O Regulamento Geral sobre Proteção de Dados (Regulamento 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016) estabelece o novo regime jurídico de proteção de dados de pessoas singulares, tanto no que respeita ao tratamento como à circulação dos dados pessoais, tendo entrado em vigor em Portugal a 25 de Maio de 2018. Neste contexto, a Política de Privacidade da Escola Profissional de Economia Social (epES), constitui-se por um conjunto de normas e princípios de proteção de dados, subjacentes a todas as atividades desenvolvidas por esta entidade, sendo aplicável aos seus colaboradores(as), independentemente do cargo, carreira, categoria ou funções desempenhadas, assim como do tipo de vínculo contratual. A Política de Privacidade, sendo um instrumento de suporte ao cumprimento do Regulamento Geral sobre a Proteção de Dados, Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho de 27 de abril de 2016 e da respetiva legislação nacional aplicável, facilita o cumprimento da lei e promove uma maior transparência de práticas e procedimentos, facultando as orientações para a prestação de um serviço público de excelência, tendo como principais objetivos:
A aplicação da presente Política de Privacidade não dispensa o cumprimento de outros deveres que resultem da lei, bem como não impede a aplicação de outras regras de conduta ou deontológicas aplicáveis a determinadas funções, atividades, ou grupos profissionais.
De forma a garantir a concretização das suas atribuições e competências, os dados pessoais tratados pela epES são recolhidos para fins administrativos e pedagógicos, sendo a sua recolha de caráter obrigatório para a concretização dos fins a que se destinam. No contexto da sua atividade, são identificadas as entidades que intervêm e se relacionam com a epES nomeadamente Estabelecimentos de Ensino, Empresas, Câmaras Municipais, Organismos da Administração Pública Central e Regional e Organizações de Economia Social. Os processos de recolha de dados, efetuados diretamente pela epES, contemplam a transferência de dados de forma:
Manual: preenchimento direto de impressos/modelos e ou questionários;
Automática: transferência e tratamento de dados pela via informática;
Semiautomática: comporta dados de forma automática, completando-os através do preenchimento de dados de forma manual.
Relativamente às plataformas eletrónicas concebidas para a recolha de dados pessoais, estas podem ser produzidas interna ou externamente, recorrendo a entidades subcontratadas. Os subcontratantes prestadores destes serviços encontram-se abrangidos pela política de privacidade da epES, estando, por isso, obrigados ao sigilo profissional e ao cumprimento do Regulamento Geral de Proteção de Dados, pelo que têm responsabilidade por eventuais danos causados aos titulares dos dados. As plataformas de recolha são disponibilizadas através de endereços seguros e os acessos são efetuados com recurso a credenciais individuais. A epES assegura as medidas necessárias à proteção física e lógica dos dados pessoais, garantindo a sua segurança, privacidade e confidencialidade, nos diversos níveis do ciclo de vida dos dados, desde a recolha até ao arquivo, independentemente do suporte físico utilizado.
É garantido aos titulares de dados que o acesso aos mesmos é efetuado por colaboradores(as) da epES, ou subcontratantes, devidamente identificados e obrigados ao sigilo profissional, mesmo após terem cessado as suas funções. A epES tem em consideração a proteção da privacidade dos dados dos seus colaboradores(as), formandos(as) e todas e quaisquer entidades, individuais e coletivas, que se relacionem com a escola, tomando as medidas técnicas e processuais necessárias, independentemente dos tipos de suporte utilizados na preservação dos dados das pessoas singulares e ou coletivas.
Os dados pessoais tratados pela epES destinam-se a fins administrativos do âmbito das suas competências institucionais, não sendo transmitidos a terceiros nem a organizações internacionais. No entanto, para a consecução dos fins a que se destinam é, em algumas situações, imprescindível a partilha destes dados com os Organismos Centrais do Ministério da Educação e Ministério do Trabalho, Solidariedade e Segurança Social. A título excecional, a epES poderá efetuar transmissões de dados a entidades integradas no Sistema Educativo, desde que tais transmissões sejam necessárias para o desenvolvimento, produção e divulgação eficientes de estatísticas ou para a melhoria da qualidade do Sistema Educativo, não constituindo esses dados violação da privacidade das pessoas singulares, uma vez que não serão, através deles, identificáveis.
A conservação dos dados pessoais é feita durante o período necessário à prossecução das finalidades para os quais são tratados.
O titular dos dados pode exercer o direito à destruição dos seus dados pessoais, sem demora que não seja justificada, nos seguintes casos:
Nas situações em o que titular de dados exerce o seu direito à destruição dos seus dados pessoais, a epES tem a obrigação de os eliminar sem demora.
Nos casos em que a epES tenha publicado os dados pessoais e for obrigada a eliminá-los, deverá tomar as medidas adequadas, incluindo as de caráter técnico e tecnológico, para sua definitiva eliminação, incluindo ao nível das ligações para os dados e de cópias existentes. Consideram-se regimes excecionais à eliminação de dados pessoais, de acordo com a lei, os casos em que se configurarem as seguintes situações:
A epES tomará as medidas razoáveis e proporcionadas para garantir e proteger os dados pessoais contra uso indevido, acidental ou deliberado, dano ou destruição. Também está comprometida com uma política de proteção dos direitos e liberdades de todos os indivíduos, em relação ao processamento dos seus dados pessoais, em conformidade com a legislação de proteção de dados.
Esta política aplica-se independentemente do local onde os dados pessoais são mantidos ou se é realizada manualmente ou eletronicamente.
Para cada operação de tratamento de dados pessoais que, de acordo com os critérios definidos na lei ou de acordo com a indicação do RGPD, seja necessária a realização de uma Avaliação de Risco de Privacidade, a epES no seu processo de avaliação, analisa a probabilidade e a gravidade dos riscos face aos direitos e liberdades do titular dos dados.
Os riscos são determinados por referência à natureza, âmbito, contexto e finalidades do tratamento desses dados e implicam a tomada de medidas de forma a reduzir o risco, que poderão passar pela encriptação, entre outros. A manter-se o risco de ser posta em causa a privacidade dos titulares dos dados, será previamente consultada a Comissão Nacional de Proteção de Dados, antes do início do tratamento dos mesmos.
A epES toma as medidas adequadas e oportunas para impedir o acesso ilegítimo a dados pessoais, a mudanças indesejadas ou ao seu desaparecimento.
Caso ocorra alguma situação de usurpação, alteração ou desaparecimento procederá à respetiva notificação, de acordo com o previsto na lei, à Comissão Nacional de Proteção de Dados, desenvolvendo os mecanismos previstos no sistema de gestão de incidentes de privacidade.
Nos casos em que os(as) colaboradores(as) da epES considerem que existe ou existiu um incidente de privacidade, sendo a epES responsável pelo tratamento dos dados pessoais, devem contactar de imediato a Responsável pelo tratamento de dados (Direção Pedagógica e/ou a Coordenação Administrativa da epES), assim como, nos casos em que exista perda/alteração/apagamento de dados pessoais, mesmo que não seja em larga escala, para eventual esclarecimento ou análise complementar.
Apenas são considerados incidentes de privacidade, aqueles que, dizem respeito à perda, alteração, apagamento de dados pessoais, encontrando-se excluídos todos os outros tipos de dados.
Todos os(as) colaboradores(as) da epES leram, entenderam e cumprem esta Política. Os colaboradores(as) são responsáveis por garantir que todos os dados pessoais que a epES detenha sobre eles, em relação ao seu emprego ou cargo, sejam precisos e atualizados. Caso suspeite que uma violação desta política tenha ocorrido ou que possa ocorrer, deve notificar imediatamente o seu superior hierárquico.
A epES poderá alterar a sua Política de Privacidade, quando tal se revele necessário, pelo que se recomenda a consulta da versão atualizada na página oficial da epES (www.epesporto.pt).
Se existirem dúvidas, perguntas, comentários ou reclamações sobre a Política de Privacidade da epES, deverão ser endereçados por escrito para Rua D. João IV, 1000 a 1006 – 4000-300 Porto ou através do e-mail institucional: epesajms@epesajms.pt
