Política de privacidade

Introdução

Esta política tem como objetivo definir os princípios gerais e as regras a serem aplicadas pelo Gabinete de Estratégia e Planeamento (GEP) como Responsável pelo Tratamento e ao Instituto de Informática,IP enquanto subcontratante, aos Dados Pessoais por si recolhidos no âmbito do Portal GEP Carta Social.

Esta política considera as normas, standards e requisitos legais aplicáveis, contemplando uma notificação específica, explícita e informada sobre o processamento dos dados aos seus titulares.

A Política de Privacidade do GEP tem aplicação efetiva a partir de de 5 de junho de 2019.

A Política de Privacidade aplica-se a todos os Dados Pessoais recolhidos e tratados pertencentes aos utilizadores do Portal Carta Social.

A Política de Privacidade tem como audiência os utilizadores do Portal Carta Social, os Titulares de Dados Pessoais, o GEP e o Instituto de Informática,IP.

Descrição

O GEP e o Instituto de Informática, I.P. tratam os Dados Pessoais em conformidade com os princípios seguintes, estabelecidos no n.º 1 do artigo 5.º do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, Regulamento Geral sobre Proteção de Dados (RGPD):

  • Licitude, Lealdade e Transparência
  • Limitação das Finalidades
  • Minimização dos Dados
  • Exatidão
  • Limitação da Conservação
  • Integridade e Confidencialidade

O GEP e o Instituto de Informática, I.P. definem medidas técnicas e organizacionais de Segurança adequadas para implementar eficazmente os princípios de proteção de Dados Pessoais, cumprindo a legislação em vigor, e protegendo os direitos, liberdades e garantias dos Titulares dos Dados.

O GEP e o Instituto de Informática, I.P. impõem o mesmo nível de proteção de Dados Pessoais a todos os seus fornecedores ou prestadores através de contratos apropriados.

O GEP e o Instituto de Informática, I.P. têm uma organização interna de Proteção de Dados Pessoais para garantir a conformidade com as regras de proteção de Dados Pessoais, suportada por Encarregados de Proteção de Dados.

Princípios gerais

O GEP e o Instituto de Informática, I.P. comprometem-se a efetuar o tratamento dos Dados Pessoais em conformidade com as normas e legislação aplicáveis. Por conseguinte, desenvolvem ferramentas e implementam ações com o objetivo de garantir e acompanhar a eficácia da proteção dos Dados Pessoais.

O GEP e o Instituto de Informática, I.P. possuem várias políticas internas e procedimentos que sensibilizam os seus colaboradores sobre a importância da proteção de Dados Pessoais, fornecendo-lhes orientação operacional sobre como cumprir a legislação de Proteção de Dados e acompanhar a conformidade da proteção de Dados Pessoais.

O GEP e o Instituto de Informática, I.P. estabelecem, neste documento, uma Notificação de Privacidade aos titulares dos Dados Pessoais que obedece aos requisitos da legislação em vigor e garante uma comunicação específica, explícita e informada sobre o tratamento dos seus dados. São também definidas as responsabilidades de notificar qualquer violação de Dados Pessoais às Autoridades de controlo competentes.

O GEP e o Instituto de Informática, I.P. comprometem-se a realizar um programa de formação/comunicação que sensibiliza os seus colaboradores na temática de segurança da informação e privacidade de Dados Pessoais.

Notificação de Privacidade

O GEP e Instituto de Informática, I.P. tratam Dados Pessoais de forma lícita, nos termos do n.º 1 do artigo 6.º do RGPD.

Os titulares dos Dados Pessoais poderão exercer, em qualquer momento, o direito de informação, acesso, retificação, apagamento, atualização, limitação do tratamento, portabilidade, bem como de oposição e não sujeição a decisões individuais automatizadas referentes aos seus dados pessoais, incluindo a revogação de consentimento, nos termos do RGPD ou da legislação aplicável. Para tal, deverão recorrer ao capitulo “Contacto” deste documento.

Os Titulares dos Dados têm o direito de apresentar queixa à Autoridade de Controlo competente em caso de violação das regras aplicáveis em relação à proteção de Dados Pessoais.

Na eventualidade de violação de Dados Pessoais, o Encarregado de Proteção de Dados do GEP notificá-la-á às Autoridades de Controlo competentes e comunicá-la-á ao titular dos dados quando se justifique, nos termos dos artigos 33º e 34º do RGPD.

Recolha e Tratamento de Dados Pessoais

No âmbito do Portal Carta Social, o GEP e o Instituto de Informática, I.P. tratam os Dados Pessoais referentes ao cumprimento das suas atribuições.

A recolha é feita por interconexão, comunicação ou junto do Titular dos Dados.

O GEP e o Instituto de Informática, I.P. apenas tratam os Dados Pessoais se ocorrerem as situações de tratamento lícito previstas no RGPD.

O GEP e o Instituto de Informática, I.P. conservam os Dados Pessoais de acordo com os períodos impostos pela legislação em vigor, nomeadamente tendo em conta as suas missões e atribuições.

O GEP e o Instituto de Informática, I.P. nunca conservam os Dados Pessoais por período superior ao necessário, de acordo com os objetivos para os quais foram recolhidos e estão a ser tratados, nomeadamente, cumprimento de obrigações legais (ex: arquivo, auditoria, contratação pública, obrigações contabilísticas e fiscais), e resolução de disputas judiciais. As circunstâncias poderão variar consoante o contexto e o tipo de Dados Pessoais.

O GEP e o Instituto de Informática, I.P. garantem que:

  • Os Dados Pessoais não são disponibilizados a terceiros sem consentimento prévio dos seus titulares sempre que este seja legalmente necessário;
  • Os Dados Pessoais não são disponibilizados, gratuita ou onerosamente, para fins, designadamente, de “marketing” direto, incluindo "mailing lists" para publicitação produtos e/ou serviços.
  • O tratamento de dados agregados (tais como localidade, idade e outros) para fins considerados de interesse público, designadamente no âmbito de produção estatística, é efetuado de forma lícita, nos termos do artigo 89.º do RGPD. Neste âmbito, elementos de identificação pessoal, como o Nome, Número de BI, Cartão de Cidadão ou Identificação Fiscal, ou informação de carácter privado não são disponibilizados.
  • Se procederá à disponibilização de Dados Pessoais apenas mediante pedido por parte de uma autoridade judicial ou autoridade pública com poderes legais para o fazer, de acordo com a legislação em vigor.
  • Assegura a confidencialidade e a segurança dos Dados Pessoais durante a disponibilização para os destinatários acima mencionados.

Medidas de Segurança

O GEP e o Instituto de Informática, I.P. seguem padrões de segurança organizacional e tecnológica, e práticas eficazes na gestão de segurança da informação, para proteção da confidencialidade, integridade e disponibilidade da informação, e provisão de confiança nos intercâmbios inter organizacionais.

O Instituto de Informática, I.P aplica o standard internacional ISO/IEC 27001, as normas comunitárias, a legislação, bem como as recomendações nacionais especificas em matéria de segurança da informação.

O GEP e o Instituto de Informática, I.P. possuem todas as medidas técnicas e organizacionais necessárias para garantir um nível de segurança dos Dados Pessoais adequado ao risco e, em particular, para proteger os Dados Pessoais contra a destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal.

No âmbito do Portal Carta Social, o GEP e o Instituto de Informática, I.P. possuem as medidas técnicas e organizacionais adequadas para garantir a segurança dos Dados Pessoais.

O mesmo nível de proteção é imposto contratualmente pelo GEP e Instituto de Informática I.P. aos seus fornecedores e prestadores.

Qualquer colaborador do GEP ou do Instituto de Informática, I.P. que, durante o seu trabalho, tenha acesso a Dados Pessoais concorda mantê-los na mais estrita confidencialidade no âmbito dos acordos de confidencialidade firmados.

Direitos do Titular dos Dados

Em conformidade com as regras aplicáveis em relação à proteção de Dados Pessoais, caso o requeira, o Titular dos Dados pode exercer, em qualquer momento, o seu direito de obter o acesso, retificar, esquecer e transferir nos termos do artigo 20.º do RGPD, os seus Dados Pessoais e também de restringir e opor-se ao Tratamento dos seus Dados Pessoais.

O exercício dos direitos do Titular dos dados deve ser efetuado junto do GEP, recorrendo ao capitulo “Contacto” desde documento.

Quando o Tratamento se baseia na autorização do Titular, este tem o direito de retirar a sua autorização em qualquer altura.

No seu próprio interesse, o Titular dos Dados deverá procurar manter os seus dados atualizados, podendo para o efeito, contactar o GEP, recorrendo ao capitulo “Contacto” desde documento.

Os Titulares dos Dados têm o direito de apresentar queixa à Autoridade para Supervisão competente em caso de violação das regras aplicáveis em relação à proteção de Dados Pessoais.

O Encarregado de Proteção de Dados

O Encarregado de Proteção de Dados informa e aconselha sobre os requisitos aplicáveis de proteção de Dados Pessoais, acompanha a conformidade com esses requisitos no Instituto de Informática, IP.

O Encarregado de Proteção de Dados coopera e age como ponto de contacto com as Autoridades de Supervisão competentes e com os titulares dos dados.

Alterações à Política de Privacidade

A Política de Proteção de Dados Pessoais pode ser alterada sempre que houver necessidade ou mudança do quadro normativo, sendo publicado um aviso de tais alterações numa versão revista da atual Política, com entrada em vigor aquando da sua publicação ou em data nele fixado.

Contacto

Em caso de questões relacionados com os direitos e garantias no âmbito da proteção dos dados poderão contactar o Encarregado de Proteção de Dados do GEP, o Encarregado de Proteção de Dados do GEP, através do seguinte endereço de correio electrónico:

GEP-EncarregadoProtecaoDados@gep.mtsss.pt