Saltar para o conteúdo
Este serviço utiliza cookies para melhorar a sua experiência de utilização.
Ao prosseguir com a utilização deste serviço, concorda com a nossa política de utilização de cookies.

Proteção de dados pessoais

Política de proteção de dados pessoais Política de proteção de dados pessoais

A política de proteção de dados pessoais do Instituto de Gestão Financeira da Segurança Social, I.P. (IGFSS) é a aplicada pelos Organismos da Segurança Social.

Para mais informações em matéria de proteção de dados, aceda às páginas de rodapé deste site "Política de Privacidade" e "Política de cookies".

FAQ – Perguntas Frequentes FAQ – Perguntas Frequentes

1. O que é o Regulamento Geral de Proteção de Dados (RGPD)?

O Regulamento Geral de Proteção de Dados (entrou em vigor no dia 25 de maio de 2018 através do Regulamento Europeu (EU) 2016/679 e do Conselho de 27 de abril de 2016, do Parlamento Europeu, que pretende responder aos desafios colocados pela revolução tecnológica ocorrida nas últimas décadas e proteger melhor os dados sobre as pessoas, os direitos dos cidadãos da UE e a livre circulação de dados.

O RGPD:

  • Concilia as leis de privacidade de dados dos Estados Membros da União Europeia (UE);
  • Confere proteção e fortalece a privacidade de todos os cidadãos da EU;
  • Reestrutura o modo como as organizações abordam a privacidade dos dados.

 

2. O que são os dados pessoais?

É a informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

 

3. O que são categorias especiais de dados pessoais?

As categorias especiais de dados pessoais baseados no RGPD, ou dados sensíveis, são dados pessoais que revelam origem étnica ou racial, opiniões políticas, credos religiosos ou filosóficos, pertença sindical e o processamento de dados genéticos, biométricos com o propósito da identificação unívoca de uma pessoa natural, dados relacionados com a saúde ou dados relacionados com a vida sexual ou orientação sexual de uma pessoa.

 

4. A quem se aplica o Regulamento Geral de Proteção de Dados (RGPD)?

O RGPD aplica-se a todas as pessoas singulares e coletivas que efetuem tratamento de dados pessoais a residentes da UE, mesmo que estejam sediadas fora dela.

 

5. Titulares dos Dados

 

5.1 Quais são os direitos dos titulares de dados no âmbito do RGPD?

• Direito de informação e acesso aos seus dados pessoais;

• Direito à limitação do tratamento;

• Direito de não sujeição a decisões automatizadas;

• Direito de portabilidade;

• Direito à transparência;

• Direito à notificação;

• Direito de retificação, apagamento e oposição.

 

5.2. Como podem ser exercidos os direitos dos titulares de dados?

Através do site da Segurança Social, na página “Proteção de Dados Pessoais” do IGFSS e/ou através da página “Política de Privacidade no âmbito da Proteção de dados pessoais (RGPD)”.

 

6. Consentimento

 

6.1. No exercício de um direito, no âmbito da atividade do IGFSS, é necessário consentimento do titular dos dados para o respetivo tratamento?

Não. Nos termos do art. 6.º, n.º 1, do RGPD, o tratamento de dados pessoais pelo IGFSS é lícito quando se torna necessário ao exercício de funções de interesse público (al. e) e se torna necessário ao cumprimento de uma obrigação jurídica, a que o Instituto se encontra sujeito (al. c) nos termos legalmente previstos.

 

6.2. Os trabalhadores do IGFSS no exercício das suas funções precisam do consentimento do titular dos dados para as operações de tratamento de dados pessoais que realizam?

Os trabalhadores na prossecução daquela que é a missão do IGFSS e no cumprimento das suas atribuições legalmente previstas, não necessitam de obter o consentimento dos titulares dos dados para efetuar as operações de tratamento de dados pessoais, na medida em que apenas efetuem os tratamentos de dados pessoais de que necessitam para o cumprimento de obrigações jurídicas.

 

6.3. Como pode ser reportado um incidente/violação de dados pessoais, no âmbito das competências do IGFSS?

Qualquer cidadão, através do site da Segurança Social, na página “Proteção de Dados Pessoais” do IGFSS e/ou através da página “Política de Privacidade no âmbito da Proteção de dados pessoais (RGPD)”.

 

6.4. Como podem ser solicitados esclarecimentos, questões ou informações relativas aos dados pessoais no âmbito das competências do IGFSS?

Qualquer cidadão, através do site da Segurança Social, na página “Proteção de Dados Pessoais” do IGFSS e/ou através da página “Política de Privacidade no âmbito da Proteção de dados pessoais (RGPD)”.

 

7. Encarregado(a) de Proteção de Dados. O que é e qual a sua função?

O “Encarregado de Proteção de Dados” (EPD), também conhecido por DPO (Data Protection Officer), tem um perfil e funções específicas:

 

7.1. Funções do encarregado de proteção de dados

  • Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os seus trabalhadores, sobre as respetivas obrigações nos termos da lei da proteção de dados;
  • Controlar o cumprimento, por parte do respetivo IGFSS, de toda a legislação relacionada com a proteção de dados, nomeadamente em auditorias (quer periódicas, quer não programadas), atividades de sensibilização e formação do pessoal implicado nas operações de tratamento;
  • Prestar aconselhamento sempre que tenha sido realizada uma Avaliação de Impacto de Proteção de Dados (AIPD/DPIA) e controlar a sua realização;
  • Atuar como ponto de contacto para pedidos de pessoas relativamente ao tratamento dos seus dados pessoais e ao exercício dos seus direitos;
  • Cooperar com a autoridade de controlo e atuar como ponto de contacto das mesmas sobre questões relacionadas com o tratamento.

 

7.2. Dever de sigilo e confidencialidade

O encarregado de proteção de dados está obrigado a um dever especial de sigilo profissional em tudo o que diga respeito ao exercício dessas funções, nos termos do n.º 5 do artigo 38.º do RGPD, que se mantém após o termo das funções que lhes deram origem. O encarregado de proteção de dados está obrigado a um dever de confidencialidade que acresce aos deveres de sigilo profissional previsto na lei.

 

8. A proteção dos dados

 

8.1. Como garante o IGFSS, a proteção dos dados dos cidadãos?

Neste âmbito, o IGFSS assume os seguintes compromissos:

  • Proceder ao tratamento de dados de forma lícita e leal, recolhendo apenas a informação necessária e pertinente à finalidade a que se destina;
  • Utilizar os dados recolhidos apenas para finalidade compatível com a explicitada no momento da recolha e não realizar interconexão de dados pessoais, salvo autorização legal ou recolha do consentimento expresso dado pelo titular dos dados;
  • Manter os dados exatos e, quando se justifique, atualizados;
  • Garantir, quando requerido pelo titular dos dados, o exercício do direito de acesso, retificação, apagamento e oposição;
  • Ter sistemas de segurança que impeçam o acesso não autorizado ou o uso indevido dos dados pessoais que lhe são confiados;
  • Tratar os seus dados em observância ao dever de sigilo profissional;
  • Conservar os dados pessoais apenas pelo período mínimo necessário para as finalidades que motivaram a sua recolha, sem prejuízo de situações que possam justificar a sua manutenção por períodos mais longos (para fins de arquivo de interesse público, de investigação científica ou histórica ou para fins estatísticos) sujeitos às medidas técnicas e organizativas adequadas.

 

8.2. Sigilo e confidencialidade

Os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade que acresce aos deveres de sigilo profissional previsto na lei.

 

9. Tratamento dos dados

 

9.1. O que é o tratamento de dados?

O tratamento de dados é uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

 

9.2. Quais os princípios fundamentais relativos ao tratamento de dados pessoais?

  • Princípio da licitude, lealdade e transparência - Os dados pessoais são objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados.
  • Princípio da limitação das finalidades - Os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais.
  • Princípio da minimização dos dados - Os dados pessoais são adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados.
  • Princípio da exatidão - Os dados pessoais são exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora.
  • Princípio da limitação da conservação - Os dados pessoais são conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados poderão ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, sujeitos à aplicação das medidas técnicas e organizativas adequadas.
  • Princípio da integridade e confidencialidade – Os dados pessoais são tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas e organizativas adequadas.
  • Princípio da responsabilidade demonstrada - O responsável pelo tratamento é responsável pelo cumprimento dos princípios relativos ao tratamento de dados pessoais e tem de poder comprová-lo.

 

9.3. Que categorias de dados são objeto de tratamento no IGFSS?

Para além dos dados pessoais, são ainda objeto de tratamento algumas categorias especiais de dados pessoais. Em qualquer destas situações, o tratamento é limitado a uma finalidade determinada, explícita e legalmente prevista, a qual confere ao IGFSS a legitimidade para o respetivo tratamento.

 

9.4. Como coexiste o dever de cooperação entre entidades públicas previsto pelo Código de Procedimento Administrativo (CPA) e o dever de proteção de dados previsto no RGPD?

O dever de cooperação entre entidades públicas previsto no CPA mantém-se em vigor, porém toda e qualquer transmissão de dados pessoais entre entidades públicas para finalidades diferentes das determinadas pela recolha tem natureza excecional e deve ser devidamente fundamentada com vista a assegurar a prossecução do interesse público que de outra forma não possa ser acautelado, conforme previsto na alínea e) do n.º 1, do n.º 4 do artigo 6.º e da alínea g) do n.º 2 do artigo 9.º do RGPD.

 

9.5. Que tipo de informação pode ser prestada a outros Organismos públicos?

Fora do desígnio da missão de cada Organismo, na articulação com outros Organismos terá que ser acautelada a existência de fundamento de licitude para as operações de tratamento de dados pessoais que sejam efetuadas. No caso concreto dos pedidos avulsos apresentados por outras entidades públicas, o que legitima o pedido não é a entidade em questão ou o cargo de quem apresenta o pedido (ex. agente da PSP, GNR, advogado, etc.), mas a fundamentação apresentada para o pedido em concreto, a qual deverá ser objeto de análise relativamente à finalidade e ao fundamento de licitude invocado.   

 

9.6. Como se compagina o direito à informação e à transparência da administração pública e o direito à proteção de dados?

Não existindo direitos absolutos, as próprias leis podem mitigar certos direitos e impedir que estes sejam exercidos em determinadas circunstâncias (por exemplo, o “direito a ser esquecido" terá pouca aplicação no contexto do IGFSS. Assim, em situações concretas que suscitam dúvidas quanto à possibilidade de coexistência de certos direitos, deverá ser analisado e decidido por quem tem competência para tal, qual dos direitos deve prevalecer.

Do equilíbrio entre o direito à transparência da Administração Pública da Comissão de Acesso aos Documentos Administrativos (CADA) e o direito à proteção dos dados do RGPD, deverá ser assegurada a devida ponderação entre o interesse público e os interesses legítimos do IGFSS, e o direito à privacidade - onde se insere com particular relevância o dever de proteção dos dados pessoais das pessoas singulares.  

 

10. Dados recolhidos

 

10.1. Quais os prazos de tratamento e conservação de dados pessoais?

O período de tempo durante o qual os dados pessoais são armazenados e conservados varia de acordo com a finalidade para a qual a informação é tratada.

Sempre que não exista uma exigência legal específica, os dados serão armazenados e conservados apenas pelo período mínimo necessário para a prossecução das finalidades que motivaram a sua recolha ou o seu posterior tratamento, nos termos definidos na lei.

 

10.2. O que devo fazer quando tomar conhecimento que dados confiados ao IGFSS estão na posse de terceiros?

O RGPD tem medidas muito claras relativamente a estes casos. Existem prazos para comunicar ao Encarregado da Proteção de Dados, que por sua vez, terá que informar a Comissão Nacional de Proteção de Dados num máximo de 72h, após a tomada de conhecimento de que os dados foram comprometidos. Se a violação do RGPD puder afetar significativamente o titular dos dados, poderá ser necessário informá-lo(s).

 

10.3. Como eliminar dados pessoais?

Os dados pessoais são armazenados e conservados de acordo com a finalidade para a qual a informação é tratada.

Sempre que não exista uma exigência legal específica, os dados serão armazenados e conservados apenas pelo período mínimo necessário para a prossecução das finalidades que motivaram a sua recolha ou o seu posterior tratamento, nos termos definidos na lei.

O RGPD não faz distinção pelo suporte (papel ou digital). Em todos os casos é necessário assegurar a efetiva destruição dos dados. Se os dados estiverem em papel, deve ser usada uma destruidora de papel. Os suportes digitais, por exemplo, CDs/DVDs, devem também ser efetivamente destruídos. Num computador depois de apagados, é importante assegurar que os ficheiros são igualmente destruídos do "Recycle Bin".

 

10.4. Pode, o IGFSS, fazer o tratamento de categorias especiais de dados pessoais?

O IGFSS pode fazer tratamento de categorias especiais de dados, quando necessário para cumprir obrigações legais a que está sujeito.

 

 

Contactos / “Formulário de Proteção de Dados” Contactos / “Formulário de Proteção de Dados”

O titular pode apresentar pedidos em matéria de proteção de dados (exercício de direitos, pedidos de esclarecimento ou reporte de incidentes de violação de dados pessoais), designadamente através do endereço de correio eletrónico e formulário infra:

 

Instituto de Gestão Financeira da Segurança Social, I.P

Encarregado de Proteção de Dados do IGFSS, IP

Avenida Manuel da Maia, n.º 58, 1049-002 Lisboa

Endereço de correio eletrónico: IGFSS-EPD@seg-social.pt

Formulário de Proteção de Dados IGFSS