Proteção de Dados

O Regulamento Geral de Proteção de Dados (RGPD) está em vigor desde o dia 25 de maio de 2018.

Este conjunto de perguntas e respostas foi elaborado com o objetivo de preparar todos os funcionários, sobre como se deve proceder para cumprir o regulamento.

Para qualquer dúvida adicional deverá contactar o Encarregado de Proteção de Dados do Instituto de Medicina Molecular João Lobo Antunes no endereço de email: imm-legal@medicina.ulisboa.pt


Perguntas Frequentes:

Definições
O que são dados pessoais?

O nº 1 do Art. 4º do RGPD define dados pessoais como “informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;”

O que “não são” dados pessoais?
São dados que, independentemente do seu conteúdo, não possam ser associados a uma pessoa individual. Ou seja, se por exemplo numa pauta se eliminar o nome e número de aluno ficando apenas as classificações obtidas, então esta versão da pauta não está sob alçada do RGPD (ver também questões sobre pseudonimização).

Existe diferença entre os dados recolhidos junto do titular e os dados obtidos de outra forma?
Estes dados incluem por exemplo registos de acesso (logs), cookies, endereços IP de acesso, etc. As diferenças são apenas na informação a prestar sobre os mesmos ao titular e que estão descritas no Art. 14º do RGPD.

O que são “categorias especiais de dados pessoais”?
O Art. 9º do RGPD aplica restrições ainda mais severas ao tratamento de categorias especiais de dados pessoais, definidas como: “dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. “. Todos estes dados têm restrições adicionais de tratamento pelo que se recomenda a leitura atenta das secções respetivas do RGPD.

Dados Genéticos são definidos como: “Os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa” (RGPD, Artº 4, nº 13).

Dados biométricos são definidos como “Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular , nomeadamente imagens faciais ou dados dactiloscópicos” (RGPD, Art. 4º, nº 14).

Dados relativos à saúde são definidos como “Dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde” (RGPD, Art. 4º, nº 15).

Quem é o “titular dos dados”?
É a pessoa a quem os dados pessoais dizem respeito. A titularidade mantém-se sempre do indivíduo.

Quem é o “encarregado de proteção dos dados”?
É a pessoa responsável por garantir que os dados se encontram adequadamente protegidos e são tratados de forma legítima. É ainda o ponto de contacto com a Comissão Nacional de Proteção de Dados. A instituição tem a obrigação de fornecer ao encarregado de proteção dos dados todas as informações e condições necessárias para a realização destas tarefas.

O que é o “tratamento dos dados”?
São todas as operações realizadas sobre os dados que nos são confiados pelo titular. Todos deve ser interpretado no sentido mais lato. O acesso (leitura) aos dados é um tratamento. A sua salvaguarda em ficheiro, a criação de cópias, consulta, divulgação, etc. também são tratamentos de dados.

O que é a “pseudonimização” dos dados?
É a ação pela qual deixa de existir uma ligação entre o titular e os dados. De uma forma mais simples pode dizer-se que consiste na remoção, modificação ou substituição das caraterísticas individuais por representações codificadas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.

Em que situações é lícito tratar dados pessoais?
Para que o tratamento seja lícito, os dados pessoais deverão ser tratados com base no consentimento da titular dos dados em causa ou noutro fundamento legítimo, previsto por lei, quer no presente regulamento quer noutro ato de direito da União ou de um Estado-Membro referido no presente regulamento, incluindo a necessidade de serem cumpridas as obrigações legais a que o responsável pelo tratamento se encontre sujeito ou a necessidade de serem executados contratos em que o titular dos dados seja parte ou a fim de serem efetuadas as diligências pré-contratuais que o titular dos dados solicitar. (em: Jornal Encarregado da União Europeia, 4.5.2016 PT, p.119/7).

Prestadores de Serviços
Possuo contratos de implementação e manutenção de sistemas de informação que contêm dados pessoais, como devo proceder para assegurar o cumprimento do RGPD?
Genericamente os prestadores de serviços abrangidos por um contrato encontram-se automaticamente abrangidos pelo dever de sigilo e cumprimento do RGPD relativamente aos dados pessoais a que tenham acesso no âmbito da sua atividade, a menos que tal seja explicitamente dito no contrato e exista uma justificação válida.

No entanto, recomenda-se que todos os casos de acesso a dados pessoais por parte de prestadores de serviços sejam reportados ao Encarregado de Proteção de Dados, sendo que no caso dos prestadores de serviços não estarem abrangidos pelo RGPD, por via contratual, a comunicação é obrigatória.