O correio eletrónico é o serviço de comunicação mais usado nas organizações, nesse sentido é também uma fonte de riscos e um dos meios mais usados para a difusão de programas maliciosos. Cada utilizador é responsável pela utilização e atividades associadas à sua conta de correio eletrónico. O seu uso deve ser efetuado de maneira apropriada, não atentando contra a imagem ou funcionamento do Politécnico de Leiria. É, por isso, proibida a utilização do serviço de correio eletrónico para o envio de informação ou conteúdos ofensivos ou inadequados. Na mesma linha, é também proibido o uso do correio eletrónico do Politécnico de Leiria para o tratamento de assuntos de cariz pessoal.

1.1. Reencaminhamento de conta de correio eletrónico

Não é aconselhável o reencaminhamento de correio eletrónico de contas internas para contas externas. O reencaminhamento de mensagens entre caixas de correio internas também é desaconselhado, e só deve acontecer com autorização dos donos das contas de correio eletrónico ou em casos especiais (e.g. doença).

1.2. Verificar destinatários

Quando enviar mensagens, é indispensável garantir que os destinatários que incluiu estão corretos, i.e., são os destinatários que devem receber e ter acesso à informação que está a enviar. Se for necessário, utilize convenientemente as opções “Cópia oculta” e “Responder a todos”.

1.3. Anexos a mensagens

O correio eletrónico é um meio popular de propagação de software malicioso (malware) (e.g. vírus, cavalos-de-troia). É importante que esteja ciente deste facto quando receber mensagens de correio que contenham anexos ou hiperligações para efetuar downloads de sites externos. Como os antivírus não são infalíveis, a melhor defesa é a prudência, sendo aconselháveis as seguintes ações:

• Não abrir anexos de origem desconhecida;

• Não abrir anexos de endereços conhecidos que não esperava receber;

• Nunca abrir anexos que tenham extensões executáveis (e.g. .exe, .bat, .com, .dll);

• Não abrir anexos que tenham mais de uma extensão;

• Em caso de dúvida consultar os serviços informáticos para pedir esclarecimentos.

1.4. Informações críticas e pessoais

Informações criticas, confidenciais ou outro tipo de informações relativas a dados pessoais/privados, só devem ser enviados via correio eletrónico em formatos encriptados. As chaves/palavras-passe usadas nestes processos devem ser enviadas através de outro meio de comunicação.

1.5. Aviso/Disclaimer

Quando envia informação sensível, i.e., possuindo dados pessoais, privados, com classificação secreta ou confidencial, a mensagem de correio eletrónico deverá ser acompanhada de um aviso/disclaimer informando que a informação enviada se destina exclusivamente ao(s) destinatário(s), pelo que a sua distribuição é proibida. Exemplo “Esta mensagem contém informação classificada de confidencial ou privilegiada. Em caso de a ter recebido inadvertidamente, por favor contacte o remetente por correio eletrónico e apague a mensagem assim como todos os seus dados.”

Todos os membros da Comunidade do Politécnico de Leiria deverão ter em conta a política de mesa limpa, de modo a garantir que informação privada, secreta ou confidencial não é divulgada. Deste modo as seguintes ações deverão ser tomadas em conta:

• A mesa de trabalho deverá ser limpa de qualquer documento ou suporte de informação, que contenha dados pessoais ou informações secretas e/ou confidenciais, quando deixado sem supervisão por um longo período de tempo, assim como no final do dia de trabalho;

• Toda a informação com dados pessoais, privados, secretos e confidenciais deverá ser retirada da mesa depois de utilizada e armazenada num local seguro e com controlo de acessos;

• Todos os documentos e suportes físicos de informação devem ser guardados em gavetas adequadas com fechaduras e/ou outra forma segura de mobiliário, quando não estiverem a ser utilizados, especialmente fora dos horários de trabalho;

• Os computadores e dispositivos móveis deverão ser bloqueados sempre que o utilizador se ausentar, e desligados no final do dia de trabalho;

• Todas as impressões com informação pessoal, privada, secreta ou confidencial, utilizada ou processada por equipamentos de suporte (e.g. impressoras, fotocopiadoras, digitalizadores) devem ser retiradas dos mesmos imediatamente após o seu processamento terminar;

• Nenhuma informação de acesso reservado pode ser retirada das instalações sem autorização;

• Fora das instalações do Politécnico de Leiria, qualquer elemento da comunidade académica é responsável pela salvaguarda do equipamento e da informação a ele confiadas.

O novo Regulamento Geral sobre a Proteção de Dados foi publicado no Jornal Oficial da União Europeia e é aplicável a partir do dia 25 de maio de 2018. Relativamente ao novo regulamento, é importante saber que:

• Dados pessoais são todas as informações relativas a uma pessoa identificada ou identificável (nome, morada, património, vencimento, datas, números de cartões, nº de telefone, IP, vídeos, imagem, raça, dados biométricos, folhas de presença, avaliações, curriculum vitae, etc);

• Existe um Data Protection Officer (DPO) no IPLeiria, que é o encarregado da proteção de dados e que poderá ser contactado através de dpo@ipleiria.pt;

• Não deve reunir dados pessoais seja em papel ou em formato eletrónico sem que o DPO do IPLeiria seja informado;

• Ao enviar dados pessoais para outros, estes deverão ser encriptados ou protegidos com palavra-passe (a palavra-passe não deverá ser enviada via correio eletrónico);

• Deverá existir cuidado redobrado no tratamento de documentos com informações criticas como é o caso de dados médicos ou de menores;

• Antes de remeter informação via correio eletrónico com caráter de divulgação, tal como informação sobre ações de formação, oferta formativa ou outra de natureza afim, certifique-se que o destinatário da mensagem deu o seu consentimento escrito para o envio desse tipo de informação. Caso não possua seu consentimento, procure obtê-lo, por correio eletrónico, antes do envio da informação.

• Ao destruir ou eliminar dados pessoais, estes devem ser apagados/destruídos de forma definitiva, garantindo assim que não serão recuperados por terceiros;

• Quando existir violação de dados pessoais e considere-se por violação de dados pessoais uma violação de segurança que provoque, seja de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou acesso não autorizado, a dados pessoais deverá reportar de imediato o incidente de segurança de através de privacidade@ipleiria.pt;

• O DPO tem a responsabilidade e obrigação de comunicar as autoridades todas as fugas ou perdas de dados pessoais ocorridos na organização, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares.

As disposições normativas do novo Regulamento Geral sobre a Proteção de Dados, Regulamento (UE) 2016/679, de 27 de abril de 2016, publicado no Jornal Oficial da União Europeia no dia 4 de maio de 2016 entram em vigor a 25 de maio de 2018.

O RGPD aplica-se aos responsáveis pelo tratamento de dados com estabelecimento no território da União Europeia, desde que o tratamento de dados se efetue no contexto das atividades desse estabelecimento.

De acordo com o RGPD os dados pessoais são todas as informações, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável. É considerada identificável a pessoa que possa ser considerada identificada direta ou indiretamente, designadamente por referência a um identificador como o nome, número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, mental, económica ou social. São exemplos de dados pessoais: nome, morada, vencimento, datas, números de cartões, n.º de telefone, IP, vídeos, imagem, raça, dados biométricos, ente outros.

Não. Apenas é um dado pessoal se estiver associado ao nome de uma pessoa singular. Não é dado pessoal se o endereço de e-mail for, por exemplo, info@empresa.com, mas já é um dado pessoal se se tratar por exemplo de: nome.apelido@empresa.com.

A imagem fotográfica ou filmada é um dado pessoal especialmente protegido, sendo que o seu tratamento (desde a recolha à divulgação) é permitido quando se verificar alguma das situações previstas nas alínea a) a j) do n.º 2 do artigo 9.º do RGPD ou se a situação for enquadrável em previsão legislativa nacional.

É qualquer operação ou conjunto de operações efetuadas sobre os dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

É a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.

– Os dados pessoais são objeto de um tratamento lícito, leal e transparente para com o titular dos dados;

– Os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas e não podem ser tratados posteriormente de uma forma incompatível com essas finalidades;

– Os dados pessoais devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);

– Os dados pessoais devem ser exatos e atualizados sempre que necessário, podendo ser apagados ou retificados sem demora («exatidão»);

– Os dados pessoais devem ser conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados;

– Os dados pessoais devem ser tratados com integridade e confidencialidade.

Sim, o RGPD permite o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos. Os dados ainda poderão ser conservados pelo período definido em legislação específica.

O responsável pelo tratamento deve adotar as medidas técnicas ou organizativas adequadas de forma a garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental.

Direito à Informação – Poderá solicitar informação sobre o tratamento dos seus dados pessoais.

Direito de Acesso – Poderá solicitar o acesso aos dados pessoais que lhe digam respeito.

Direito à Correção – Poderá solicitar a correção dos dados pessoais inexatos ou completar os dados que se encontram incompletos.

Direito ao Apagamento – Poderá solicitar o apagamento de dados pessoais nos termos regulados pelo RGPD nomeadamente quando o seu tratamento seja ilícito.

Direito de Oposição – Poderá opor-se ao tratamento dos seus dados pessoais para fins de comercialização ou por motivos que digam respeito à sua situação particular.

Direito à Limitação – Poderá limitar o tratamento dos seus dados em casos específicos.

Direito à Portabilidade – Poderá receber os seus dados em formato de leitura automática e enviá-los para outro responsável pelo tratamento.

Deverá remeter um requerimento escrito ao responsável pela proteção de dados (Presidente do Politécnico de Leiria), com os seguintes elementos:

• nome;
• dados de identificação;
• dados de contacto, preferencialmente e-mail;
• indicação do pedido em termos claros e precisos;
• data e assinatura do requerente.

Para comprovação da identidade do titular dos dados, o titular do pedido deve exibir o cartão do cidadão ou remeter ao responsável pelo tratamento dos dados, cópia do cartão do cidadão com a seguinte declaração: “Declaro que autorizo a utilização da cópia do meu cartão do cidadão para comprovação dos meus dados pessoais no pedido de acesso/retificação dos meus dados.”

A resposta deve ser exercida no prazo de um mês a contar da receção do pedido. No caso do Politécnico de Leiria não dispor dos dados ou tiver intenção de recusar o pedido deverá dar conhecimento ao requerente dentro do mesmo prazo.

O acesso, depois de apreciado o requerimento entregue pelo titular de dados nesse sentido, pode ser feito através das seguintes vias:

• Consulta presencial;
• Reprodução de fotocópia ou certidão;
• Qualquer outro sistema que seja compatível com o sistema de tratamento de dados.

Para efeitos de constituição e manutenção do vínculo de emprego público (relação laboral), O IPLeiria através dos seus serviços é legalmente obrigado a proceder à verificação da reunião dos requisitos legalmente previstos, entre os quais: a identificação, a nacionalidade e a maioridade (cf. artigo 17.º da LTFP, anexa à Lei n.º 35/2014, de 20/06).

Para além da recolha destes, atualmente, o documento de identificação nacional (Cartão do cidadão) contém dados necessários ao cumprimento de obrigações contributivas (segurança social e identificação fiscal).

A não junção do documento de identificação, ou a sua não apresentação quando solicitado, implica a impossibilidade de verificação dos requisitos gerais de admissão, pelo que a exigência tem lei que torna lícita a recolha e tratamento dos referidos dados.

Para efeitos de constituição e manutenção do vínculo de emprego público, o IPLeiria está legalmente obrigado a verificar vários requisitos, entre eles: se o trabalhador/candidato a trabalhador cumpre as leis de vacinação obrigatória (cf. alínea e), do n.º 1,artigo 17.º da LTFP). Em Portugal a vacinação não é obrigatória, com exceção das vacinas contra o tétano e difteria (as combinações de vacina têm as duas). O Decreto-lei n.º 44198, de 20.02.1962, em vigor, determina:

“Art.º 4 Nenhum individuo poderá (…) ser admitido em quaisquer funções públicas, dos corpos administrativos, (…) ou das pessoas coletivas de utilidade pública administrativa sem que, por certificado médico ou atestado da respetiva autoridade sanitária, prove que se encontra devidamente vacinado contra o tétano. (…).”

Os serviços de RH têm a obrigação de proceder à verificação dos requisitos legalmente previstos, no entanto, extravasa a competência deste serviço a reunião desses mesmos requisitos, cabendo essa obrigação ao trabalhador.

De acordo com o RGPD, é lícito o tratamento de dados pessoais, ainda que estes sejam considerados sensíveis, se o tratamento for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. Acresce a esta norma, legislação nacional que obriga as instituições de ensino superior à recolha e tratamento de dados para fins estatísticos. Estes dados são recolhidos no estritamente exigido pela DGEEC/DGES (entidade de regula e determina a recolha desses dados nas instituições de ensino superior).