Saltar para o conteúdo principal da página
Logótipo Compete 2030 Logótipo Compete 2030 Logótipo Compete 2030 Logótipo Compete 2030

Política de Privacidade do COMPETE 2030 (RGPD)

O COMPETE 2030 valoriza a privacidade e a proteção de dados pessoais, dispondo de práticas e instrumentos no domínio da segurança e da proteção de dados pessoais, que cumprem os requisitos estabelecidos no Regulamento Geral de Proteção de Dados (RGPD), de 27 de abril de 2016, em vigor desde 24 de maio de 2016.

Deste modo entendeu o COMPETE 2030 definir a política de Privacidade de acordo com o presente manual.

1. Conceito de dados pessoais

Constituem dados pessoais a informação relativa a uma pessoa singular identificada ou identificável (titular dos dados).

Para o efeito é “identificável” uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo: um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

O RGPD prevê determinadas categorias de dados sensíveis que não podem ser objeto de tratamento a não ser em caso excecionais, tais como a filiação sindical, as opiniões políticas, as convicções religiosas ou filosóficas, os dados biométricos e os dados relativos à saúde.

2. Objetivo

O objetivo do presente documento é o de definir a Política de Privacidade do COMPETE 2030, enquanto conjunto de princípios e orientações que têm de ser tidos em conta na execução de todos os processos que envolvam o tratamento de dados pessoais, bem como na definição da Política de Segurança, Código de Conduta e Declarações de Privacidade.

No Sistema de Gestão de Privacidade do COMPETE 2030 a Política de Privacidade é um documento primordial que constitui um input dos principais processos de segurança da informação, comunicação com os titulares dos dados e gestão de terceiros.

É um documento que deve estar acessível internamente no COMPETE 2030, mas que também pode ser consultado pelos titulares de dados externos, como informação complementar referida nas Declarações de Privacidade, que são específicas em cada ponto de recolha de dados pessoais.

3. Âmbito

A Política de Privacidade é aplicável a toda a organização do COMPETE 2030 incluindo Organismos parceiros e Prestadores de serviço ou Organismos e Entidades devidamente protocoladas.

4. Princípios da Privacidade

O COMPETE 2030 trata os dados pessoais em conformidade com os princípios estabelecidos no n.º 1 do artigo 5.º do RGPD.

Assim, o tratamento dos dados pessoais obedece aos princípios estabelecidos:

  1. O tratamento dos dados é lícito, leal e transparente em relação ao titular dos dados;
  2. Os dados são recolhidos para finalidades determinadas, explícitas e legítimas e não podem ser tratados posteriormente de uma forma incompatível com essas finalidades;
  3. São apenas recolhidos os dados, adequados, pertinentes e limitados, ao que é necessário relativamente às finalidades para as quais são recolhidos;
  4. Os dados recolhidos devem ser exatos e atualizados sempre que necessário, e se justifique, devendo ser adotadas todas as medidas adequadas para que os dados inexatos sejam retificados;
  5. Os dados devem ser conservados de uma forma que permita a identificação dos titulares apenas durante o período necessário para as finalidades para as quais são necessários;
  6. Devem ser tratados de uma forma que garanta a segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas e organizativas adequadas;
  7. O responsável pelo tratamento responde pelo cumprimento do regulamento de tratamento de dados e tem de poder comprová-lo.

5. Licitude do Tratamento

Como responsável pelo tratamento dos dados, o COMPETE 2030 só pode efetuar o tratamento dos mesmos quando se verifique, pelo menos, uma das seguintes condições:

  1. O titular de dados tiver dado o seu consentimento para uma ou mais finalidades específicas;
  2. For necessário para o cumprimento de uma obrigação jurídica a que o COMPETE 2030 esteja sujeito;
  3. For necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
  4. For necessário ao exercício de funções de interesse público;
  5. For necessário para efeito dos interesses legítimos prosseguidos pelo COMPETE 2030, desde que garantidos os interesses diretos e liberdades fundamentais do titular, que exijam a proteção de dados pessoais, em especial se o titular for uma criança.

Para ser válido, o pedido de consentimento deve ser apresentado de modo inteligível e destacado, numa linguagem clara e simples. O consentimento tem de ser informado, o que significa que o titular dos dados deve receber informação adequada sobre os dados e o tratamento que lhes será dado.

6. Direitos dos Titulares dos Dados

As informações ou comunicações relacionadas com o tratamento de dados pessoais devem ser de fácil acesso e compreensão, e formuladas numa linguagem clara, simples e concisa, em obediência ao princípio da transparência.

O COMPETE 2030 compromete-se a informar os titulares dos dados pessoais sobre todos os aspetos relevantes relativos ao tratamento dos dados pessoais, como:

  • A identidade e contactos do responsável pelo tratamento;
  • Contacto do encarregado de proteção de dados;
  • Finalidade e base legal para o tratamento;
  • Quais os destinatários dos dados pessoais, existências de transferências internacionais;
  • Período de conservação dos dados;
  • Os direitos dos titulares dos dados.

O COMPETE 2030 compromete-se a respeitar os direitos dos titulares dos dados, nomeadamente os constantes nos artigos 17.º e 18,º do RGPD:

  1. O direito de acesso – O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às informações respeitantes às finalidades do tratamento, categorias dos dados pessoais, destinatários, prazo de conservação e existência de decisões automatizadas;
  2. O direito de retificação – O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito;
  3. O direito ao apagamento dos dados – O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, quando se aplique um dos seguintes motivos: os dados pessoais deixaram de ser necessários para a finalidade original, ou foi retirado o consentimento, ou o titular exerceu o seu direito de oposição, ou os dados foram tratados ilicitamente;
  4. O direito à limitação do tratamento – O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, se contestar a exatidão dos dados ou se o tratamento for ilícito;
  5. O direito de portabilidade dos dados – O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática;
  6. O direito de oposição – O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito.

7. Responsabilidade do COMPETE 2030 como responsável pelo tratamento

Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o COMPETE 2030 aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.

Proteção de dados desde a conceção e por defeito – O COMPETE 2030 aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, destinadas a aplicar com eficácia os princípios da proteção de dados e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do RGPD e proteja os direitos dos titulares dos dados.

Igualmente, o COMPETE 2030 aplica medidas técnicas e organizativas para assegurar que só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento e que não sejam disponibilizados, sem intervenção humana, a um número indeterminado de pessoas singulares. Estas medidas são aplicadas por defeito, isto é, em qualquer circunstância e mesmo que não esteja disponível uma especificação nesse sentido.

Registos das atividades de tratamento – O COMPETE 2030 conserva o registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam todas as seguintes informações:

  • O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;
  • As finalidades do tratamento dos dados;
  • A descrição das categorias de titulares de dados e das categorias de dados pessoais;
  • As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
  • Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais;
  • Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;
  • Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança.

Segurança do tratamento – O COMPETE 2030 aplica as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco.

As medidas de segurança implementadas, bem como os princípios que orientam a atuação do COMPETE 2030 neste domínio, são detalhadas na Política de Segurança.

Violação de dados pessoais – Em caso de violação de dados pessoais, o COMPETE 2030 notifica desse facto a CNPD, no prazo de 72 horas após ter tido conhecimento da mesma, a menos que a violação não seja suscetível de resultar num risco para os direitos, liberdades e garantias das pessoas singulares. Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o COMPETE 2030 comunica a violação de dados pessoais ao titular dos dados.

Conteúdo da comunicação:

  • Nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais informações;
  • As consequências prováveis da violação de dados pessoais;
  • As medidas adotadas ou propostas pelo COMPETE 2030 para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.

No caso da notificação à autoridade de controlo, esta deve ainda descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados e o número aproximado de registos de dados pessoais em causa.

Avaliação de impacto sobre a proteção de dados – Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o COMPETE 2030 procede, antes de iniciar o tratamento, a uma avaliação de impacto.

Para a execução desta avaliação o COMPETE 2030 segue as orientações da autoridade de controlo (CNPD) e utiliza um formato que contém, pelo menos:

  • Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;
  • Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;
  • Uma avaliação dos riscos para os direitos e liberdades dos titulares;
  • As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.

8. Encarregado da Proteção de Dados

O COMPETE 2030 tem um Encarregado da Proteção de Dados (EPD) que:

  1. Controla a conformidade do tratamento de dados com as normas aplicáveis;
  2. Presta informação e aconselhamento, quando tal lhe for solicitado, sobre as suas obrigações e questões relativas ao tratamento e à proteção de dados pessoais;
  3. É o ponto de contacto para a autoridade de controlo (Comissão Nacional de Proteção de Dados – CNPD) sobre questões relacionadas com o tratamento, cooperando com esta entidade.

Os titulares dos dados podem contactar o encarregado da proteção de dados, através do e-mail epd@compete2030.gov.pt, sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.

O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros.

9. Transferências de dados pessoais para países terceiros ou organizações internacionais

No caso de dados transferidos para um responsável conjunto pelo tratamento ou subcontratado do COMPETE 2030 que esteja num país terceiro não pertencente à União Europeia, é mantido um nível de proteção de dados equivalente à proteção conferida pela legislação vigente no espaço europeu, designadamente a prevista no RGPD.

No âmbito das transferências internacionais de dados, o COMPETE 2030 seguirá um dos seguintes procedimentos:

  • Contrato individual ou cláusulas contratuais-tipo adotadas diretamente pela Comissão Europeia ou por uma autoridade de controlo;
  • Participação do subcontratado num sistema ou norma de certificação credenciado ou reconhecido pela UE para a garantia de um nível adequado de proteção;
  • Reconhecimento de que as regras corporativas vinculativas do subcontratado garantem um nível adequado de proteção de dados, emitido pelas autoridades de controlo;
  • Existência de uma decisão de adequação referente ao país terceiro, ao território ou ao sector específico desse país terceiro, ou referente à organização internacional em causa.

As regras para serem efetuadas transferências de dados transfronteiriças não serão aplicáveis sempre que estejam em causa operações ocasionais e necessárias para cumprimento de um contrato ou no âmbito de processo contencioso (judicial, administrativo, ou que corra termos junto de organismos de regulação ou similar).

10. Relações Institucionais
Relações entre o COMPETE 2030 e os subcontratados na transmissão de dados

O COMPETE 2030 só subcontratará entidades credíveis, responsáveis e que respeitem integralmente o Regulamento, mediante a assinatura de contratos de subcontratação que obedeçam aos modelos existentes no COMPETE 2030, onde a entidade subcontratada garante que apresenta as garantias suficientes de execução de medidas técnicas e organizativas adequadas que satisfaçam os requisitos do Regulamento.

Na seleção e na definição dos termos das relações a estabelecer com todos os seus subcontratados o COMPETE 2030 diligenciará no sentido de garantir que os mesmos utilizam as melhores soluções técnicas e tecnológicas adequadas à sua realidade no que diz respeito aos processos de tratamento de dados pessoais e segurança da informação.

A transmissão de dados pessoais para subcontratados apenas será levada a cabo no âmbito de relações contratualmente estabelecidas com o COMPETE 2030 e apenas e só quando haja uma base que a justifique.

Relações entre o COMPETE 2030 e os responsáveis conjuntos pelo tratamento na transmissão de dados pessoais

O COMPETE 2030 mantém em conjunto com os responsáveis conjuntos pelo tratamento a responsabilidade pelo tratamento dos dados pessoais de forma leal, lícita e transparente.

Os responsáveis conjuntos pelo tratamento determinam conjuntamente as finalidades e os meios do tratamento dos dados pessoais.

De acordo entre si e de modo transparente, estes devem definir as suas responsabilidades comuns pelo cumprimento do RGPD no COMPETE 2030, em específico no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações a que se encontram adstritos nos termos do regulamento (dever de informação).

A essência do acordo entre os responsáveis conjuntos pelo tratamento deve ser dada a conhecer ao titular dos dados.

Relações institucionais com a Comissão Nacional de Proteção de Dados

O COMPETE 2030 tem o dever de colaborar com a Comissão Nacional de Proteção de Dados, facultando-lhe as informações necessárias, sempre que solicitadas.

O encarregado pela proteção de dados representará o COMPETE 2030 perante a CNPD.

11. Esclarecimentos e Preenchimento de Lacunas

    Os pedidos de esclarecimento de dúvidas na interpretação ou aplicação desta Política de Privacidade deverão ser dirigidos ao encarregado da proteção de dados, que responderá ou reencaminhará para o departamento competente para o efeito. A todas as omissões ao previsto na presente Política será aplicado o estipulado no Regulamento Geral de Proteção de Dados, bem como a legislação nacional em vigor sobre este assunto.

    Para quaisquer questões relacionadas com o tema, por favor escreva um email ao nosso Encarregado da Proteção de Dados.

    Última atualização a 13 de Novembro 2024

    A carregar...