produz efeitos a partir de 8 de agosto de 2019, pelo que, os sobrevivos só podem recorrer por esta via, se os falecimentos ocorreram após a entrada em vigor desta norma.

- É possível ao herdeiro provar que o é, mas será mais difícil demonstrar que o falecido não lhe vedou o exercício desses direitos, nem designou o acesso a terceiros. Deste modo, mediante as circunstâncias do pedido, pode a instituição solicitar ao herdeiro que este ateste não conhecer qualquer impedimento ao exercício desses direitos.

- Haverá situações em que importa defender a privacidade do titular dos dados e, nestas circunstâncias, deverá ser ponderado se o terceiro está legalmente habilitado para o acesso à informação, especialmente quando está em causa o tratamento da categoria de dados especiais. Nestes casos e noutros de categoria similar, é aconselhável solicitar ao herdeiro a fundamentação do interesse direto e pessoal legítimo, conforme aliás previsto no art.º 6.º/5 e no art.º 7.º , da LADA e na Lei n.º 12/2005 de 26 de janeiro.

- Haverá ainda situações, nomeadamente aquelas que envolvam o tratamento de dados pessoais inseridos em categorias especiais, cuja divulgação deve ser precedida de parecer da comissão de ética, de modo a garantir o princípio constitucional do direito do titular.

- Nas restantes situações, não havendo dúvidas sobre a posição do herdeiro (requerente do acesso) e não tendo a UC uma declaração de designação de outra pessoa ou a determinação da impossibilidade de acesso emitidas pelo titular falecido, deverá ser facultado o acesso ao requerente.

Pese embora o Parecer da Ordem dos Médicos de 11.02.2021, cujas conclusões divergem parcialmente das apresentadas no presente parecer, o EPD-UC mantém integralmente o seu conteúdo.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 22 de agosto - Lei de Acesso a Informação Administrativa e Ambiental.

- Lei n.º 12/2005 de 26 de janeiro - Informação genética pessoal e informação de saúde.

- Parecer nº 20/2018, de 2 de maio - CNPD.

- Parecer n.º 236/2019, de 19 de novembro - CADA.

- Parecer n.º 45/2020, de 17 de março - CADA.

- Parecer n.º 169/2020 de 15 de setembro - CADA.

- Parecer n.º 191/2020 de 15 de setembro - CADA.

20210529 - Parecer n.º 33

^{Acesso ao documento completo (Nível 3)}

Resumo

- A difusão pública e respetiva publicidade de informação relativa ao Corpo docente, regime do vínculo à instituição e regime de prestação de serviços, no contexto das relações laborais, é inevitável nos casos determinados na Lei, porque cumpre finalidades legais e funções legítimas.

- Havendo norma legal a autorizar ou a impor a afixação de informação administrativa, em nome dos princípios que regem a ação da administração pública, nomeadamente da igualdade, da imparcialidade e da boa-fé, deve-lhe ser dado cumprimento, mesmo quando aquela informação contenha dados pessoais.

- Numa lógica de compatibilização da obrigatoriedade de divulgação com os direitos dos titulares dos dados, devem estar sempre presentes os princípios da proporcionalidade e da minimização dos dados pessoais, isto é, a informação disponibilizada, deve ser na estrita medida do adequado e necessário a prosseguir o interesse legal:

A subordinação jurídica deve ser ponderada “em relação à sua função na sociedade e ser equilibrada com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade.” , i.e., pressupõe que a atuação administrativa seja adequada (eficácia), necessária (eficiência) e proporcional em sentido estrito (racionalidade) ;
O princípio da minimização dos dados imputa ao responsável pelo tratamento adequação da necessidade dos dados a recolher às finalidades do tratamento, i.e., os dados deverão ser adequados, pertinentes e limitados ao estritamente necessário ao imposto pela Lei.

- Esta divulgação pode ser efetuada em área reservada da intranet da instituição, sem acesso a terceiros, alheios à comunidade laboral.

- A informação deve ser submetida a um processo de digitalização/imagem, com a marca da UC em fundo, ou outro processo similar, que dificulte a leitura automatizada da informação.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 59/2019, de 8 de agosto - Aprova regras de prevenção, deteção, investigação ou repressão de infrações penais.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 22 de agosto - Lei de Acesso a Informação Administrativa e Ambiental.

- Lei n.º 62/2007, de 10 de Setembro - Regime jurídico das instituições de ensino superior.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Acórdão Tribunal da Relação de Coimbra, de 27 de setembro de 2007, Processo 1162/06.9TTCBR.C1.

- Parecer 7/2001, de 24 de abril - CNPD.

- Parecer da CNPD/2001, de 21 de maio - Diploma Laboral.

20210830 - Parecer n.º 34

^{Acesso ao documento completo (Nível 1)}

Resumo

Existem valores que se sobrepõem à proteção de dados pessoais:

- O direito de acesso ao documento administrativo versus as limitações no acesso ao documento administrativo;

- As limitações no acesso ao documento administrativo versus o interesse direto, pessoal, legítimo e constitucionalmente protegido; e, ainda

- A obrigatoriedade da publicitação da informação relativa a remunerações versus a reutilização de documentos administrativos.

A análise à transparência da administração pública e ao exercício do direito à privacidade, deve merecer uma adequada ponderação dos interesses e valores que se apresentem, devendo a mesma respeitar os princípios da proporcionalidade e da minimização dos dados pessoais, isto é, a informação disponibilizada, deve ser na estrita medida do adequado e necessário a prosseguir a finalidade do tratamento de dados:

- O princípio da minimização dos dados imputa ao responsável pelo tratamento adequação da necessidade dos dados a recolher às finalidades do tratamento, i.e., os dados deverão ser adequados, pertinentes e limitados ao estritamente necessário ao imposto pela Lei;

- O princípio da proporcionalidade impõe que a disponibilização da informação seja concretizada na estrita medida do adequado e necessário a prosseguir o interesse dos sindicatos. Do mesmo modo, não pode ser descurado o teor do considerando 4 do RGPD, segundo o qual o “direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade";

- A subordinação jurídica deve ser ponderada “em relação à sua função na sociedade e ser equilibrada com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade.” , i.e., pressupõe que a atuação administrativa seja adequada (eficácia), necessária (eficiência) e proporcional em sentido estrito (racionalidade) .

Deve ser feita uma separação entre a parte do pedido de informação que não contêm dados pessoais e a parte do pedido que diz respeito a informação/documentação nominativa.

A informação que não contém dados pessoais deve ser disponibilizada.

A informação que contém dados pessoais fica excluída da regra do livre acesso, nos termos do art.3º/1/b e do art.º 6.º/5 da LADA, conjugados com do art.º 4.º/1 do RGPD, devendo o Responsável pelo tratamento verificar se a sua disponibilização se enquadra no cumprimento de uma obrigação jurídica (art.º 6/1/c do RGPD), ou na prossecução de um interesse legítimo de um terceiro (art.º 6/1/f) ou, ainda, se os titulares dos dados consentiram o envio dos seus dados (art.º 6.º/1/a do RGPD).

Sem qualquer um dos pressupostos indicados, a informação só deve ser disponibilizada de modo agregada ou anonimizada, sobretudo quando a finalidade do tratamento pode ser alcançada por meios menos intrusivos ou pelo tratamento de menos dados pessoais, nomeadamente através do interesse legítimo dos Sindicatos, mas com o recurso aos dados recolhidos diretamente junto dos seus associados.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Carta dos Direitos Fundamentais da União Europeia (2016/C 202/02, do Jornal Oficial da EU de 7 de junho).

- Lei n.º 67/98, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 22 de agosto - Lei de Acesso a Informação Administrativa e Ambiental.

- Lei n.º 46/2007, de 24 de agosto - LADA.

- Lei n.º 62/2007, de 10 de Setembro - Regime jurídico das instituições de ensino superior.

- Lei n.º 105/2009, de 14 de setembro - Regulamenta e altera o Código do Trabalho.

- Lei n.º 35/2014, de 20 de junho - Lei Geral do Trabalho em Funções Públicas, na sua redação atual.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Acórdão do Pleno da Secção do Contencioso Administrativo do Supremo Tribunal Administrativo, de 7 de julho de 2011, Processo n.º 0812/10.

- Acórdão do STA, de 24 de janeiro de 2012, Processo n.º 668/11.

- Acórdão do Tribunal da Relação do Porto, de 12 de maio de 2015, Processo .º 2368/13.0T2AVR.P1.

- Acórdão do TAF Braga, de 25 de janeiro de 2019, Processo n.º 1775/18.6BEBRG.

- Acórdão do Tribunal Central Administrativo Norte, de 20 de dezembro de 2019, Processo n.º 01414/19.8BEPRT.

- Parecer n.º 212/2005, de 31 de agosto - CADA.

- Parecer n.º 67/2007, de 21 de março - CADA.

- Parecer n.º 357/2007, de 19 de dezembro - CADA.

- Parecer n.º 224/2009, de 9 de setembro - CADA.

- Parecer n.º 347/2009, de 2 de dezembro - CADA.

- Parecer 33/2021, de 29 de maio - EPD.

20211012 - Parecer n.º 35

^{Acesso ao documento completo} ^{(Nível 3)}

Resumo

A análise à transparência da administração pública, por um lado, e ao exercício do direito à privacidade, por outro, deve merecer uma adequada ponderação dos interesses e valores que se apresentem, devendo a mesma respeitar os princípios da proporcionalidade e da minimização dos dados pessoais, isto é, a informação disponibilizada deve ser na estrita medida do adequado e necessário a prosseguir a finalidade do tratamento de dados.

A subordinação jurídica deve ser ponderada “em relação à sua função na sociedade e ser equilibrada com outros direitos fundamentais, pressupondo que a atuação administrativa seja adequada (eficácia), necessária (eficiência) e proporcional em sentido estrito (racionalidade).

Quanto ao perímetro temporal da aplicação da norma, o conceito de dado pessoal manteve-se inalterado na sua génese, desde a LPDP até à nova redação dada pelo RGPD, pelo que a data de entrada em vigor deste Regulamento não pode, por si só, marcar a produção de efeitos da substituição dos contratos para ocultação dos dados pessoais em excesso. Do mesmo modo, também não parece que deva ser a Portaria n.º 85/2013 a marcar a barreira a partir da qual deve ser revista a informação constante dos contratos, uma vez que a LPDP remonta a 26 de outubro de 1998, no entanto, é esse o entendimento do IMPIC.

Importa notar que, em abono da transparência na administração pública, o que é relevante é a divulgação do contrato com a identificação do adjudicante e do adjudicatário, sendo certo que esta informação e a restante, fica salvaguardada na sua versão original, nas entidades adjudicantes.

Assim, sem ferir um dos princípios da segurança jurídica e da proteção de confiança (princípio da não retroatividade das leis), deve a UC:

- Analisar cada contrato e averiguar se se mantém a obrigatoriedade da republicação que se encontra suspensa;

- Nos casos em que se mantenha a obrigatoriedade da publicação dos contratos, deve proceder-se do seguinte modo:

^Dados	^{Aviso IMPIC}	^{Parecer EPD-UC}
^{- número de identificação fiscal, e domicílio fiscal das entidades outorgantes (em alguns casos poderá ser um prestador individual).}	^{O RGPD não abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os contactos da pessoa coletiva.}	^{- PODEM ficar visíveis.} ^{(se os dados forem de uma pessoa coletiva não são considerados dados pessoais)}
^{- nome completo dos representantes das entidades outorgantes (pessoas singulares, representantes, da adjudicante e da adjudicatária que celebra o contrato).}	^{O nome do contraente público e do cocontratante devem ser considerados como dados a manter, bem como a assinatura.}	^{- DEVE ficar visível.}
^{- domicílio profissional dos representantes.}		^{- PODE ficar visível.}
^{- números de identificação civil e domicílio pessoal dos representantes.}	^{Devem ser retirados os dados dos números de contribuinte e cartão do cidadão.}	^{- DEVEM ser rasurados/omitidos/apagados*.}
^{- nome dos gestores de contrato.}	^{Devem ser retirados os dados (...) bem como o nome do gestor de contrato e códigos de acesso à Certidão Permanente.}	^{- PODE ficar visível,} ^{dependendo de se mostrar relevância para a finalidade de transparência (art.º 96.º/1/i do CCP).}
^{- contactos (email e telefone) dos gestores e interlocutores de contrato.}		^{- PODEM ficar visíveis se os contactos forem profissionais (sejam individuais ou de serviço);} ^{- DEVEM ser rasurados/omitidos/apagados* se os contactos não forem profissionais.}
^{- assinaturas (manuais e eletrónicas)}	^{No caso de assinatura eletrónica deve ocultar outro dado pessoal que exista para além do nome (exemplo n.º do cartão do cidadão).}	^{- DEVE estar visível a assinatura do representante (um elemento essencial para a imputação do contrato à entidade pública);} ^{- DEVE ser rasurada/omitida/apagada*, no caso das assinaturas digitais certificadas, toda a informação que vá para além do nome (como o n.º do cc).}

^{*sujeitos a medidas técnicas e organizativas que forem adequadas para assegurar a proteção contra a reutilização desses dados.}

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 67/98, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Lei n.º 26/2016, de 22 de agosto - Lei de Acesso a Informação Administrativa e Ambiental.

- Decreto-Lei n.º 18/2008, de 29 de janeiro - Código dos Contratos Públicos.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Decreto-Lei nº 232/2015, de 13 de outubro - Orgânica do Instituto dos Mercados Públicos, Imobiliário e Construção.

- Portaria n.º 701-F/2008, de 29 de julho (com as alterações introduzidas pela Portaria n.º 85/2013, de 27 de fevereiro) - Regula a constituição, funcionamento e gestão do portal único da Internet dedicado aos contratos públicos (Portal dos Contratos Públicos).

- Portaria n.º 57/2018, de 26 de fevereiro (com as alterações introduzidas pela Portaria n.º 284/2019, de 2 de setembro) - Regula o funcionamento e a gestão do Portal Base.

20211029 - Parecer n.º 36

^{Acesso ao documento completo} ^{(Nível 3)}

Resumo

A proteção de dados pessoais sustentada no RGPD e noutras normas não impede que sejam adotadas medidas de combate a pandemias como a do Coronavírus SARS-CoV-2, cabendo ao Responsável pelo tratamento de dados assegurar a implementação das medidas que permitam adequar cada circunstância, à máxima proteção dos dados pessoais dos seus titulares.

O considerando 48 do Regulamento (EU) 2021/953, prevê que, “Se o certificado for utilizado para fins não médicos, os dados pessoais acedidos durante o processo de verificação não podem ser conservados”, tal como previsto no Regulamento.

O Código do Trabalho (CT) determina que o empregador não pode, para efeitos de admissão […] no emprego, exigir a candidato a emprego […] a realização ou apresentação de testes ou exames médicos, de qualquer natureza.

Também é verdade que o art.º 19.º do CT prevê exceções, desde que fundamentadas, como no caso de questões relacionadas com a saúde pública, pelo que, nestas circunstâncias, um trabalhador poderá ser apto pela medicina do trabalho para o desempenho de uma determinada atividade profissional, se estiver vacinado.

No entanto, as exceções previstas no mesmo art.º 19.º carecem de clarificação, concretamente se nessas circunstâncias específicas, uma empresa pode recusar um trabalhador que não esteja vacinado.

Embora o CT não proíba em absoluto a solicitação do ‘Certificado’, a instituição empregadora teria de disponibilizar ao trabalhador a fundamentação concreta sobre o porquê dessa exigência, inclusive invocando a inexistência de outras medidas destinadas a evitar o contágio.

Deste modo, a recusa do trabalhador em apresentar Certificado de Vacinação ou um ‘Certificado’, mesmo como substituto da apresentação de resultado negativo em comprovativo de realização de teste para despiste da infeção por SARS-CoV-19, constituirá desobediência legítima a uma ordem superior.

Realça-se que a criação do ‘Certificado’, não pode gerar situações de discriminação ou de marginalização, tanto mais que “pela lei” (de jure) não resulta a obrigação da vacinação.

Assim, enquanto a vacinação não for obrigatória ou não houver imposição legal que faça exigir tal vacinação no trabalho, não pode a Instituição substituir-se ao Estado e impô-la a todos os seus trabalhadores, de forma generalizada, para mais quando a Constituição da República Portuguesa prevê o direito ao trabalho, mas não prevê a obrigatoriedade desta vacina ou mesmo de um Plano Obrigatório de Vacinação.

Em suma, da recusa da apresentação do Certificado não pode resultar a inibição do acesso ao posto de trabalho.

Todavia, esta isenção não desobriga o trabalhador ao preconizado no n.º 1 do art.º 483.º do Código do Trabalho, “Aquele que, com dolo ou mera culpa, violar ilicitamente o direito de outrem ou qualquer disposição legal destinada a proteger interesses alheios fica obrigado a indemnizar o lesado pelos danos resultantes da violação.”

Conclui-se, então, que embora não seja legitima a exigência da apresentação do ‘Certificado’, importa reter que a prática laboral tem por base um acordo de vontades entre a entidade empregadora e o trabalhador, pelo que, com a finalidade de promover a saúde e prevenir a doença, o risco dos seus trabalhadores ou o interesse público relevante, não estando encontrada na obrigatoriedade a licitude para o tratamento de dados pessoais, pode sempre apelar-se à sua apresentação (voluntária) com base no dever moral associado à apropriação de valores humanos e às relações de convivência, no âmbito dos deveres gerais de lealdade e de cooperação em matéria de segurança e saúde no trabalho.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 7/2009, de 12 de fevereiro - Código do Trabalho (Lei Consolidada).

- Lei n.º 102/2009, de 10 de setembro - Regime Jurídico da Promoção da Segurança e Saúde no Trabalho

- Decreto-Lei nº 54-A/2021, de 25 de junho - Executa na ordem jurídica interna o Regulamento (UE) 2021/953.

- Resolução do Conselho de Ministros n.º 114-A/2021, de 20 de agosto - Declara a situação de contingência no âmbito da pandemia da doença COVID-19.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro - Estatísticas comunitárias sobre saúde pública e saúde e segurança no trabalho.

- Regulamento (CE) n.º 726/2004 do Parlamento Europeu e do Conselho, de 31 de março - Procedimentos comunitários de autorização e de fiscalização de medicamentos para uso humano e veterinário e que institui uma Agência Europeia de Medicamentos.

- Regulamento (UE) n.º 953/2021 do Parlamento Europeu e do Conselho, de 14 de junho - Regime para a emissão, verificação e aceitação de Certificado Digital COVID.

- Regulamento (UE) n.º 954/2021 do Parlamento Europeu e do Conselho, de 14 de junho - Regime para a emissão, verificação e aceitação de Certificado Digital COVID, no que respeita a nacionais de países terceiros.

- Orientações da CNPD/2020, de 23 de abril - Recolha de dados de saúde dos trabalhadores.

- Orientação n.º 007/2021, de 15 de junho - DGS - Certificado Digital COVID da EU: Emissão em Território Nacional.

- Norma n.º 004/2020, de 23 de março - Versão atualizada a 29 de outubro de 2021 - DGS - Abordagem do Doente com Suspeita ou Confirmação de COVID-19.

- Norma n.º 009/2020, de 2 de abril - Versão atualizada a 25 de janeiro de 2021 - DGS - COVID-19: Cuidados de Saúde na Área da Oncologia.

20211122 - Parecer n.º 37

^{Acesso ao documento completo (Nível 3)}

Resumo

Existe legislação nacional sobre tratamento de dados pessoais desde 1991 e a nível internacional desde 1981. Todavia, a atual perspetiva do direito fundamental à proteção dos dados pessoais nasceu em 1970, através da Lei de Land Hesse.

Pressupondo que:

· A Comissão de Ética validou os requisitos inerentes ao tratamento de dados pessoais do Projeto, eventualmente com Avaliação de Impacto sobre a Proteção de Dados;

· A questão se centra na possibilidade de reutilizar dados pessoais guardados no laboratório da FCDEFUC.

É provável que a licitude deste tratamento de dados pessoais, à luz do RGPD, seja suportada em pelo menos um dos seguintes requisitos:

i. Se os dados são anónimos, de tal modo que o seu titular já não possa ser identificado, o regulamento não lhes é aplicável;

ii. Se os dados pessoais foram pseudonimizados; ou, preferencialmente, se foram anonimizados.

iii. Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;

iv. Se a FCDEFUC obteve o consentimento dos participantes no estudo para a finalidade em causa;

v. Se foi cumprida a licitude do tratamento inicial e se o tratamento subsequente for compatível com as finalidades para as quais os dados pessoais tenham sido inicialmente recolhidos, sendo que “o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o art.º 89.º/ 1”, devendo este tratamento subsequente “ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas para a defesa dos direitos fundamentais e dos interesses do titular dos dados”. Contudo, eventual reutilização da informação para fins científicos impõe a implementação das medidas de segurança do tratamento previstas no art.º 32.º do RGPD”;

vi. Se o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;

vii. Se o tratamento for necessário para o cumprimento de uma obrigação da UC, ou de alguém que aja por ela;

viii. Se o tratamento for necessário para a defesa dos interesses vitais do titular dos dados;

ix. Se o tratamento for necessário ao exercício de funções de interesse público ou ao exercício de autoridade pública de que está investida a UC ou de quem age por ela. Todavia, ao invocar o interesse público como fundamento de licitude, terá de manifestar a sua necessidade e fazer a ponderação entre o interesse público e os interesses dos titulares dos dados pessoais.

Suporte

- Lei Constitucional n.º 1/1976, de 10 de abril - Constituição da República Portuguesa.

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Convenção 108 do Conselho da Europa, de 28 de janeiro de 1981 - Convenção para a proteção de dados das pessoas, relativamente ao tratamento automatizado de dados de carácter pessoal.

- Tratado de Funcionamento da União Europeia, de 7 de junho de 2016.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 67/1998, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Diretiva 95/46 do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Lei n.º 10/1991, de 24 de abril, Lei da Proteção de Dados Pessoais face à Informática.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Recomendação 81/679/CEE, de 29 de agosto - Relativa a uma convenção do Conselho da Europa para a proteção das pessoas relativamente ao tratamento automatizado de dados de carácter pessoal.

20211129 - Parecer n.º 38

20220111 - Parecer n.º 39

^{Acesso ao documento completo(Nível 3)}

Resumo

A avaliação de desempenho de cada investigador assume carácter reservado, é arquivada no processo individual do trabalhador e, com exceção do avaliado (titular dos dados pessoais), está sujeita ao dever de sigilo.

O acesso à documentação relativa a cada investigador, nomeadamente quando o mesmo se encontra em curso, subordina-se ao CPA, conforme prevê o art.º 1.º/4/a da ‘nova LADA’ .

Em determinadas circunstâncias e caso o processo de avaliação não esteja concluído, o acesso aos documentos administrativos pode ser diferido até à tomada de decisão, ao arquivamento do processo ou ao decurso de um ano após a sua elaboração, consoante o evento que ocorra em primeiro lugar.

Ponderadas essas opções, pode ser facultado ao investigador o seu processo de avaliação.

Quanto ao acesso a documentos administrativos nominativos por parte de terceiros, caberá ao requerente provar o interesse legítimo para a consulta dos referidos documentos, “sem prejuízo da protecção dos dados pessoais nos termos da lei” (art.º 83º/2 do CPA).

Do mesmo modo, no caso da informação não procedimental, um terceiro apenas pode aceder a documentação administrativa nominativa se suportar o pedido no mencionado art.º 6.º/5 da ‘nova LADA’.

Independentemente do tipo de informação (procedimental ou não procedimental), como os interesses não se presumem, cabe ao requerente, terceiro, o ónus de justificar o carácter legítimo do seu interesse no acesso aos dados pessoais. Ao requerido cabe o ónus de fundamentar a decisão de eventual indeferimento do pedido, nomeadamente no facto dos interesses ou dos direitos, liberdades e garantias dos restantes prevalecerem sobre o interesse legítimo do requerente no acesso a tal informação .

Em todo o caso, não pode ser descurado o preceito de que “Todos, sem necessidade de enunciar qualquer interesse, têm direito de acesso aos documentos administrativos, o qual compreende os direitos de consulta, de reprodução e de informação sobre a sua existência e conteúdo”, sendo necessário, para tal, que o documento deixe de ser classificado como administrativo nominativo, bastando que do mesmo seja subtraída (através de rasura) qualquer informação que permita identificar direta ou indiretamente os titulares dos dados.

No caso de se verificar a inexistência da documentação solicitada, deve ser informado o requerente que o requerido não possui o pretendido, conforme prevê a ´nova LADA’ no art.º 15.º/1/d.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 22 de agosto - Lei de Acesso a Informação Administrativa e Ambiental.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Decreto-Lei n.º 57/2016, de 29 de agosto - (com as alterações introduzidas pela Lei n.º 57/2017, de 19 de julho) - Regime de contratação de doutorados destinado a estimular o emprego científico e tecnológico em todas as áreas do conhecimento

- Acórdão do Tribunal Central Administrativo Sul, de 04 de maio de 2017, Processo 2937/16.6BELSB.

- Regulamento n.º 334/2018, de 30 de maio - Regulamento de recrutamento, contratação, prestação de serviço e avaliação de doutorados contratados a termo, na Universidade de Coimbra.

20220208 - Parecer n.º 40

^{Acesso ao documento completo (Nível 3)}

Resumo

Quer se trate de um tratamento de dados pessoais levado a cabo pela UC, ou um pedido de acesso a documentos administrativos nominativos dirigido à UC por uma das forças e serviços de segurança, na ausência de:

- uma demonstração fundamentada de interesse direto, pessoal e legítimo apresentada pelo requerente,

- do consentimento do titular dos dados para esse tratamento,

- da autorização do titular para a cedência dessa informação a terceiros,

- do resultado de uma relação contratual,

- de uma obrigação legal,

- da defesa dos interesses vitais do titular ou de terceiros,

a possibilidade de tratamento de dados fica limitada ao dever de colaboração entre entidades ou, ainda, "se o tratamento for necessário para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento”.

Deve ter-se especial atenção que a UC exerce a autoridade pública cometida às suas competências. A UC não pode, por sua iniciativa, alterar a finalidade do tratamento que conduziu à recolha inicial dos dados dos estudantes, com vista à satisfação da autoridade pública de outras entidades.

O interesse público deve ser avaliado, caso a caso, ponderado com o respeito pelos direitos e interesses dos cidadãos protegidos por lei, e ter sempre em consideração o princípio da especialidade que delimita a capacidade jurídica das pessoas coletivas. Deste modo, a prossecução de um interesse público da competência de outra pessoa coletiva, traduz-se num vício de incompetência.

A ‘nova LPDP’ abre uma exceção, permitindo o tratamento de dados pessoais por entidades públicas para finalidades diferentes das determinadas, mas apenas se devidamente fundamentado, visando assegurar a prossecução do interesse público que de outra forma não possa ser acautelado, devendo eventual transmissão de dados pessoais ao abrigo desta exceção "ser objeto de protocolo que estabeleça as responsabilidades de cada entidade interveniente, quer no ato de transmissão, quer em outros tratamentos a efetuar”.

Assim, em cada transferência devem:

- ser avaliadas as “eventuais consequências do tratamento posterior pretendido para os titulares dos dados”;

- ser salvaguardados os princípios da proteção de dados, como o princípio da minimização dos dados pessoais;

- ser informados os titulares dos dados da transferência e do tratamento posterior que lhes será dado.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 22 de agosto - Lei de Acesso a Informação Administrativa e Ambiental.

- Lei n.º 9/2007, de 19 de fevereiro - Lei Orgânica do Secretário-Geral do SIRP, do SIED e do SIS.

- Lei n.º 53/2007, de 31 de agosto - Lei orgânica do PSP.

- Lei n.º 62/2007, de 10 de Setembro - Regime jurídico das instituições de ensino superior.

- Lei n.º 63/2007, de 6 de novembro - Lei orgânica da GNR.

- Lei n.º 53/2008, de 29 de agosto - Lei da Segurança Interna.

- Lei n.º 137/2019, de 13 de setembro - Lei que aprova a nova estrutura organizacional da PJ.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Decreto-Lei n.º 252/2000, de 16 de outubro - Estrutura orgânica SEF.

- Despacho normativo n.º 43/2008, de 1 de setembro - Estatutos da Universidade de Coimbra.

- Acórdão do Tribunal Central Administrativo Sul, de 04 de maio de 2017, Processo 2937/16.6BELSB.

20220221 - Parecer n.º 41

^{Acesso ao documento completo (Nível 2)}

Resumo

O acesso a dados pessoais em tratamento de saúde é regido pelo princípio da necessidade de conhecer a informação. O tratamento desses dados deve ser efetuado por um profissional obrigado ao sigilo, ou por outra pessoa sujeita a dever de confidencialidade, devendo ser garantidas medidas adequadas de segurança da informação.

É necessário estender o dever de sigilo/confidencialidade, no tratamento dos dados pessoais, a todos os intervenientes no processo, sejam investigadores sujeitos a obrigação legal de sigilo profissional ou de confidencialidade, sejam técnicos dos SASUC/SSGT, sujeitos ao dever de sigilo.

Assim, o tratamento de dados pessoais no âmbito de protocolos de colaboração, pode enquadrar-se na exceção prevista no art.º 9.º/2/h, considerando que este tratamento se afigura como sendo necessário para a prestação de cuidados ou tratamentos de saúde ou de ação social.

Dependendo dos termos e objetivos previstos no protocolo:

- Deve incluir uma cláusula sobre a proteção de dados pessoais que defina a finalidade do tratamento de dados pessoais e as responsabilidades das partes, bem como a inclusão de uma alínea que preveja a obrigação destas em “garantir o cumprimento de todo o normativo legal aplicável à proteção e confidencialidade dos dados pessoais dos estudantes”.

- Sempre que haja tratamento de dados que utiliza dispositivos eletrónicos que transmitem, por redes de comunicação, dados pessoais relativos à saúde e que realiza tratamento de dados pessoais em massa, com recurso à utilização de novas tecnologias ou nova utilização de tecnologias já existentes, entende-se que, para uma opinião fundamentada dos riscos inerentes a este tratamento, o responsável pelo tratamento de dados, ou quem age pela UC como tal, deve fazer depender da utilização da aplicação, a apresentação e análise dos resultados da AIPD, cuja realização é obrigatória.

- A UC deve poder, a todo o momento, exigir e ser-lhe disponibilizado um termo de confidencialidade onde constem, entre outros, o dever de manter confidencialidade relativamente a toda a informação, bem como a quaisquer ferramentas, metodologias e instrumentos fornecidos pelos SSGST, a obrigação de não partilhar com terceiros e a devolvê-los aos SSGST ou a destruir imediatamente, após lhe ser pedido, toda a informação que lhe tenha sido fornecida pelos SSGST e a cooperar com a autoridade de controlo, a pedido desta, na prossecução das suas atribuições.

- Caso o tratamento tenha fins múltiplos e/ou os dados pessoais não forem utilizados para o estritamente necessário, poderá haver necessidade de encontrar a licitude do tratamento na obtenção do consentimento informado, esclarecido e livre.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 62/2007, de 10 de setembro - Regime jurídico das instituições de ensino superior.

- Decreto-lei n.º 47303/1966, de 7 de novembro - Institui os Serviços Sociais da Universidade de Coimbra.

- Decreto-Lei n.º 408/1971, de 27 de setembro – Lei orgânica do Ministério da Educação Nacional.

- Decreto-Lei n.º 129/1993, de 22 de abril - Estabelece os princípios da política de acção social no ensino superior.

- Portaria n.º 1027/1981, de 28 de novembro - Integra os serviços médico-sociais universitários nas respectivas universidades.

- Despacho 4707/2014, de 1 de abril - Regulamento Orgânico dos SASUC.

- Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º sobre AIPD e tratamento «suscetível de resultar num elevado risco» para o RGPD.

- Regulamento n.º 798/2018, de 30 de novembro - CNPD - Lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados.

20220331 - Parecer n.º 42

^{Acesso ao documento completo (Nível 4)}

Resumo

Para um adequado tratamento de dados biométricos para controlo de assiduidade, ou para controlo de acesso às instalações da entidade patronal, entende-se que este tratamento é legitimo, salvo melhor opinião, apenas quando os métodos adotados sejam adequados, necessários e proporcionais face aos direitos dos trabalhadores e às garantias de equilíbrio entre os interesses e os direitos em presença.

Sabendo que este tratamento de dados biométricos é suscetível de contender com a privacidade dos trabalhadores, propõe-se que o responsável pelo tratamento:

- Procure sempre o meio menos invasivo, escolhendo, sempre que possível, um método não biométrico;

- Questione as razões que o levaram a optar por um sistema de controlo biométrico, especifique o objetivo a atingir pelo sistema e avalie a proporcionalidade dos dados a incluir no sistema, utilizando apenas os dados relevantes para que a finalidade seja atingida;

- Determine se as medidas de segurança adotadas são adequadas e eficazes, os direitos a atribuir aos trabalhadores e, se a aplicação dispõe de um mecanismo próprio para o exercício desses direitos;

- Assegure que apenas são utilizadas representações dos dados biométricos e que não seja possível, através do processo de recolha, a reversibilidade dos referidos dados;

- Informe o trabalhador sobre aspetos como as finalidades do tratamento, os sistemas e meios utilizados, o prazo e a informação guardada, quem pode aceder aos dados e em que circunstâncias, como é que os dados são protegidos e, também, os direitos dos trabalhadores, neste âmbito;

- Utilize tecnologias que não envolvam qualquer violação dos direitos de personalidade dos trabalhadores;

- Garanta que a recolha de dados biométricos não tem qualquer implicação com a integridade física do trabalhador, não afetando, igualmente, o seu direito à identidade pessoal e à intimidade da vida privada;

- Assegure que a localização dos equipamentos de leitura dos dados biométricos não permitem controlar a circulação dos trabalhadores no interior das instalações;

- Conserve os dados pessoais pelo período necessário para a prossecução das finalidades do tratamento, destruindo-os no momento da transferência do trabalhador para outro local de trabalho ou da cessação do contrato de trabalho;

- Obtenha parecer prévio da Comissão de Trabalhadores da UC, dando cumprimento ao disposto no artigo 24.º dos Estatutos daquela comissão.

Relativamente às medidas técnicas, sugere-se que o responsável pelo tratamento:

- Mantenha registos de todas as atividades de tratamento, designadamente para controlo e garantia de que a finalidade original é respeitada;

- Grave / armazene os dados em modelos biométricos próprios de modo a garantir que os trabalhadores só podem ser identificados num sistema;

- Utilize um sistema que permita a anulação da ligação de identidade, quer para a renovar, quer para a apagar definitivamente;

- Garanta a cifragem e decifragem biométricas na gravação / armazenamento;

- Utilize sistemas distintos para determinar se os dados biométricos são genuínos e se os mesmos se encontram associados a um trabalhador;

- Defina uma taxa de erro de aceitação e uma taxa de erro de rejeição próxima do zero (a utilização de sistemas com deficiente grau de desempenho pode violar o princípio da exatidão e o da qualidade dos dados e podem comprometer a finalidade do tratamento e criar dificuldades acrescidas ao trabalhador, que se podem vir a refletir no exercício dos seus direitos);

- Exija garantia escrita do fabricante, de que as chaves dos algoritmos não são cedidas a terceiros, nem à própria UC, e de que os sistemas não permitem a reversão;

- Exija do seu fornecedor informação detalhada do software e das características dos equipamentos, bem como a apresentação de soluções mais seguras.

Do mesmo modo, propõe-se que o trabalhador deva conhecer:

- A identificação e os contactos do responsável pelo tratamento dos dados ou de quem age por ele;

- Os contactos do Encarregado de Proteção de Dados;

- A finalidade e licitude do tratamento;

- O prazo de conservação dos dados;

- Os seus direitos e como os exercer;

- Se existe interconexão deste sistema com o sistema de gestão de pessoal/remunerações;

- As principais medidas técnicas e organizativas de segurança implementadas.

Para colmatar possíveis riscos de ineficiência do sistema, propõe-se que o mesmo seja testado num período experimental, eventualmente com recurso a outras tecnologias complementares de dupla verificação/validação do registo, como a visualização do nome e/ou outros dados do trabalhador.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 7/2009, de 12 de fevereiro - Código do Trabalho.

- Aviso n.º 1826/2021, de 27 de janeiro - Estatutos da Comissão de Trabalhadores da UC.

- Parecer n.º 3/2012, de 27 de abril - Grupo de Trabalho do Artigo 29.º sobre a evolução das tecnologias biométricas.

- Parecer n.º 2/2017, de 8 de junho - Grupo de Trabalho do Artigo 29.º sobre tratamento de dados no local de trabalho.

- Orientações WP 136/2007, de 20 de junho - Grupo de Trabalho do Artigo 29.º sobre o conceito de dados pessoais.

- Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º sobre AIPD e tratamento «suscetível de resultar num elevado risco» para o RGPD.

- Acórdão do Tribunal Regional de Coimbra, de 3 de abril de 2014, Processo n.º 5/13.1T4AGD.C1.

- Regulamento n.º 798/2018, de 30 de novembro - CNPD - Lista de tratamentos de dados pessoais sujeitos a avaliação de impacto sobre a proteção de dados.

- Deliberação da CNPD/2004, de 26 de fevereiro - Princípios aplicáveis ao tratamento destes dados para controlo de acessos e assiduidade dos trabalhadores.

20220405 - Parecer n.º 43

^{Acesso ao documento completo (Nível 2)}

Resumo

O tratamento de dados de saúde do estudante, por parte dos SASUC, para efeitos de atribuição de estatuto NE e definição e implementação de medidas de apoio suplementar, encontra licitude nas al. b), c) e e) do 6.º/1, e respeita a condição imposta pelo 9.º/2/h, do RGPD.
O estudante preencheu os pré-requisitos para a candidatura e inscrição no curso de Medicina.
A FMUC tem como “objetivo primordial a formação graduada e pós-graduada nas áreas da saúde e das ciências biomédicas, nomeadamente através de cursos de licenciatura, mestrado e doutoramento”.
A Ordem dos Médicos concede “o título profissional e os títulos de especialização profissional”.
O estatuto de estudante com Necessidades Especiais (NE) é certificado e comunicado pelos SASUC.
O Regulamento Pedagógico da FMUC determina que os docentes devem conceder apoio pedagógico suplementar aos estudantes com NE.
O estudante pode, mediante um ato positivo claro, que indique uma manifestação de vontade livre, específica, informada e inequívoca, autorizar a partilha dos seus dados pessoais com terceiros para uma finalidade previamente definida e não generalizada; Do mesmo modo, pode autorizar os SASUC a partilhar as informações constantes do seu processo individual, relativas às suas necessidades especiais, para efeitos de informação às entidades académicas interessadas, sempre que se mostrar pertinente à adequação das mesmas ao seu desempenho académico e pedagógico e, como é lógico, com respeito pelo juízo de prognose feito pelo estudante.
A CADA, no sentido de proteger a administração aberta / transparência administrativa, tem atuado diversamente quando os pedidos de acesso se referem a informações do foro íntimo ou relativas à saúde, uma vez que as mesmas integram em pleno a reserva de intimidade constitucionalmente protegida.
A Lei n.º 58/2019, no caso em apreço, não permite a exceção à proteção dos dados de saúde determinada pelo RGPD.

A cedência de relatórios médicos aos docentes dos estudantes só será licita, quando:

for necessária à prossecução dos fins para que foram recolhidos, isto é, se enquadre na articulação prevista no art.º 13.º/5/c, do Regulamento Orgânico dos SASUC, sempre no pressuposto de que a cedência beneficia a adequação do apoio pedagógico, promove a equidade e a não discriminação.
for precedida de consentimento explicito, livre, específico, informado e inequívoco do titular dos dados, para esta finalidade específica.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 22 de agosto (com as alterações introduzidas pela Lei n.º 68/2021, de 26 de agosto) - Lei de Acesso a Informação Administrativa e Ambiental.

- Diretiva 95/46 do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Lei n.º 117/2015, de 31 de agosto - Estatutos da Ordem dos Médicos.

- Despacho n.º 4707/2014, de 1 de abril - Altera e republica o Regulamento Orgânico dos SASUC.

- Despacho n.º 4722/2018, de 14 de maio - Altera e republica o Regulamento de Direitos Especiais dos Estudantes da Universidade de Coimbra.

- Deliberação n.º 379/2022, de 25 de março, da Comissão Nacional de Acesso ao Ensino Superior.

- Regulamento n.º 247/2017, de 11 de maio - Estatutos da FMUC.

- Parecer nº 20/2018, de 2 de maio - CNPD.

20220421 - Parecer n.º 44

^{Acesso ao documento completo (Nível 3)}

Resumo

O tratamento de dados pessoais para efeitos de avaliação de desempenho decorre de obrigação legal.
Sem o consentimento dos titulares dos dados pessoais, a cedência de dados de SIADAP não tem enquadramento no art.º 6.º do RGPD, não obstante o direito à proteção de dados pessoais não ser absoluto, devendo ser considerado em relação à função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade.
Os SASUC não recolhem informações com a finalidade de as disponibilizar à ST-SASUC (princípio da limitação das finalidades).
Os procedimentos relativos ao SIADAP 3 têm carácter confidencial, sem prejuízo dos casos tipificados na lei, em que a publicitação é obrigatória:
- As informações relativas às competências referem-se a funções orientadoras do procedimento de avaliação, dirigidas aos avaliadores, pelo que não estão cobertas pela regra do sigilo.
- A informação relativa à validação, apreciação e avaliação de trabalhadores estão sujeitas à confidencialidade, enquanto documentos nominativos de consulta condicionada.
Os Estatutos da CT-UC referem que o direito à informação recai sobre o dirigente máximo da UC e abrange designadamente, a gestão dos recursos humanos, sendo o espírito do legislador a “Gestão dos recursos humanos, em função dos mapas de pessoal”.
O caráter dissuasivo das sanções financeiramente muito expressivas, previstas no RGPD, recomenda uma abordagem balanceada entre os riscos para os titulares dos dados e as obrigações a que o responsável pelo tratamento está vinculado.
A regra da confidencialidade não é absoluta, uma vez que o SIADAP 3 subordina-se ao disposto no CPA e à ‘nova LADA’, ou seja, o direito de acesso a informação nominativa está condicionado ao princípio da transparência da administração pública, podendo ser concedido o acesso a terceiros desde que demonstrem, fundamentadamente, “um interesse direto, pessoal, legítimo e constitucionalmente protegido” e “suficientemente relevante” para justificar esse acesso.
Entende-se por interesse legítimo, um interesse específico atendível, que deverá ser avaliado casuisticamente dentro de critérios de razoabilidade, em função da relação existente entre o requerente e o objeto a esclarecer, a fundamentação sustentada pelo requerente na relevância da informação solicitada e das consequências na esfera do requerente.

Assim, entende-se que:

O direito à informação, não tem carácter absoluto, reporta-se aos instrumentos de gestão, tais como planos, orçamentos, relatórios e prestação de contas, projetos de reorganização, aprovisionamento, financiamento, regulamentos internos e gestão de recursos humanos, riscos para a segurança e saúde, instruções a adotar em caso de perigo e medidas de primeiros socorros.
Contrariamente à referência feita pela ST-SAUSC, não fica demonstrada, numa clara obrigação jurídica, que a UC tenha de ceder a informação requerida.
A requerente não expõe as atribuições e poderes que lhe tenham sido delegados pela CT-UC.
A finalidade do acesso à informação apresentada pela ST-SASUC, pode ser facilmente alcançada através da recolha direta junto dos interessados.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Lei n.º 66-B/2007, de 28 de dezembro - SIADAP - versão consolidada.

- Lei n.º 7/2009, de 12 de Fevereiro - Código do Trabalho (versão aprovada pela Lei n.º 93/2019, de 4 de setembro).

- Lei n.º 35/2014, de 20 de junho - Lei Geral do Trabalho em Funções Públicas, na sua redação atual.

- Decreto-Lei n.º 480/1999, de 9 de novembro - Código do Processo de Trabalho.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobra a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Deliberação n.º 494/2019 - CNPD - Desaplicação de artigos da Lei n.º 58/2019, de 8 de agosto.

- Acórdão do Pleno da Secção do Contencioso Administrativo do Supremo T. Adm, de 7 de julho de 2011, Processo n.º 0812/10.

- Acórdão do Tribunal da Relação de Lisboa, de 6 de fevereiro de 2013, Processo n.º 2463/10.7TTLSB.L1-4.

- Acórdão do Tribunal Central Administrativo Norte, de 20 de dezembro de 2019, Processo n.º 01414/19.8BEPRT.

- Aviso n.º 1826/2021, de 27 de janeiro - Estatutos da CT da UC.

- Parecer n.º 99/2020 - CADA.

20220527 - Parecer n.º 45

^{Acesso ao documento completo (Nível 2)}

Resumo

Apesar do contexto de desequilíbrio de ‘poder’ entre empregador e trabalhador, podem existir tratamentos de dados pessoais baseados no consentimento, quando for do interesse do próprio trabalhador, ou quando o ato de dar ou recusar o consentimento não produza quaisquer consequências negativas para o titular dos dados.
Basear a licitude do tratamento de dados em análise no contexto de um contrato não é exequível para todos os titulares de dados envolvidos, designadamente para aqueles, relativamente aos quais não existe qualquer vínculo contratual com a UC.
Considerando que a missão legalmente atribuída às instituições de ensino superior, no programa científico e tecnológico nacional, em atividades que vão desde a investigação e desenvolvimento tecnológico até à prestação de serviços, conclui-se que os apoios à indústria, certificação, normalização, peritagens, regulamentação e outras atividades, cabem nos conceitos de interesse público e de autoridade pública.
A fundamentação da licitude do tratamento no art.º 6.º/1/e requer evidências de que os fins da investigação são do interesse público, como parece ser o caso dos projetos revistos por painéis de avaliação e financiados por agências públicas, ou quando está em causa a execução de um contrato em que o titular dos dados é contrainteressado, como nos casos em que a acreditação dos ciclos de estudos conducentes ao grau de doutor se faz depender da existência de ambientes de investigação e dos resultados da avaliação das unidades de I&D.
É razoavelmente previsível, na relação entre o titular dos dados (trabalhador) e o responsável pelo tratamento de dados, que os dados recolhidos para efeitos de celebração de contrato de trabalho ou de bolseiro de investigação, por exemplo, sejam utilizados para a finalidade que se anuncia neste parecer.
É desnecessário outro fundamento jurídico para a recolha inicial dos dados pessoais, uma vez que a UC está investida da atribuição de investigação científica e é uma das suas missões primordiais (interesse público/autoridade pública), para as quais o tratamento posterior poderá ser considerado compatível e lícito.
Devem ser adotadas as seguintes medidas:
- Reforço da divulgação da informação legal a todos os trabalhadores nos termos recomendados no Parecer do EPD-UC 15-R1.
- Atualização da Política de Privacidade da UC.
- Informação aos trabalhadores incluídos sobre aspetos que poderão desconhecer, nomeadamente sobre quais os dados pessoais transferidos para entidades terceiras e eventual tratamento posterior que lhe venha a ser dado.
- Celebração de um contrato de confidencialidade entre parceiros de candidatura.
- Obtenção prévia de consentimento informado para tratamento de dados pessoais de candidatos sem vínculo contratual com a UC.
- Os dados transferidos para fundações ou outras entidades privadas, sempre que possível, devem ser previamente sujeitos a um processo de pseudonimização ou de anonimização.
- A UC pode efetuar tratamento de categorias especiais de dados, através de consentimento informado, ou ainda no exercício da sua autoridade, desde que consiga atestar que os dados pessoais tenham sido manifestamente tornados públicos pelo seu titular.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Carta dos Direitos Fundamentais da União Europeia (2016/C 202/02, do Jornal Oficial da EU de 7 de junho).

- Tratado de Funcionamento da União Europeia, de 7 de junho de 2016.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei 62/2007, de 10 de outubro - Regime Jurídico das Instituições do Ensino Superior.

- Lei n.º 7/2009, de 12 de Fevereiro - Código do Trabalho (versão aprovada pela Lei n.º 93/2019, de 4 de setembro).

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código do Procedimento Administrativo.

- Decreto-Lei n.º 65/2018,de 16 de agosto - Altera o regime jurídico dos graus e diplomas do ensino superior.

- Decreto-Lei n.º 63/2019, de 16 de maio - Regime jurídico das instituições que se dedicam à investigação científica e desenvolvimento.

- Decreto-Lei n.º 126-B/2021, de 31 de dezembro - Regime jurídico dos centros de tecnologia e inovação e complementa o regime jurídico dos laboratórios colaborativos.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobra a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Acórdão do Supremo Tribunal Administrativo, de 14 de setembro de 1994, Apêndice de 1997-02-07.

- Parecer do Conselho Consultivo da Procuradoria Geral da República, de 22 de outubro de 2001, P000022001.

20220630 - Parecer n.º 46

^{Acesso ao documento completo (Nível 4)}

Resumo

Só estão isentos de consentimento informado por parte dos visitantes do site da UC, os cookies:
- essenciais, para a duração de uma sessão ou persistentes de personalização, quando à sua duração;
- de autenticação, para a duração de uma sessão, utilizados para prestar serviços autenticados;
- de segurança, para uma duração limitada ou persistente, centrados no utilizador e utilizados para detetar abusos de autenticação;
- criados por um leitor multimédia, para a duração de uma sessão;
- criados para equilibrar a carga durante uma sessão;
- cookies de terceiros para partilha de conteúdos entre os membros ligados a uma rede social.
Nos restantes casos, a utilização de cookies só é lícita se o utilizador tiver dado o seu consentimento explícito para uma, ou mais, finalidades específicas.
A existência de consentimento não legitima a recolha de dados que não seja necessária para a finalidade específica do tratamento.
A UC é responsável por todos os cookies que sejam colocados no equipamento terminal do utilizador e tem, por isso, a obrigação de assegurar que são cumpridas todas as exigências legais, designadamente a informação aos utilizadores e a obtenção do seu consentimento quando tal se impõe.
A UC deve ainda fazer prevalecer o “direito de oposição”, bem como prestar informação sobre a duração de funcionamento do cookie e a possibilidade de terceiros terem acesso, ou não, à informação constante nesse cookie.
A UC, enquanto responsável pelos seus sítios Web, só deve utilizar cookies quando estes respeitam a norma vigente.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 41/2004, de 18 de agosto - Relativa à “Proteção de dados pessoais e privacidade nas telecomunicações”, com a nova redação dada pela Lei n.º 46/2012, de 30 de Agosto,

- Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho - Relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas, com redação que lhe foi dada pela Diretiva 2009/136/CE.

- Orientações WP 171 (Parecer n.º 2/2010), de 22 de junho - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Publicidade comportamental em linha.

- Orientações WP 188 (Parecer n.º 16/2011), de 8 de dezembro - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Recomendação da EASA/IAB relativa às melhores práticas em matéria de publicidade comportamental em linha.

- Orientações WP 194 (Parecer n.º 4/2012), de 7 de junho - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Isenção de consentimento para a utilização de testemunhos de conexão.

- Orientações WP 259/2018, de 10 de abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Consentimento na aceção do Regulamento (UE) 2016/679.

- Acórdão do Tribunal de Justiça (Grande Secção) 1 de outubro de 2019, ECLI:EU:C:2019:801.

- Procedimiento N.º PS/00300/2019, de 1 de outubro – Resolucíon R/00499/2019, AEPD.

20220729 - Parecer n.º 47

^{Acesso ao documento completo}^{(Nível 4)}

Resumo

Os documentos de identificação contêm dados pessoais, nomeadamente o número de identificação civil e o número do CC.

O tratamento de dados pessoais neste âmbito deve circunscrever-se ao estritamente necessário, devendo ser evitada qualquer recolha acessória de dados (designadamente componentes do número do CC desnecessárias).

A retenção, conservação ou reprodução do CC, para efeitos de verificação de identidade, apenas é lícita nas seguintes condições:

nos casos expressamente previstos na lei;
mediante decisão de autoridade judiciária; ou
com o consentimento do titular.

Neste último caso, o consentimento tem de ser livre, como tal tem de ser disponibilizada uma alternativa ao titular para que este possa comprovar a sua identidade.

Se estiver legalmente determinada a sua cópia, o titular do CC poderá ocultar os dados pessoais que não sejam relevantes para o fim em causa, evitando assim a sua disseminação e reduzindo o risco de utilização indevida.

O organismo com competência sancionatória, por violação da Lei n.º 7/2007, é o Instituto dos Registos e do Notariado (IRN), ao qual poderá apresentar queixa. A competência da CNPD é mais genérica e diz respeito ao tratamento de dados pessoais, resultante da reprodução do CC, e não quanto ao incumprimento da Lei 7/2007.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 5/1995, de 21 de fevereiro - Estabelece a obrigatoriedade do porte de documento de identificação.

- Lei n.º 7/2007, de 5 de fevereiro - Cria o Cartão de Cidadão e rege a sua emissão, renovação, utilização e cancelamento, na redação dada pela Lei n.º 61/2021, de 19 de agosto.

- Lei n.º 7/2009, de 12 de fevereiro - Código do Trabalho.

- Lei n.º 83/2017, de 18 de agosto - Estabelece medidas de combate ao branqueamento de capitais e ao financiamento do terrorismo.

- Decreto n.º 4837/1918, de 20 de setembro - Regula o Arquivo de Identificação.

- Decreto-Lei n.º 78/1987, de 17 de fevereiro - Código do Processo Penal, na versão consolidada de 21 de dezembro de 2021.

- Decreto-Lei n.º 135/1999, de 22 de abril - Define os princípios gerais de acção a obedecer na Administração Pública em actuação face ao cidadão e reune as normas vigentes no contexto da modernização administrativa.

- Decreto-Lei n.º 28/2019, de 15 de fevereiro - Procede à regulamentação das obrigações relativas ao processamento de faturas e outros documentos fiscalmente relevantes bem como das obrigações de conservação de livros, registos e respetivos documentos de suporte que recaem sobre os sujeitos passivos de IVA.

- Portaria n.º 286/2017, de 28 de setembro - Define modelos do Cartão de Cidadão, elementos de segurança física, medidas concretas de inclusão de cidadão com necessidades especiais e requisitos técnicos de sergurança.

- Portaria n.º 287/2017, de 28 de setembro - Regulamenta os mecanismos técnicos de acesso e leitura dos dados constantes de circuito integrado, o cancelamento via eletrónica e o prazo geral de validade do cartão de cidadão, o funcionamento do Portal do Cidadão, o montante devido pelo IRN à AMA, e as regras de conservação do ficheiro com o código PUK do cartão de cidadão.

20230116 - Parecer n.º 48

^{Acesso ao documento completo (nível 2)}

Resumo

O tratamento de dados em causa poderá ser enquadrado pelo Responsável de tratamento de dados, numa das licitudes apresentadas e previstas no RGPD.

Atendendo às vantagens na utilização de uma ferramenta segura, fiável, perene e transversal a vários dos seus Serviços/Unidades, o seu desenvolvimento deve ser efetuado de acordo com as competências atribuídas ao SGRH e ao SGSSIC, ou a outros Serviços da UC com idênticas competências que lhes venham a ser cometidas.

Atendendo ao nível de criticidade (média/alta) do tratamento de dados pessoais e ao preconizado no art.º 56 da Lei n.º 59/2019, de 8 de agosto, a decisão de autorização solicitada, deve ser suportada numa AIPD, que deverá ser apresentada pelo Responsável pelo Tratamento de Dados Pessoais ou pelo Subcontratante, com foco na licitude de tratamento invocada e na finalidade de cada um dos identificadores solicitados/reutilizados, na descrição sistemática das operações de tratamento previstas, na avaliação da necessidade e de proporcionalidade das operações de tratamento em relação aos objetivos, na avaliação dos riscos para os direitos e liberdades dos titulares dos dados, na indicação das estratégias para a mitigação dos riscos e nas vulnerabilidades do tratamento.

Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 67/1998, de 26 de outubro - Lei da Proteção de Dados Pessoais.

- Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 59/2019, de 8 de agosto - Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais.

- Lei n.º 26/2016, de 22 de agosto (com as alterações introduzidas pela Lei n.º 68/2021, de 26 de agosto) - Lei de Acesso a Informação Administrativa e Ambiental.

- Diretiva (EU) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril - Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados.

- Diretiva (UE) 2019/1024, do Parlamento Europeu e do Conselho, de 20 de junho - Relativa aos dados abertos e à reutilização de informações do setor público.

- Orientações WP 248/2017, de 4 de abril - Grupo de Trabalho do Artigo 29.º sobre AIPD e tratamento «suscetível de resultar num elevado risco» para o RGPD.

- Regulamento n.º 798/2018, de 30 de novembro - Torna público o Regulamento n.º 1/2018 - Tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados.

- Despacho normativo n.º 43/2008, de 1 de setembro - Estatutos da Universidade de Coimbra.

- Despacho n.º 5.915/2019, de 27 de junho - Cria o Projeto Especial UC-Business.

- Despacho n.º 772/2020, de 20 de janeiro - Reforço das competências e composição da equipa do UC-Business.

- Despacho n.º 10.510/2020, de 28 de outubro - Alteração ao Regulamento da Administração da Universidade de Coimbra.

- Parecer n.º 54/2018, de 15 de novembro - CNPD.

- Parecer n.º 63/2021, de 18 de maio - CNPD.

20230310 - Parecer n.º 49

^{Acesso ao documento completo (nível 3)}

Resumo

Existe a garantia constitucional do direito à igualdade de oportunidade de acesso e êxito escolar. Este desígnio não está suficientemente acompanhado por legislação própria, lacuna que deve ser colmatada pela UC.
A UC prevê que, em determinadas situações, os estudantes com NE possam recorrer à gravação de áudio da aula.
O tratamento de dados, direta ou indiretamente associados a uma pessoa singular, quando sujeitos a determinadas técnicas e medidas organizativas, pode gerar uma real intrusão na sua privacidade.
A gravação pode colocar em causa o direito à proteção dos dados pessoais dos intervenientes em sala.
Estamos perante um conflito entre o direito de os estudantes com NE poderem efetuar a gravação áudio das suas aulas e o direito das pessoas singulares, docentes ou estudantes, a oporem-se às gravações.

Mesmo que em análise casuística não possa ser comprimido o direito à proteção dos dados, noutros casos, ou na maioria dos casos, deverá imperar a razoabilidade e a ponderação, em detrimento da imposição ou proibição, tanto mais que a possível gravação é já acompanhada por uma medida específica que salvaguarda os direitos fundamentais e os interesses dos titulares dos dados envolvidos na gravação.

Cabe ao docente, em ambiente de sala de aula, avaliar se há ou não impedimento para a gravação, nomeadamente através de oposição forte e fundamentada na violação clara de direitos fundamentais.

Quando ficar demonstrada essa oposição, o docente poderá sobrepor o direito à proteção de dados, desde que garanta alternativa à gravação, através de meios técnicos concretos colocados à disposição do estudante com NE, que igualizem as vantagens oferecidas pela gravação da aula.

^Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Convenção sobre os Direitos das Pessoas com Deficiência, 30 de março de 2007.

- Lei n.º 38/2004, de 18 de agosto - Define as bases gerais do regime jurídico da prevenção, habilitação, reabilitação e participação da pessoa com deficiência.

- Decreto-Lei n.º 129/2017, de 9 de outubro - Institui o programa Modelo de Apoio à Vida Independente.

- Decreto-Lei n.º 54/2018, de 6 de julho - Estabelece o regime jurídico da educação inclusiva.

- Regulamento n.º 805-A/2020, de 24 de setembro - Regulamento Académico da Universidade de Coimbra.

20230410 - Parecer n.º 50

^{Acesso ao documento completo}^{(nível 3)}

Resumo

Os dados pessoais dos estudantes da UC, registados em pautas e atas:

têm como finalidade a avaliação de competências e conhecimentos, parciais ou totais, de cada ou da totalidade das unidades curriculares;
podem-se inserir nas categorias especiais, na medida em que permitem aferir aptidões intelectuais;
mesmo que expurgada dos elementos identificativos como o nome e número de estudante, em determinadas circunstâncias é passível de identificar o titular, pelo que ainda é informação pessoal;
a sua utilização, enquanto elemento pedagógico, constitui uma nova finalidade, devendo, por isso, encontrar licitude numa das prorrogativas do art.º 6.º/1, do RGPD.

Não sendo assim, a utilização dos dados pessoais das pautas e atas para atividades pedagógicas viola o princípio da limitação das finalidades, que expressamente prevê essa impossibilidade (os dados ”não podem ser tratados posteriormente de uma forma incompatível com essas finalidades”) e, também, o princípio da minimização dos dados (“os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios”).

Como tal, desaconselha-se, em absoluto, a utilização de pautas e atas para qualquer exercício académico, devendo encontrar-se alternativas de dados que não correspondam a casos reais.

^Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 59/2019, de 8 de agosto - Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais.

- Lei n.º 26/2016, de 22 de agosto (com as alterações introduzidas pela Lei n.º 68/2021, de 26 de agosto) - Lei de Acesso a Informação Administrativa e Ambiental.

- Regulamento 223/2009, do Parlamento Europeu e do Conselho, de 11 de março - Relativo às Estatísticas Europeias.

- Diretiva (UE) 2019/1024, do Parlamento Europeu e do Conselho, de 20 de junho - Relativa aos dados abertos e à reutilização de informações do setor público.

- Lei n.º 22/2008, de 13 de maio - Lei do Sistema Estatístico Nacional.

- Lei n.º 68/2021, de 26 de agosto - Aprova os princípios gerais em matéria de dados abertos, relativa aos dados abertos e à reutilização de informação do setor público, alterando a Lei n.º 26/2016, de 22 de agosto.

- Regulamento n.º 805-A/2020, de 24 de setembro - Regulamento Académico da Universidade de Coimbra.

- Despacho normativo n.º 43/2008, de 1 de setembro - Estatutos da Universidade de Coimbra.

- Parecer n.º 63/2021, de 18 de maio - CNPD.

- Orientação n.º 8/2020, de 8 de abril - CNPD.

- Parecer n.º 12/2019, de 12 de junho - EPD-UC.

- Parecer n.º 18/2019, de 9 de outubro - EPD-UC.

- Parecer n.º 20/2019, de 3 de dezembro - EPD-UC.

20230830 - Parecer n.º 51

Acesso ao documento completo (nível 3)

Resumo

Deve ser dado especial relevo ao respeito pelos princípios da limitação da finalidade e da minimização dos dados pessoais.

O destinatário sujeito passivo de IVA é identificado na fatura através do NIF, firma ou denominação social e a sua sede.

Quatro regras relativas à identificação na fatura, quando o destinatário não seja sujeito passivo de IVA:

Se não se usar a despesa para efeitos de IRS, não é obrigado identificar-se;
O NIF é obrigatório para efeitos de benefício fiscal em IRS em despesas de restauração e hotelaria, cabeleireiros e estéticas e reparação automóvel;
No comprovativo das despesas sujeitas a dedução em sede de IRS (consultas, farmácia, educação) tem de constar a "identificação" do beneficiário (nome ou NIF), tendo esta de constar na fatura original, i.e., não podem ser posteriormente inseridos manualmente.
O nome, a morada e o NIF são obrigatórios para faturas com valor igual ou superior a 1.000€.

Caso não o preveja, o software Odoo deve ser parametrizado de modo a ficar alinhado com os preceitos fiscais e as várias tipologias de elementos de identificação dos destinatários ou adquirentes, para que o tratamento de dados pessoais cumpra, na plenitude, os princípios enunciados.

^Suporte

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Lei n.º 82-E/2014, de 31 de dezembro - Altera o Código do IRS (Decreto-Lei n.º 442-A/88, de 30 de Novembro).

- Decreto-Lei n.º 198/90, de 19 de junho e Decreto-Lei n.º 197/2012, de 24 de agosto - Alteram o Código do IVA (Decreto-Lei n.º 394-B/84, de 26 de Dezembro).

- Decreto-Lei n.º 28/2019, de 15 de fevereiro - Regulamentação das obrigações relativas ao processamento de faturas e outros documentos fiscalmente relevantes.

20230911 - Parecer n.º 52

Acesso ao documento completo (nível 2)

Resumo

Relativamente à possibilidade de recolher e utilizar a fotografia dos Guias Intérpretes a operar nos edifícios e outros espaços sob gestão da UC, para efeitos de controlo de acessos através do cartão de identificação, o EPD-UC concluiu o seguinte:

Se o tratamento das imagens não as tornar abrangidas pela definição de dados biométricos (i.e., serem processadas por meios técnicos específicos que permitam a identificação inequívoca ou a autenticação de uma pessoa singular), o tratamento é lícito se o responsável demonstrar que tal é necessário para efeito dos seus interesses legítimos, e que estes prevalecem sobre os interesses ou direitos e liberdades fundamentais do titular dos dados (art.º 6/1/f do RGPD).
Se o tratamento das imagens as tornar abrangidas pela definição de dados biométricos e o titular dos dados for trabalhador da UC, o tratamento é lícito desde que apenas se utilizem representações dos dados biométricos e que o respetivo processo de recolha não permita a reversibilidade dos referidos dados (art.º 28.º/6 da Lei 58/2019 e art.º 9/2/b do RGPD).
Se o tratamento das imagens as tornar abrangidas pela definição de dados biométricos e o titular dos dados for cliente/utente da UC, o tratamento só é licito se for obtido previamente o consentimento do titular, nos termos legais (art.º 9/2/a e considerando 32 do RGPD). Neste caso, e de acordo com a CNPD, “deve haver forma alternativa de acesso às instalações para os clientes/utentes que não consentirem na recolha dos seus dados biométricos".

Em qualquer circunstância, devem ser implementadas medidas técnicas e organizativas que possam comprovar o cumprimento do RGPD, bem como mitigar o risco de impacto indesejável sobre o titular, designadamente:

Aplicar os princípios da proporcionalidade e da subsidiariedade, independentemente do fundamento jurídico aplicável;
Dar especiais garantias de transparência, como por exemplo fornecer ao titular informações complementares em relação ao que está especificamente previsto nos artigos 13.º e 14.º do RGPD, incluindo os aspetos relativos à tecnologia de monotorização;
Garantir que os dados são tratados para determinadas finalidades legítimas, proporcionais e necessárias, ao mesmo tempo que os dados são adequados, pertinentes e não excessivos;
Implementar outras medidas técnicas e organizativas para assegurar que os dados não possam ser utilizados para tomar decisões ou outras medidas em relação às pessoas («separação funcional»);
Optar por tecnologias que reforcem a proteção da privacidade;
Incluir hologramas ou marcas d'água nas fotografias, para evitar duplicações não autorizadas;
Permitir o exercício dos direitos dos titulares dos dados;
Manter os dados exatos, e não os conservar mais tempo do que o necessário; e
Tomar todas as medidas necessárias para proteger os dados contra o acesso não autorizado e garantir que todos os trabalhadores do NUTUC tenham conhecimento suficiente das implicações deste tratamento.

^Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 48/1995, de 15 de março - Código Penal.

- Decreto-Lei n.º 47344/1966, de 25 de novembro (versão atual) - Código Civil.

- Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Acórdão 1581/07.3TVLSB.L1.S1 do Supremo Tribunal de Justiça.

- Orientações WP 217 (Parecer n.º 6/2014), de 8 e abril - Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Sobre o conceito de interesses legítimos do responsável pelo tratamento dos dados na aceção do artigo 7.º da Diretiva 95/46/CE.

20231020 - Parecer n.º 53

Acesso ao documento completo(Nível 3)

Resumo

A divulgação de atas, como no caso concreto das reuniões do Conselho Científico, foi aborada neste Parecer sob dois prismas: o primeiro relativamente ao conteúdo da ata e, o segundo, relativamente à divulgação desse mesmo conteúdo.

Quanto à informação (pessoal) constante da ata:

- O identificador nome (completo ou incompleto), isoladamente ou associado a outro identificador como a Faculdade, pode permitir a identificação inequívoca de uma pessoa singular (titular dos dados);

- Os nomes constantes na ata do CC resultam do exercício de funções materialmente administrativas e, em alguns casos, no exercício de poderes públicos, na sua maioria, se não todos, estão publicamente divulgados por obrigação legal e pelos próprios titulares no âmbito do exercício das suas funções públicas e até privadas;

- A associação de um ‘titular de dados’ a um procedimento, no que diz respeito ao nível de intrusão na sua privacidade e o consequente balanceamento entre a transparência administrativa e a proteção de dados, depende da matéria associada ao procedimento e, também, de eventual informação qualitativa que possa ter servido para a tomada de decisão, como a apreciação ou juízo de valor, ou a informação abrangida pela reserva da intimidade da vida privada, onde se inclui, o tratamento de categorias especiais de dados pessoais;

- De modo a desonerar o referido balanceamento e as forças em conflito, impõe-se que as atas se limitem a transpor os elementos mínimos (princípio da minimização), relevantes, substanciais e estritamente necessários à apreciação da legalidade da deliberação que gera ato jurídico imputável à pessoa coletiva, de modo que dela se possam retirar certidões indispensáveis para a tutela contenciosa entre particulares;

- Sempre que se mostre imprescindível a inclusão na ata dos referidos elementos qualitativos, estes devem ser classificados como confidenciais e, como tal, sob acesso reservado aos diretamente interessados no procedimento, sem prejuízo de numa fase posterior o acesso poder ser requerido como determina a ‘nova LADA’, num regime restritivo de acesso a documentos nominativos, onde se pressupõe sempre uma ponderação casuística face ao que são as exigências da transparência da atuação administrativa.

Quanto à publicitação da ata:

- Embora a publicitação aberta da ata do CC abone a favor da transparência administrativa, esta vontade não corresponde a obrigação legal;

- O exercício da transparência administrativa não constituí um valor absoluto quando colide com o direito à proteção de dados pessoais, pelo que a publicitação deve ser objeto de adequada harmonização, no pressuposto de qua a atuação administrativa é adequada (eficácia), necessária (eficiência) e proporcional em sentido estrito (racionalidade);

- Sem prejuízo de outras formas de acesso à ata, a publicitação da mesma deve servir, preferencialmente, os diretamente interessados no procedimento administrativo, cabendo ao próprio CC a definição do limite deste acesso dentro da comunidade em questão, cumprindo-se assim o princípio da minimização dos dados pessoais e, mais genericamente, o princípio da proporcionalidade.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição de Republica Portuguesa.

- Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Lei_n.º 7/2009, de 12 de fevereiro - Código do Trabalho (Lei Consolidada).

- Lei n.º 35/2014, de 20 de junho - Lei do Trabalho em Funções Públicas (Lei Consolidada).

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código Procedimento Administrativo.

- Parecer n.º 7/2001, de 24 de abril - CNPD - Afixação de mapas do quadro de pessoal,contendo informações de cariz particular.

- Parecer da CNPD/2001, de 21 de maio - Diploma laboral – Publicitação de mapas de pessoal viola privacidade do trabalhador.

- Acórdão Tribunal Relação Coimbra, de 27 de setembro 2007, Processo 1162/06.9TTCBR.C1.

- Acórdão do Pleno da Secção do Contencioso Administrativo do Supremo Tribunal Admnistrativo, de 7 de julho de 2011, Processo 0812/10.

- Acórdão do Tribunal Central Administrativo do Norte, de 22 de dezembro de 2019, Processso 01414/19.8BEPRT.

- Acórdão do Tribunal Central Administrativo do Norte, de 25 de janeiro de 2019, Processo 01775/18.6BEBRG.

- Parecer n.º 15/2019, de 26 de junho - EPD-UC.

- Parecer nº 26/2020, de 07 de julho - EPD-UC.

20231207 - Parecer n.º 54

Acesso ao documento completo(Nível 3)

Resumo

A gravação de chamadas telefónicas, realizadas no âmbito de uma relação contratual ou da monitorização da qualidade do serviço da UC, envolve o tratamento de dados pessoais, mas a lei não a impede, desde que o titular tenha sido disso informado e tenha dado o seu consentimento prévio, livre, inequívoco, expresso e informado.

Antes de efetuar a chamada, a UC deverá apresentar alternativa ao titular dos dados, como seja a não gravação da chamada, ou outra forma de atendimento opcional (presencial ou por email).

Relativamente aos trabalhadores, a UC deve salvaguardar a possibilidade de gravação de chamadas no contrato de trabalho, bem como as condições decorrentes desse tratamento, e que os dados obtidos nessas gravações não são, em situação alguma, utlizados para efeitos de avaliação de desempenho profissional do trabalhador.

As condições do tratamento de dados associado à gravação de chamadas telefónicas devem constar da política de privacidade da UC, nomeadamente as finalidades, o prazo de conservação, os direitos do titular e forma de os exercer, as entidades terceiras a quem os dados possam eventualmente ser comunicados, a identificação e o contacto do responsável pelo tratamento e do EPD.

No início da cada chamada, o interveniente da UC deverá informar o titular dos dados sobre a gravação, bem como o local onde pode obter a informação indicada no ponto anterior e alternativa à gravação.

A gravação de chamadas deve ser precedida de parecer da Comissão de Trabalhadores da UC.

A UC deve, ainda, efetuar uma Avaliação de Impacto sobre a Proteção de Dados, nos termos do art.º 35.º do RGPD, identificando aí a adoção de medidas de segurança e de procedimentos que possam mitigar os riscos para o titular dos dados, associados à gravação de chamadas em que intervém.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição de Republica Portuguesa.

- Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 35/2014, de 20 de junho - Lei do Trabalho em Funções Públicas (Lei Consolidada).

- Lei n.º 7/2009, de 12 de fevereiro - Código do Trabalho (Lei Consolidada).

- Lei n.º 41/2004, de 18 de agosto - Tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas.

- Deliberação 1039/2017, de 27 de julho - CNPD.

- Deliberação 629/2010, de 13 de setembro - CNPD - Princípios aplicáveis ao tratamento de dados de gravação de chamadas.

- Acórdão Tribunal Europeu dos Direitos do Homem, de 5 de setembro 2017, Processo 61496/08 - Caso Barbulescu vs Roménia.

- Acórdão do Supremo Tribunal Admnistrativo, de 21 de março de 2019, Proc. 02/12.4BCPRT 0220/17.

20240212 - Parecer n.º 55

20240614 - Parecer n.º 56

^{Acesso ao documento completo(Nível 3)}

Resumo

No Parecer n.º 56, o Encarregado de Proteção de Dados da Universidade de Coimbra (EPD-UC) aprofunda e atualiza a análise ao tema da informação privada e do whatsapp, apresentada nos seus Pareceres n.º 30 e 31, de 2020, numa perspetiva de garantia da sua confidencialidade, que se resume na resposta às seguintes questões:

Uma conta de correio eletrónica que identifica um serviço / evento / projeto é um dado pessoal? Não.
Uma conta de correio eletrónico individual é um dado pessoal? Em regra, sim, exceto os que nomeiam cargos ou organizações.
O correio eletrónico é um dado pessoal? Só se o mesmo apresentar elementos que possam identificar uma pessoa singular.
Um terceiro, no âmbito do acesso a informação administrativa, pode aceder ao conteúdo de uma mensagem de correio eletrónico de serviço? Pode, nos casos previstos no ponto B e C (“nova LADA” e CPA) dos fundamentos deste parecer.
Um terceiro, no âmbito do acesso a informação administrativa, pode aceder ao conteúdo de uma mensagem de correio eletrónico individual? Não, exceto se o mesmo representou cargos ou organizações, no cumprimento de uma obrigação jurídica ou no seguimento de instrução legal emitida por autoridade judicial.
A UC, por sua iniciativa e autonomamente, através de um dos seus serviços de tecnologia de informação e comunicação, pode aceder ao conteúdo de uma mensagem de correio eletrónico individual? Não, exceto no cumprimento de uma obrigação jurídica ou instrução legal emitida por autoridade judicial.
A UC pode aceder ao conteúdo de uma mensagem de correio eletrónico de serviço? Sim.
O remetente e destinatário de uma mensagem de correio eletrónico é obrigado ao dever de sigilo / confidencialidade do conteúdo integral da mensagem? O dever de confidencialidade, em termos genéricos, a toda a mensagem, aplica-se em casos em que há um reforço na lei, por exemplo, nas comunicações com o EPD-UC, ou, nomeadamente, quando a mensagem esteja sujeita a interdição de acesso ou a acesso sob autorização; esteja sujeita à obediência de um requisito legal; seja intenção de ser conhecida apenas por um número restrito de pessoas; tenha de respeitar a informação de natureza comercial, financeira ou operacional específica do seu titular; esteja qualificada como confidencial no âmbito da contratação pública; ou, cuja divulgação a terceiros seja suscetível de causar um prejuízo sério ao respetivo titular/terceiros, sobretudo quando esses prejuízos possam ser dificilmente reversíveis a bens ou interesses patrimoniais de terceiros que sejam superiores aos bens e interesses protegidos pelo direito de acesso à informação administrativa.
O remetente e destinatário de uma mensagem de correio eletrónico é obrigado ao dever de sigilo / confidencialidade sobre escritos mencionados com carácter confidencial ou que se refiram à intimidade da vida privada e familiar? Sim, e, esse dever está associado a um direito que pode ser exercido sob dois sub-direitos: o direito de impedir o acesso de estranhos a essa informação e o direito de que ninguém divulgue as informações que tenha sobre a vida privada e familiar de outrem.
O aviso de confidencialidade, através de template genérico (excessivamente amplo), obriga à confidencialidade da mensagem? Não. Não obriga necessariamente à confidencialidade da mensagem. Apesar de ser uma prática comum em muitas comunicações, a sua eficácia legal pode variar dependendo do contexto.
Pode um trabalhador da UC, no âmbito da sua atividade profissional, servido por correio eletrónico e através de template genérico (excessivamente amplo), obrigar o remetente ao dever de confidencialidade de todas as mensagens por si trocadas? Não. Não pode existir a proibição absoluta de revelação da mensagem, mas, antes, a proibição de revelação da mensagem quando aí sejam revelados factos sujeitos a factos sigilosos, informações sensíveis ou pessoais. A questão essencial é, portanto, a de apurar se os factos constantes das comunicações em apreciação estão ou não sujeitos a tal obrigação.
Pode um trabalhador da UC, no âmbito da sua atividade profissional de docência, servido por correio eletrónico e, através de template genérico (excessivamente amplo), obrigar o remetente, discente, ao dever de confidencialidade de todas as mensagens por si trocadas? A comunicação entre docente e discente é fundamental para o sucesso do processo de ensino-aprendizagem e, em geral, os e-mails trocados entre os mesmos não são considerados confidenciais, a menos que contenham dados pessoais, factos sigilosos ou informações sensíveis. Neste sentido, desaconselha-se a utilização do template com aviso genérico.
Pode um aviso de confidencialidade contido em template genérico (excessivamente amplo) de uma mensagem de correio eletrónico, de um trabalhador da UC, ser conflituante com a liberdade académica? Contexto, Finalidade, Transparência e Comunicação: O aviso deve ser contextualizado pelo autor e ter uma finalidade clara, por exemplo, para proteção de uma informação específica e sensível, pelo que é desaconselhável a utilização do template com aviso genérico, gerador de confusão ou de mal-entendidos. Ainda assim, mesmo nos casos em que está devidamente enquadrado, não deve ser usado para evitar ou limitar a responsabilidade, ou para ocultar informação relevante. A Liberdade Académica é um princípio fundamental no contexto educacional, considerando que a mesma garante aos membros da academia, a plena autonomia para expressar as suas opiniões, questionar, criticar e explorar ideias, mesmo que sejam controversas ou desafiadoras, conduzir investigação e participar de debates sem receio de represálias. Nesta perspetiva, a liberdade académica também protege o processo ensino-aprendizagem, sem interferência indevida. O aviso Genérico de Confidencialidade incluído em muitos e-mails, alertando os destinatários de que o conteúdo é confidencial e de que não pode ser partilhado sem autorização, nem sempre tem força legal. Conflitos Potenciais: Podem ocorrer situações em que um docente ou um discente desejem discutir questões sensíveis ou controversas por e-mail, mas o aviso de confidencialidade cria hesitação e, assim, ver-se ferida a liberdade académica. Assim, é importante considerar o contexto específico e equilibrar a necessidade de proteger informação confidencial com o direito à liberdade académica.
O destinatário de uma mensagem de correio eletrónico com conteúdo não confidencial pode fazer uso indiscriminado da mensagem? Pode, desde que o uso da informação não contrarie a expetativa do seu autor.
Podem, as redes sociais, ser utilizadas como meio de comunicação institucional? As redes sociais não respondem ao modelo administrativo e organizacional das entidades públicas, não dando as garantias que um administrado espera e exige do Estado.
A UC, por sua iniciativa, pode aceder ao conteúdo de uma mensagem trocada num grupo, ou individualmente, através de uma rede social? Não, exceto quando uma conta de serviço faz parte da comunicação / grupo ou ainda no cumprimento de uma obrigação jurídica ou instrução legal emitida por autoridade judicial.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código Procedimento Administrativo.

- Lei_n.º 7/2009, de 12 de fevereiro - Código do Trabalho (Lei Consolidada).

- Decreto-Lei n.º 78/1987, de 17 de fevereiro - Código do Processo Penal, na redação atualizada.

- Decreto-Lei n.º 47344/1966, de 25 de novembro (versão atual) - Código Civil.

- Acórdão do Pleno da Secção do Contencioso Administrativo do Supremo Tribunal Admnistrativo, de 7 de julho de 2011, Processo 0812/10.

- Acórdão do Tribunal Central Administrativo do Norte, de 25 de janeiro de 2019, Processo 01775/18.6BEBRG.

- Acórdão do Supremo Tribunal de Justiça, de 5 de julho de 2007, Processo n.º 07S043.

- Deliberação n.º 1638/2013, de 16 de julho - CNPD - Tratamentos de dados pessoais decorrentes do controlo da utilização para fins privados das tecnologias de informação e comunicações no contexto laboral.

- Parecer n.º 31/2020, de 4 de novembro - Utilização de WhatsApp para comunicação com diplomados no âmbito da avaliação do trajeto da empregabilidade.

- Parecer n.º 30/2020, de 27 de janeiro - Tratamento de informação pessoal/privada, guardada nas instalações e/ou arquivos digitais da UC.

20240726 - Parecer n.º 57

^{Acesso ao documento completo (Nível 2)}

Resumo

No Parecer n.º 57, o Encarregado de Proteção de Dados da Universidade de Coimbra (EPD-UC) analisa o assunto e conclui o seguite:

Não estando a UC impedida de reutilizar a informação pública disponibilizada pela DGEEC e pelo OECD (em base dinâmica, atualizável e relativa a todas as IES), certo é que essa responsabilidade é da DGEEC e da DGES.

Ademais, embora a sugestão de publicação, total ou parcial, da informação pública em referência possa contribuir para a transparência administrativa, esta não garante o princípio da exatidão previsto no RGPD, que exige tratamento de dados exatos e medidas adequadas que permitam apagar ou retificar, sem demora, quaisquer dados inexatos, uma vez que cabe à DGEEC/DGES essa responsabilidade e a dados.gov a obrigação de facilitar e garantir a publicitação e a possibilidade de pesquisa dos dados abertos, em conformidade com o regime de acesso à informação administrativa e ambiental (nova ‘LADA’).

Além do mais, a eventual publicação da “lista de contratos”, teria de ser devidamente fundamentada de forma a não colocar em causa o princípio da limitação das finalidades, igualmente previsto no RGPD, segundo o qual ‘os dados são recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades’.

Deste modo, o EPD-UC recomenda que a UC passe a reforçar a visibilidade de dados.gov.pt, o catálogo central de open data em Portugal, gerido pela Agência para a Modernização Administrativa, IP (AMA), a quem compete agregar, referenciar e alojar dados abertos de diferentes organismos e sectores da Administração Pública.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro - Relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Decreto-Lei n.º 4/2015, de 7 de janeiro - Código Procedimento Administrativo.

- Lei n.º 68/2021, de 26 de agosto - Aprova os princípios gerais em matéria de dados abertos e transpõe para a ordem jurídica interna a Diretiva (UE) 2019/1024 do Parlamento Europeu e do Conselho, relativa aos dados abertos e à reutilização de informação do setor público, alterando a Lei n.º 26/2016.

- Decreto-Lei nº 15/96, de 6 de março - Determina a obrigatoriedade da divulgação pública, anual, da composição do corpo docente dos estabelecimentos de ensino superior público, particular e cooperativo, bem como da Universidade Católica Portuguesa.

- Decreto-Lei n.º 135/99, de 22 de abril - Princípios gerais de acção a que devem obedecer os serviços e organismos da Administração Pública na sua actuação face ao cidadão.

- Decreto-Lei n.º 122/2000, de 04 de julho - Transpõe para a ordem jurídica interna a Directiva n.º 96/9/CE, do Parlamento Europeu e do Conselho, relativa à protecção jurídica das bases de dados.

- Decreto-Lei n.º 156/2019, de 22 de outubro - Regula a criação e manutenção de um sistema de recolha, registo e análise de dados sobre ciência e tecnologia.

- Diretiva n.º 2019/1024 do Parlamento Europeu e do Conselho, de 20 de junho - Relativa aos dados abertos e à reutilização de informação do setor público, alterando a Lei n.º 26/2016.

- Acórdão do Tribunal Central Administrativo do Norte, de 22 de dezembro de 2019, Processso 01414/19.8BEPRT.

20241204 - Parecer n.º 58

^{Acesso ao documento completo (Nível 2)}

Resumo

No Parecer n.º 58, o Encarregado de Proteção de Dados da Universidade de Coimbra (EPD-UC) analisa o tema da partilha de dados, nomeadamente quando estes incluem dados pessoais, entre estruturas da UC, tendo concluido o seguinte:

É necessário compatibilizar as competências e os deveres de articulação e de cooperação, por parte das Unidades/Serviços da UC, com os deveres de sigilo e de proteção dos dados dos seus estudantes, a que os trabalhadores da UC estão, igualmente, vinculados;
A eventual cedência de dados sem o consentimento do seu titular, deverá ter em consideração, designadamente os princípios da proporcionalidade, da limitação da finalidade do tratamento e da minimização dos dados, isto é, a informação disponibilizada, deve ser na estrita medida do adequado e necessário a prosseguir a finalidade do tratamento de dados, bem como a expectativa do estudante, se este espera ou conhece, à priori, que os seus dados podem ser difundidos junto de outras estruturas da UC, ou se pelo contrário, tem a expectativa de que determinada informação reservada sobre si próprio se mantém de acesso exclusivo do Serviço que a recolheu;
Nenhum trabalhador da UC, incluído o Reitor, tem acesso automático e generalizado a toda as informações confidenciais dos estudantes, especialmente as que se incluem em categorias especiais de dados pessoais, também designadas por dados sensíveis;
Todos os trabalhadores da UC devem garantir que os direitos dos estudantes são respeitados.
Quaisquer regulamentos internos, neste domínio, devem estar em conformidade com as normas de confidencialidade e proteção de dados vigentes.
A partilha de dados pessoais entre Unidades/Serviços da UC deve ser precedida de adequada ponderação dos interesses e valores que se apresentem e circunscrever-se ao estritamente necessário para o desenvolvimento das competências dessas mesmas estruturas, desde que a coberto de, pelo menos, uma das licitudes previstas no art.º 6.º (e 9.º, quando envolve dados pessoais sensíveis) do RGPD, nomeadamente o consentimento do estudante.
Não obstante, qualquer responsável de Unidade/Serviço da UC pode encaminhar para os Serviços Competentes, todos os estudantes relativamente aos quais, no âmbito das suas funções, identifique fragilidades que possam obter uma resposta por parte destes Serviços.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 62/2007, de 10 de setembro - Regime jurídico das instituições de ensino superior.

- Decreto Lei n.º 48/95, de 15 de março - Código Penal.

- Decreto-Lei n.º 47344/1966, de 25 de novembro (versão atual) - Código Civil.

- Despacho normativo n.º 43/2008, de 1 de setembro - Estatutos da Universidade de Coimbra.

- Regulamento n.º 281/2017, 24 de maio de 2017 - Regulamento Geral dos SASUC.

- Regulamento n.º 403/2012, de 28 de setembro - Regulamento de Utilização dos Serviços Médicos da UC, com as alterações introduzidas pelo Despacho n.º 13549/2014, de 7 de novembro.

- Regulamento n.º 122/2012, de 16 de março - Regulamento Orgânico dos SASUC, com as alterações intrduzidas pelo Despacho n.º 4707/2014, de 1 de abril.

- Regulamento 408/2009, de 12 de outubro - Regulamento do Provedor do Estudante da UC.

20241030 - Parecer n.º 59

20250715 - Parecer n.º 60

^{Acesso ao documento completo (Nível 3)}

Resumo

No Parecer n.º 60, o Encarregado de Proteção de Dados da Universidade de Coimbra (EPD-UC) aprofunda a análise ao tema dos dados de pessoas falecidas, no caso, as caixas de correio eletrónico, abordada nos seus Pareceres n.º 32 e 38, de 2021, numa perspetiva de eliminação das mesmas, que se resume na resposta às seguintes questões:

O dado pessoal – caixa de correio eletrónico de pessoa falecida – poderá ser eliminado, bem como toda a atividade até à data da supressão, desde que:

Estejam cumpridas as condições previstas no art.º 15.º do Regulamento de TIC;
Não seja de todo necessário à prossecução das competências da UC, enquanto entidade patronal/Instituição de Ensino Superior do trabalhador/estudante falecido;
A UC não tenha sido notificada, por tribunal no exercício no exercício da sua função jurisdicional, ou qualquer outra autoridade judiciária devidamente mandatada, sobre qualquer determinação que impossibilite a eliminação em apreço;
Não existam pedidos de acesso por parte de familiares ou herdeiros, ou existindo, que sobre estes já tenha recaído decisão de indeferimento; e
Não coloque em causa a eficiência na gestão do sistema e recursos.

Por precaução, a UC poderá optar por efetuar o armazenamento offline das caixas de correio eletrónico pelo período de um ano, findo o qual, é irreversivelmente eliminado. Nos casos de caixas de correio eletrónico de titulares que desempenharam funções relevantes em matéria fiscal, judicial ou laboral, este armazenamento deve manter-se por período mais alargado, a definir, tendo em conta as obrigações da UC, relativamente ao exercício de funções de maior responsabilidade.

A eliminação da caixa de correio e backups associados deve ser documentada, entre outra, com a seguinte informação: nome e endereço de e-mail do titular, fonte de informação, data do falecimento (se conhecida), data da última atividade/consulta, declaração de inexistência de dados com interesse legal ou contratual e de pedidos legais pendentes, incluindo pedidos de acesso ou de preservação por parte de terceiros, data de eliminação e método utilizado e validação da eliminação pela direção técnica.

Suporte

- Lei Constitucional n.º 1/2005, de 12 de agosto - Constituição da República Portuguesa.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Lei n.º 58/2019, de 8 de agosto - Assegura a execução, na ordem jurídica nacional, do RGPD.

- Lei n.º 26/2016, de 2 de agosto - Nova LADA.

- Decreto-Lei n.º 47344/1966, de 25 de novembro - Código Civil.

- Regulamento n.º 666/2021, de 19 de julho - Regulamento de Utilização de Recursos de Tecnologias da Informação e da Comunicação da UC.

- Parecer nº 20/2018, de 2 de maio - CNPD.

- Parecer n.º 32/2021, de 26 de fevereiro - EPD-UC - A proteção de dados pessoais de pessoas falecidas.

- Parecer n.º 38/2021, de 29 de novembro - EPD-UC - Acesso a informação académica de familiar falecido.

Autoriza o uso de cookies?

Pareceres do EPD

Pareceres

Resumo