Regulamento Geral de Proteção de Dados

Regulamento Geral de Proteção de Dados (RGPD)

Regulamento Geral de Proteção de Dados

O Regulamento Geral de Proteção de Dados (RGPD) está em vigor desde o dia 25 de Maio de 2018.
Este conjunto de perguntas e respostas foi elaborado com o objetivo de preparar todos os funcionários, docentes e não docentes, sobre como deve proceder para cumprir o regulamento.

Para qualquer dúvida adicional deverá contactar o Encarregado de Proteção de Dados da sua escola ou o da Universidade de Lisboa no endereço de email rgpd@ulisboa.pt.

 

PERGUNTAS FREQUENTES

 

1. O que são dados pessoais?

O nº 1 do Art. 4º do RGPD define dados pessoais como "informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;"

 

2. O que "não são" dados pessoais?

São dados que, independentemente do seu conteúdo, não possam ser associados a uma pessoa individual. Ou seja, se por exemplo numa pauta se eliminar o nome e número de aluno ficando apenas as classificações obtidas, então esta versão da pauta não está sob alçada do RGPD (ver também questões sobre pseudonimização).

 

3. Existe diferença entre os dados recolhidos junto do titular e os dados obtidos de outra forma?

Estes dados incluem por exemplo registos de acesso (logs), cookies, endereços IP de acesso, etc. As diferenças são apenas na informação a prestar sobre os mesmos ao titular e que estão descritas no Art. 14º do RGPD.

 

4. O que são "categorias especiais de dados pessoais"?

O Art. 9º do RGPD aplica restrições ainda mais severas ao tratamento de categorias especiais de dados pessoais, definidas como: "dados  pessoais  que revelem  a origem racial  ou étnica, as opiniões  políticas, as convicções religiosas  ou filosóficas, ou a filiação sindical, bem como o tratamento  de dados genéticos, dados biométricos para identificar uma pessoa  de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual  ou orientação sexual de uma pessoa. ". Todos estes dados têm restrições adicionais de tratamento pelo que se recomenda a leitura atenta das secções respetivas do RGPD.

Dados Genéticos são definidos como: "Os dados pessoais relativos  às características genéticas,  hereditárias ou adquiridas, de uma pessoa  singular que deem informações únicas sobre  a fisiologia ou a saúde dessa pessoa singular  e que resulta designadamente de uma análise de uma amostra  biológica proveniente da pessoa singular em causa" (RGPD, Artº 4, nº 13)

Dados biométricos são definidos como "Dados  pessoais resultantes de um tratamento técnico  específico relativo às características físicas, fisiológicas  ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação  única dessa pessoa singular , nomeadamente imagens faciais ou dados dactiloscópicos" (RGPD, Art. 4º, nº 14)

Dados relativos à saúde são definidos como "Dados  pessoais relacionados com a saúde física ou mental  de uma pessoa singular, incluindo a prestação de serviços de saúde,  que revelem informações sobre o seu estado de saúde" (RGPD, Art. 4º, nº 15).

 

5. Quem é o "titular dos dados"?

É a pessoa a quem os dados pessoais dizem respeito. A titularidade mantém-se sempre do indivíduo.

 

6. Quem é o "encarregado de proteção dos dados"?

É a pessoa responsável por garantir que os dados se encontram adequadamente protegidos e são tratados de forma legítima. É ainda o ponto de contacto com a Comissão Nacional de Proteção de Dados. A instituição tem a obrigação de fornecer ao encarregado de proteção dos dados todas as informações e condições necessárias para a realização destas tarefas.

 

7. O que é o "tratamento dos dados"?

São todas as operações realizadas sobre os dados que nos são confiados pelo titular. Todos deve ser interpretado no sentido mais lato. O acesso (leitura) aos dados é um tratamento. A sua salvaguarda em ficheiro, a criação de cópias, consulta, divulgação, etc. também são tratamentos de dados.

 

8. O que é a "pseudonimização" dos dados?

É a ação pela qual deixa de existir uma ligação entre o titular e os dados. De uma forma mais simples pode dizer-se que consiste na remoção, modificação ou substituição das caraterísticas individuais por representações codificadas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.

 

9. Em que situações é lícito tratar dados pessoais?

Para que o tratamento seja lícito, os dados pessoais deverão ser tratados com base no consentimento da titular dos dados em causa ou noutro fundamento legítimo, previsto por lei, quer no presente regulamento quer noutro ato de direito da União ou de um Estado-Membro referido no presente regulamento, incluindo a necessidade de serem cumpridas as obrigações legais a que o responsável pelo tratamento se encontre sujeito ou a necessidade de serem executados contratos em que o titular dos dados seja parte ou a fim de serem efetuadas as diligências pré-contratuais que o titular dos dados solicitar. (em: Jornal Encarregado da União Europeia, 4.5.2016 PT, p.119/7)

 

1. Posso ter dados pessoais de alunos, funcionários e candidatos no meu computador pessoal?

Sim, desde que seja para o estrito cumprimento das suas funções profissionais (e.g. elaboração de uma pauta).

 

2. Tenho dados pessoais de alunos, funcionários ou candidatos no meu computador pessoal, como devo proceder?

Os dados pessoais dos alunos, funcionários ou candidatos devem permanecer nos computadores pessoais o tempo indispensável à realização da tarefa legítima, após o qual devem ser apagados.

Durante o tempo em que permanecem no computador pessoal, o funcionário deve assegurar-se que o seu computador cumpre todas as regras básicas de segurança.

Opcionalmente, o utilizador poderá cifrar os ficheiros com dados pessoais, com a ajuda de programas como o WinRAR e o 7-Zip, que sendo de utilização livre permitem comprimir e cifrar um conjunto de ficheiros com uma password.

 

3. Quais as regras básicas de segurança que devo seguir para assegurar a proteção dos dados pessoais temporariamente armazenados no meu computador pessoal?

Sem prejuízo de nenhuma outra, devem ser asseguradas as seguintes regras:

  • A senha de acesso ao computador deve possuir uma dimensão mínima de 8 caracteres, deve ser memorizável, para que não tenha que ser escrita noutro local, mas não deve resultar de uma palavra ou de um conjunto de palavras.
  • Recomenda-se o uso de frases para facilitar a memorização, sendo que estas podem ser utilizadas directamente (tendo como resultado senhas muito longas), ou escolhendo algumas letras de cada palavra (e.g. as duas/três primeiras/últimas letras de cada palavra).
  • O computador deve possuir todas as atualizações de segurança mais recentes.
  • O computador não deve ter instalado software para além do software aprovado pela escola.
  • Devem ser seguidas as regras de prudência no seguimento de hiperligações recebidas por meios não solicitados (e.g. por email). As hiperligações recebidas por email são o mecanismo mais comum para ataque a computadores pessoais.

1. Tenho dados pessoais armazenados em Cloud públicas, como devo proceder?

Os dados pessoais não devem ser mantidos em Cloud públicas, como a Dropbox, o Google Docs ou o Office365. Caso seja absolutamente necessário manter essa informação na Cloud pública então esta deve estar cifrada (e.g. WinRAR, 7-Zip).

 

2. Uso documentos online de uma Cloud pública (e.g. Google Docs, Office365) para processar dados pessoais de alunos, funcionários ou candidatos (e.g. preenchimento cooperativo de pautas), posso continuar a fazê-lo?

As Cloud públicas não devem ser usadas para processar dados pessoais, pois não é garantido o respeito pelo RGPD. Em vez disso deverá usar-se a versões contratualizadas dos mesmos produtos, por exemplo a licença Google Docs for Education da Universidade de Lisboa, o a licença Microsoft Office365 que a grande maioria das escolas possuem no âmbito do Microsoft Campus Agreement. Tal implica a utilização das contas de utilizadores associadas à universidade.

 

3. O uso de documentos online e ficheiros armazenados na Cloud no âmbito de contratos de prestação de serviços, para processamento de dados pessoais é permitido?

Genericamente sim, desde que os contratos não excluam explicitamente o cumprimento do RGPD, os prestadores de serviço encontram-se automaticamente abrangidos pelas suas regras.

 

1. Possuo contratos de implementação e manutenção de sistemas de informação que contêm dados pessoais, como devo proceder para assegurar o cumprimento do RGPD?

Genericamente os prestadores de serviços abrangidos por um contrato encontram-se automaticamente abrangidos pelo dever de sigilo e cumprimento do RGPD relativamente aos dados pessoais a que tenham acesso no âmbito da sua atividade, a menos que tal seja explicitamente dito no contrato e exista uma justificação válida.

No entanto, recomenda-se que todos os casos de acesso a dados pessoais por parte de prestadores de serviços sejam reportados ao Encarregado de Proteção de Dados, sendo que no caso dos prestadores de serviços não estarem abrangidos pelo RGPD, por via contratual, a comunicação é obrigatória.

1. Os alunos têm-me perguntado para que é que a Universidade necessita de saber toda a informação que lhes pede, e.g. o nome do pai e nome da mãe, o que lhes devo responder?

A maioria desses dados são necessário para responder a inquéritos oficiais como o RAIDES. De forma a cumprir este desiderato a universidade mantém esta informação durante todo o tempo de permanência do aluno na Universidade e por mais dois anos após a sua última inscrição.

 

2. Os candidatos a mestrados, doutoramento e outros programas (e.g. cursos livres, verão na ULisboa) perguntam-me o que fazemos com os dados pessoais deles caso a sua candidatura não seja aceite, o que devo responder?

Os candidatos que não se transformam em alunos, seja porque não foram aceites, seja porque desistem antes de iniciar, seja porque o procedimento se esgota no final da candidatura, têm os seus dados pessoais eliminados ao fim do período necessário para garantir os prazos de reclamação, com exceção dos dados de faturação, caso tenha existido um pagamento, que só são eliminados findo o prazo legal.

 

3. Os funcionários docentes e não docentes têm-me perguntado qual a necessidade de recolher os seus dados pessoais?

Todos os dados pessoais recolhidos pela unidades orgânicas da Universidade de Lisboa são obrigatórios no âmbito do emprego na função pública.

 

4. A utilização de informação biométrica para controlo da assiduidade é legal no âmbito do RGPD?

Sim, a utilização é legal desde que a recolha da informação biométrica tenha sido efetuado de forma legítima. A legitimidade das recolhas depende da legislação em vigor à data da respectiva recolha. Anteriormente à entrada em vigor do regulamento as recolhas são legítimas desde que o sistema de controlo de assiduidade tenha sido registado na Comissão Nacional de Proteção de dados. Após a entrada em vigor do regulamento a recolha é legítima se tiver o consentimento do trabalhador.

 

5. A vídeo-vigilância das instalações do campus é legítima no âmbito do RGPD?

Sim, a utilização é legítima. Está de acordo com a regras existentes antes do entrada em vigor do RGPD e mantêm-se de acordo com as regras após a entrada em vigor do RGPD, mudando apenas a responsabilidade pelo cumprimento dos procedimentos de privacidade que após a entrada em vigor do RGPD é maior.

 

6. O que devo fazer quando tomar conhecimento de que os dados que me foram confiados estão na posse de terceiros?

O RGPD tem medidas muito claras relativamente a estes casos. Existem prazos para comunicar ao Encarregado da Proteção de Dados, que terá que informar a Comissão Nacional de Proteção de Dados num máximo de 72h após a tomada de conhecimento de que os dados foram comprometidos. Se a quebra poder afetar significativamente o titular dos dados, poderá ser necessário informá-lo(s).

 

7. Como eliminar dados pessoais?

O RGPD não faz distinção pelo suporte (papel ou digital). Em todos os casos é necessário assegurar a efetiva destruição dos dados. Se os dados estiverem em papel, deve ser usada uma destruidora de papel. CDs/DVDs devem também ser efetivamente destruídos. Num computador depois de apagados, é importante assegurar que os ficheiros são igualmente destruídos do "Recycle Bin".

 

8. Que dados posso/é legítimo tratar?

A legitimidade do tratamento de dados está definida no nº 1 do Artº 6º, do RGPD. Genericamente é legítimo tratar os dados se:

  • O tratamento for necessário para a prossecução do contrato (implícito ou explícito) entre o titular e o responsável pelo tratamento;
  • O tratamento for necessário para que o responsável pelo tratamento cumpra as suas obrigações legais;
  • Existir uma autorização explícita e afirmativa (consentimento) por parte do titular para o tratamento em causa.

O pedido de consentimento deve ser entendido como o último recurso. Ou seja, devem ser sempre solicitados apenas e só os dados estritamente necessários para os tratamentos legítimos sem um pedido de consentimento.

 

9. Como pedir consentimento?

O consentimento terá que ser dado individualmente para cada tratamento de forma explícita e afirmativa. Não são por isso aceitáveis procedimentos utilizados tipicamente até agora como:

  • Mensagens do tipo "Se não concordar clique aqui"
  • Mensagens do tipo "Ao navegar por este site está a aceitar..."
  • Caixas de seleção pré-preenchidas
  • Indicações "vagas" sobre os tratamentos aos dados e que tentem desta forma cobrir tratamentos não antecipados

Uma vez que o consentimento é por tratamento, outros tratamentos não antecipados no pedido de consentimento original não são autorizados.

Sempre que o tratamento for realizado com base no consentimento do titular dos dados, o responsável pelo tratamento deverá poder demonstrar que o titular deu o seu consentimento à operação de tratamento dos dados. (em: Jornal Encarregado da União Europeia, 4.5.2016 PT, p.119/8)

 

1. Envio regularmente dados pessoais, de alunos, funcionários ou candidatos para entidades exteriores à Universidade, posso continuar a fazê-lo?

Em regra todas as trocas periódicas de dados pessoais com entidades terceiras à Universidade devem ser comunicadas ao Encarregado de Proteção de Dados da sua Instituição.

No entanto, a resposta é genericamente sim, desde que exista uma obrigação legal para o fazer ou tenha obtido autorização dos titulares dos dados para tal.

De forma geral os dados pessoais enviados no âmbito de procedimentos de inquérito para fins estatísticos de âmbito nacional (e.g. RAIDES, REBIDES) são obrigatórios por lei, pelo que devem continuar.

 

1. Envio regularmente dados pessoais, de alunos, funcionários ou candidatos para entidades internas à Universidade, posso continuar a fazê-lo?

Em regra todas as trocas de dados pessoais dentro da Universidade de Lisboa são permitidas desde que sejam legítimas, i.e. tenham como objectivo o cumprimento da função da Universidade. De facto, no âmbito do RGPD, o envio de informação pessoal entre unidades orgânicas não é diferente da troca de dados pessoais entre funcionários dentro da mesma unidade orgânica. Em ambos os casos a troca de informação deverá ser legítima, controlada e transparente.

No entanto, como a troca de informação entre unidades orgânicas implica uma perda de controlo superior à troca de informação entre pessoas da mesma unidade orgânica, em regra, todas as trocas de dados pessoais entre unidade orgânicas deve ser comunicada aos Oficiais de Proteção de Dados de ambas as instituições.

 

1. Posso publicar pautas?

Sim, mas apenas nos locais indicados para o efeito e com as restrições adequadas. As classificações dos alunos são dados pessoais e por isso não são públicos. No entanto, a bem da transparência, as avaliações podem ser conhecidas pelos colegas de avaliação.

 

2. Sou responsável por um website. Tenho que tomar medidas especiais?

Sim. Se existirem formulários para preenchimento de dados pessoais será necessário assegurar que respeitam o RGPD no que toca à limitação da informação solicitada, do pedido de consentimento, dos tratamentos realizados e das medidas para os proteger.

Adicionalmente, há que assegurar que os dados obtidos com o acesso ao website respeitam também eles o RGPD. Os dois casos mais evidentes são os Cookies e as plataformas de contabilização e registo de acessos como o Google Analytics.

As mensagens padrão como "este site utiliza cookies e se continuar a aceder estará a aceitar a sua utilização" não respeitam o consentimento explícito e positivo pelo que devem ser substituídos. O drupal (plataforma de alojamento mais utilizada em Ciências) está hoje (21/5/2018) a ultimar uma versão que respeita o RGPD.

No caso do Google Analytics, deve-se recorrer à pseudonimização do endereço de acesso, existindo instruções para tal em: https://developers.google.com/analytics/devguides/collection/analyticsjs/field-reference#anonymizeIp . Os interessados poderão contactar a Área de Sistemas e Servidores para apoio.

1. Posso enviar emails para grupos de endereços que estão na minha agenda pessoal?

Sim, as agendas pessoais estão excluídas do regulamento.

O que não quer dizer que não deva ter os cuidados necessários para que a informação constante na sua agenda não seja divulgada a terceiros.

 

2. O que é um email institucional?

Um email institucional é um email que foi criado por uma instituição (e.g. escola, serviços de ação social, instituto de investigação) para comunicar com as pessoas que dela fazem parte.

 

3. Um email institucional pode ser um email com um domínio externo à organização?

Pode se for o titular do email a fornecer  explicitamente esse email para ser usado em substituição do email institucional.

 

4. O email institucional é um dado pessoal?

Sim, em regra todos os emails são dados pessoais, exceto aqueles que nomeiam cargos ou organizações e.g. reitor@ulisboa.pt.

 

5. Tenho recebido muitos emails a solicitar o consentimento para a continuação do envio de emails, como devo proceder?

Com precaução. Muitos dos emails que estão a ser recebidos são emails ilegítimos, enviados por utilizadores maliciosos, que se aproveitam do RGPD para obterem informação pessoal ou efetuarem outro tipo de ataques aos computadores pessoais.

Distinguir uns dos outros não é tarefa fácil, mas deixam-se aqui algumas dicas:

  • Se nunca deu o seu email à entidade que supostamente lhe está a solicitar o consentimento, então o mail é provavelmente ilegítimo. Mesmo que seja uma entidade conhecida e idónea, não quer dizer que o email seja. É frequente o nome de entidades idóneas ser usado por terceiros para convencer os utilizadores.
  • Se lhe estão a solicitar que envie um email para ser removido da lista então é provável que o email seja malicioso, pois essa atitude viola os princípio básicos do RGPD.
  • Se lhe estão a solicitar que envie informação pessoal então é provavelmente um ataque de “Phishing”, com o objetivo de recolher dados pessoais para posteriormente ser efetuados ataques de roubo de identidade.
  • Se lhe estão a solicitar que pressione um botão ou siga uma hiperligação então, por cautela deve considerá-lo malicioso. Infelizmente, esta regra é muito falível, pois existem ainda muitas entidades legítimas que enviam este tipo de emails, mas carregar em botões ou seguir hiperligações em emails é o método mais comum para ataques de “Phishing”, “XSS”, “CRSF”, entre outros, pelo que a sua utilização não é recomendada.

 

6. Posso enviar emails para listas de docentes, funcionários e alunos através do seu email institucional?

Pode. O contrato que possui com alunos, funcionários e docentes permite o seu uso para fins profissionais ou académicos.

Tal não é verdade para fins de divulgação de eventos não profissionais ou não académicos. Para o uso do email institucional para esses fins é necessário obter consentimento informado do titular.

 

7. Posso enviar emails para listas de email genéricas que possuo na minha instituição?

Pode, mas apenas se tiver o consentimento informado do titular do email.

 

8. Como posso obter o consentimento informado para utilizar um email para fins de divulgação?

Aquando da criação do email institucional ou aquando da obtenção do email, o titular deverá ter a opção de aceitar ou não a utilização do email para fins de divulgação ou quaisquer outros que se pretenda obter consentimento.

 

9. Então e o que fazer para os emails que já existem nas listas de emails?

Existem várias formas de obter o consentimento informado. Uma das mais comuns é o envio de emails solicitando ao titular que confirme que quer receber emails para os fins específicos indicados no email.

Note-se que devem ser indicados os fins específicos a que se destinam os emails a enviar, e.g. divulgação de eventos culturais promovidos pela Universidade de Lisboa, ou divulgação de notícias sobre a Universidade de Lisboa.

Deve também indicar explicitamente que a ausência de resposta deve ser considerada uma não autorização.

 

10. Posso enviar um email em que solicito aos titulares que pressionem um botão no caso de darem autorização ou pressionem outro botão no caso de não darem autorização?

Pode, mas não deve. Não existem razões legais que impeçam o envio destes emails, mas o seu envio é prejudicial à proteção de dados pessoais.

Os emails com botões e hiperligações e são o meio mais comum para ataques informáticos de “Phishing”, “XSS”, “CSRF”, entre outros. A maioria dos utilizadores não tem conhecimentos para distinguir um botão ou hiperligação legítimos de um botão ou hiperligação maliciosos. Pelo que, para facilitar a distinção entre mails legítimos e mails maliciosos, os emissores de emails legítimos devem, na medida do possível, abster-se de enviar emails com botões ou hiperligações.  

 

11. Então como posso obter a autorização dos utilizadores?

A forma mais simples é solicitar-lhes que respondam ao email com uma palavra chave no inicio do email, e.g. “Sim”, e processar todos os emails recebidos com essa chave.

 

12. Caso tenha dúvidas de como esta tarefa pode ser automatizada solicite apoio aos serviços de informática da sua escola.

Posso, no mesmo email, pedir autorização para manter um conjunto de outros dados pessoais dessas pessoas?

Pode, mas não deve solicitar que lhe reenviem esses dados, pois isso é prejudicial à proteção de dados pessoais.

A recolha de informação pessoal através do envio de emails é uma das técnicas de ataques de “Phishing” mais comuns. A maioria dos utilizadores não consegue distinguir um email legitimo de um ilegitimo. De facto, nalguns casos é mesmo necessário ter acesso a outras fontes de dados, para além do próprio email, para conseguir confirmar a legitimidade de um email. Pelo que para facilitar a distinção entre mails legítimos e mails maliciosos, os emissores de emails legítimos devem, na medida do possível, abster-se de solicitar o reenvio de informação pessoal pelo email.