{"id":42941,"date":"2021-03-24T11:43:48","date_gmt":"2021-03-24T11:43:48","guid":{"rendered":"http:\/\/imm.medicina.ulisboa.pt\/?page_id=42941"},"modified":"2021-03-24T11:50:52","modified_gmt":"2021-03-24T11:50:52","slug":"protecao-de-dados","status":"publish","type":"page","link":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/","title":{"rendered":"Prote\u00e7\u00e3o de Dados"},"content":{"rendered":"\n

O Regulamento Geral de Prote\u00e7\u00e3o de Dados (RGPD) est\u00e1 em vigor desde o dia 25 de maio de 2018.

Este conjunto de perguntas e respostas foi elaborado com o objetivo de preparar todos os funcion\u00e1rios, sobre como se deve proceder para cumprir o regulamento.

Para qualquer d\u00favida adicional dever\u00e1 contactar o Encarregado de Prote\u00e7\u00e3o de Dados do Instituto de Medicina Molecular no endere\u00e7o de email imm-legal@medicina.ulisboa.pt<\/a>.<\/p>\n\n\n\n

\n\n\n\n

Perguntas Frequentes:<\/strong><\/p><\/blockquote>\n\n\n\n

Defini\u00e7\u00f5es<\/strong>
O que s\u00e3o dados pessoais?
<\/strong>O n\u00ba 1 do Art. 4\u00ba do RGPD define dados pessoais como “informa\u00e7\u00e3o relativa a uma pessoa singular identificada ou identific\u00e1vel (\u00abtitular dos dados\u00bb); \u00e9 considerada identific\u00e1vel uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por refer\u00eancia a um identificador, como por exemplo um nome, um n\u00famero de identifica\u00e7\u00e3o, dados de localiza\u00e7\u00e3o, identificadores por via eletr\u00f3nica ou a um ou mais elementos espec\u00edficos da identidade f\u00edsica, fisiol\u00f3gica, gen\u00e9tica, mental, econ\u00f3mica, cultural ou social dessa pessoa singular;”

O que “n\u00e3o s\u00e3o” dados pessoais?
<\/strong>S\u00e3o dados que, independentemente do seu conte\u00fado, n\u00e3o possam ser associados a uma pessoa individual. Ou seja, se por exemplo numa pauta se eliminar o nome e n\u00famero de aluno ficando apenas as classifica\u00e7\u00f5es obtidas, ent\u00e3o esta vers\u00e3o da pauta n\u00e3o est\u00e1 sob al\u00e7ada do RGPD (ver tamb\u00e9m quest\u00f5es sobre pseudonimiza\u00e7\u00e3o).

Existe diferen\u00e7a entre os dados recolhidos junto do titular e os dados obtidos de outra forma?
<\/strong>Estes dados incluem por exemplo registos de acesso (logs), cookies, endere\u00e7os IP de acesso, etc. As diferen\u00e7as s\u00e3o apenas na informa\u00e7\u00e3o a prestar sobre os mesmos ao titular e que est\u00e3o descritas no Art. 14\u00ba do RGPD.

O que s\u00e3o “categorias especiais de dados pessoais”?<\/strong>
O Art. 9\u00ba do RGPD aplica restri\u00e7\u00f5es ainda mais severas ao tratamento de categorias especiais de dados pessoais, definidas como: “dados pessoais que revelem a origem racial ou \u00e9tnica, as opini\u00f5es pol\u00edticas, as convic\u00e7\u00f5es religiosas ou filos\u00f3ficas, ou a filia\u00e7\u00e3o sindical, bem como o tratamento de dados gen\u00e9ticos, dados biom\u00e9tricos para identificar uma pessoa de forma inequ\u00edvoca, dados relativos \u00e0 sa\u00fade ou dados relativos \u00e0 vida sexual ou orienta\u00e7\u00e3o sexual de uma pessoa. “. Todos estes dados t\u00eam restri\u00e7\u00f5es adicionais de tratamento pelo que se recomenda a leitura atenta das sec\u00e7\u00f5es respetivas do RGPD.

Dados Gen\u00e9ticos s\u00e3o definidos como: “Os dados pessoais relativos \u00e0s caracter\u00edsticas gen\u00e9ticas, heredit\u00e1rias ou adquiridas, de uma pessoa singular que deem informa\u00e7\u00f5es \u00fanicas sobre a fisiologia ou a sa\u00fade dessa pessoa singular e que resulta designadamente de uma an\u00e1lise de uma amostra biol\u00f3gica proveniente da pessoa singular em causa” (RGPD, Art\u00ba 4, n\u00ba 13).

Dados biom\u00e9tricos s\u00e3o definidos como “Dados pessoais resultantes de um tratamento t\u00e9cnico espec\u00edfico relativo \u00e0s caracter\u00edsticas f\u00edsicas, fisiol\u00f3gicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identifica\u00e7\u00e3o \u00fanica dessa pessoa singular , nomeadamente imagens faciais ou dados dactilosc\u00f3picos” (RGPD, Art. 4\u00ba, n\u00ba 14).

Dados relativos \u00e0 sa\u00fade s\u00e3o definidos como “Dados pessoais relacionados com a sa\u00fade f\u00edsica ou mental de uma pessoa singular, incluindo a presta\u00e7\u00e3o de servi\u00e7os de sa\u00fade, que revelem informa\u00e7\u00f5es sobre o seu estado de sa\u00fade” (RGPD, Art. 4\u00ba, n\u00ba 15).

Quem \u00e9 o “titular dos dados”?
<\/strong>\u00c9 a pessoa a quem os dados pessoais dizem respeito. A titularidade mant\u00e9m-se sempre do indiv\u00edduo.

Quem \u00e9 o “encarregado de prote\u00e7\u00e3o dos dados”?
<\/strong>\u00c9 a pessoa respons\u00e1vel por garantir que os dados se encontram adequadamente protegidos e s\u00e3o tratados de forma leg\u00edtima. \u00c9 ainda o ponto de contacto com a Comiss\u00e3o Nacional de Prote\u00e7\u00e3o de Dados. A institui\u00e7\u00e3o tem a obriga\u00e7\u00e3o de fornecer ao encarregado de prote\u00e7\u00e3o dos dados todas as informa\u00e7\u00f5es e condi\u00e7\u00f5es necess\u00e1rias para a realiza\u00e7\u00e3o destas tarefas.

O que \u00e9 o “tratamento dos dados”?
<\/strong>S\u00e3o todas as opera\u00e7\u00f5es realizadas sobre os dados que nos s\u00e3o confiados pelo titular. Todos deve ser interpretado no sentido mais lato. O acesso (leitura) aos dados \u00e9 um tratamento. A sua salvaguarda em ficheiro, a cria\u00e7\u00e3o de c\u00f3pias, consulta, divulga\u00e7\u00e3o, etc. tamb\u00e9m s\u00e3o tratamentos de dados.

O que \u00e9 a “pseudonimiza\u00e7\u00e3o” dos dados?
<\/strong>\u00c9 a a\u00e7\u00e3o pela qual deixa de existir uma liga\u00e7\u00e3o entre o titular e os dados. De uma forma mais simples pode dizer-se que consiste na remo\u00e7\u00e3o, modifica\u00e7\u00e3o ou substitui\u00e7\u00e3o das carater\u00edsticas individuais por representa\u00e7\u00f5es codificadas para assegurar que os dados pessoais n\u00e3o possam ser atribu\u00eddos a uma pessoa singular identificada ou identific\u00e1vel.

Em que situa\u00e7\u00f5es \u00e9 l\u00edcito tratar dados pessoais?
<\/strong>Para que o tratamento seja l\u00edcito, os dados pessoais dever\u00e3o ser tratados com base no consentimento da titular dos dados em causa ou noutro fundamento leg\u00edtimo, previsto por lei, quer no presente regulamento quer noutro ato de direito da Uni\u00e3o ou de um Estado-Membro referido no presente regulamento, incluindo a necessidade de serem cumpridas as obriga\u00e7\u00f5es legais a que o respons\u00e1vel pelo tratamento se encontre sujeito ou a necessidade de serem executados contratos em que o titular dos dados seja parte ou a fim de serem efetuadas as dilig\u00eancias pr\u00e9-contratuais que o titular dos dados solicitar. (em: Jornal Encarregado da Uni\u00e3o Europeia, 4.5.2016 PT, p.119\/7)<\/p>\n\n\n\n

Computadores Pessoais
Posso ter dados pessoais de alunos, funcion\u00e1rios e candidatos no meu computador pessoal?
<\/strong>Sim, desde que seja para o estrito cumprimento das suas fun\u00e7\u00f5es profissionais (e.g. elabora\u00e7\u00e3o de uma pauta).

Tenho dados pessoais de alunos, funcion\u00e1rios ou candidatos no meu computador pessoal, como devo proceder?
<\/strong>Os dados pessoais dos alunos, funcion\u00e1rios ou candidatos devem permanecer nos computadores pessoais o tempo indispens\u00e1vel \u00e0 realiza\u00e7\u00e3o da tarefa leg\u00edtima, ap\u00f3s o qual devem ser apagados.

Durante o tempo em que permanecem no computador pessoal, o funcion\u00e1rio deve assegurar-se que o seu computador cumpre todas as regras b\u00e1sicas de seguran\u00e7a.

Opcionalmente, o utilizador poder\u00e1 cifrar os ficheiros com dados pessoais, com a ajuda de programas como o WinRAR e o 7-Zip, que sendo de utiliza\u00e7\u00e3o livre permitem comprimir e cifrar um conjunto de ficheiros com uma password.

Quais as regras b\u00e1sicas de seguran\u00e7a que devo seguir para assegurar a prote\u00e7\u00e3o dos dados pessoais temporariamente armazenados no meu computador pessoal?
Sem preju\u00edzo de nenhuma outra, devem ser asseguradas as seguintes regras:
– A senha de acesso ao computador deve possuir uma dimens\u00e3o m\u00ednima de 8 caracteres, deve ser memoriz\u00e1vel, para que n\u00e3o tenha que ser escrita noutro local, mas n\u00e3o deve resultar de uma palavra ou de um conjunto de palavras.
– Recomenda-se o uso de frases para facilitar a memoriza\u00e7\u00e3o, sendo que estas podem ser utilizadas diretamente (tendo como resultado senhas muito longas), ou escolhendo algumas letras de cada palavra (e.g. as duas\/tr\u00eas primeiras\/\u00faltimas letras de cada palavra).
– O computador deve possuir todas as atualiza\u00e7\u00f5es de seguran\u00e7a mais recentes.
– O computador n\u00e3o deve ter instalado software para al\u00e9m do software aprovado pela escola.
– Devem ser seguidas as regras de prud\u00eancia no seguimento de hiperliga\u00e7\u00f5es recebidas por meios n\u00e3o solicitados (e.g. por email). As hiperliga\u00e7\u00f5es recebidas por email s\u00e3o o mecanismo mais comum para ataque a computadores pessoais.<\/p>\n\n\n\n

Cloud<\/strong>
Tenho dados pessoais armazenados em Cloud p\u00fablicas, como devo proceder?
<\/strong>Os dados pessoais n\u00e3o devem ser mantidos em Cloud p\u00fablicas, como a Dropbox, o Google Docs ou o Office365. Caso seja absolutamente necess\u00e1rio manter essa informa\u00e7\u00e3o na Cloud p\u00fablica ent\u00e3o esta deve estar cifrada (e.g. WinRAR, 7-Zip).

Uso documentos online de uma Cloud p\u00fablica (e.g. Google Docs, Office365) para processar dados pessoais de alunos, funcion\u00e1rios ou candidatos (e.g. preenchimento cooperativo de pautas), posso continuar a faz\u00ea-lo?
<\/strong>As Cloud p\u00fablicas n\u00e3o devem ser usadas para processar dados pessoais, pois n\u00e3o \u00e9 garantido o respeito pelo RGPD. Em vez disso dever\u00e1 usar-se a vers\u00f5es contratualizadas dos mesmos produtos, por exemplo a licen\u00e7a Google Docs for Education da Universidade de Lisboa, o a licen\u00e7a Microsoft Office365 que a grande maioria das escolas possuem no \u00e2mbito do Microsoft Campus Agreement. Tal implica a utiliza\u00e7\u00e3o das contas de utilizadores associadas \u00e0 universidade.

O uso de documentos online e ficheiros armazenados na Cloud no \u00e2mbito de contratos de presta\u00e7\u00e3o de servi\u00e7os, para processamento de dados pessoais \u00e9 permitido?
<\/strong>Genericamente sim, desde que os contratos n\u00e3o excluam explicitamente o cumprimento do RGPD, os prestadores de servi\u00e7o encontram-se automaticamente abrangidos pelas suas regras.<\/p>\n\n\n\n

Prestadores de Servi\u00e7os<\/strong>
Possuo contratos de implementa\u00e7\u00e3o e manuten\u00e7\u00e3o de sistemas de informa\u00e7\u00e3o que cont\u00eam dados pessoais, como devo proceder para assegurar o cumprimento do RGPD?
<\/strong>Genericamente os prestadores de servi\u00e7os abrangidos por um contrato encontram-se automaticamente abrangidos pelo dever de sigilo e cumprimento do RGPD relativamente aos dados pessoais a que tenham acesso no \u00e2mbito da sua atividade, a menos que tal seja explicitamente dito no contrato e exista uma justifica\u00e7\u00e3o v\u00e1lida.

No entanto, recomenda-se que todos os casos de acesso a dados pessoais por parte de prestadores de servi\u00e7os sejam reportados ao Encarregado de Prote\u00e7\u00e3o de Dados, sendo que no caso dos prestadores de servi\u00e7os n\u00e3o estarem abrangidos pelo RGPD, por via contratual, a comunica\u00e7\u00e3o \u00e9 obrigat\u00f3ria.<\/p>\n\n\n\n

Dados Recolhidos<\/strong>
Os alunos t\u00eam-me perguntado para que \u00e9 que o Instituto necessita de saber toda a informa\u00e7\u00e3o que lhes pede, e.g. o nome do pai e nome da m\u00e3e, o que lhes devo responder?
<\/strong>A maioria desses dados s\u00e3o necess\u00e1rio para responder a inqu\u00e9ritos oficiais como o RAIDES. De forma a cumprir este desiderato o instituto mant\u00e9m esta informa\u00e7\u00e3o durante todo o tempo de perman\u00eancia do aluno no instituto e por mais dois anos ap\u00f3s a sua \u00faltima inscri\u00e7\u00e3o.

Os candidatos a mestrados, doutoramento e outros programas perguntam-me o que fazemos com os dados pessoais deles caso a sua candidatura n\u00e3o seja aceite, o que devo responder?
<\/strong>Os candidatos que n\u00e3o se transformam em alunos, seja porque n\u00e3o foram aceites, seja porque desistem antes de iniciar, seja porque o procedimento se esgota no final da candidatura, t\u00eam os seus dados pessoais eliminados ao fim do per\u00edodo necess\u00e1rio para garantir os prazos de reclama\u00e7\u00e3o, com exce\u00e7\u00e3o dos dados de fatura\u00e7\u00e3o, caso tenha existido um pagamento, que s\u00f3 s\u00e3o eliminados findo o prazo legal.

Os funcion\u00e1rios docentes e n\u00e3o docentes t\u00eam-me perguntado qual a necessidade de recolher os seus dados pessoais?
<\/strong>Todos os dados pessoais recolhidos pela unidades org\u00e2nicas do Instituto de Medicina Molecular s\u00e3o obrigat\u00f3rios no \u00e2mbito do emprego na fun\u00e7\u00e3o p\u00fablica.

A utiliza\u00e7\u00e3o de informa\u00e7\u00e3o biom\u00e9trica para controlo da assiduidade \u00e9 legal no \u00e2mbito do RGPD?
<\/strong>Sim, a utiliza\u00e7\u00e3o \u00e9 legal desde que a recolha da informa\u00e7\u00e3o biom\u00e9trica tenha sido efetuado de forma leg\u00edtima. A legitimidade das recolhas depende da legisla\u00e7\u00e3o em vigor \u00e0 data da respectiva recolha. Anteriormente \u00e0 entrada em vigor do regulamento as recolhas s\u00e3o leg\u00edtimas desde que o sistema de controlo de assiduidade tenha sido registado na Comiss\u00e3o Nacional de Prote\u00e7\u00e3o de dados. Ap\u00f3s a entrada em vigor do regulamento a recolha \u00e9 leg\u00edtima se tiver o consentimento do trabalhador.

A v\u00eddeo-vigil\u00e2ncia das instala\u00e7\u00f5es do campus \u00e9 leg\u00edtima no \u00e2mbito do RGPD?
<\/strong>Sim, a utiliza\u00e7\u00e3o \u00e9 leg\u00edtima. Est\u00e1 de acordo com a regras existentes antes do entrada em vigor do RGPD e mant\u00eam-se de acordo com as regras ap\u00f3s a entrada em vigor do RGPD, mudando apenas a responsabilidade pelo cumprimento dos procedimentos de privacidade que ap\u00f3s a entrada em vigor do RGPD \u00e9 maior.

O que devo fazer quando tomar conhecimento de que os dados que me foram confiados est\u00e3o na posse de terceiros?
<\/strong>O RGPD tem medidas muito claras relativamente a estes casos. Existem prazos para comunicar ao Encarregado da Prote\u00e7\u00e3o de Dados, que ter\u00e1 que informar a Comiss\u00e3o Nacional de Prote\u00e7\u00e3o de Dados num m\u00e1ximo de 72h ap\u00f3s a tomada de conhecimento de que os dados foram comprometidos. Se a quebra poder afetar significativamente o titular dos dados, poder\u00e1 ser necess\u00e1rio inform\u00e1-lo(s).

Como eliminar dados pessoais?
<\/strong>O RGPD n\u00e3o faz distin\u00e7\u00e3o pelo suporte (papel ou digital). Em todos os casos \u00e9 necess\u00e1rio assegurar a efetiva destrui\u00e7\u00e3o dos dados. Se os dados estiverem em papel, deve ser usada uma destruidora de papel. CDs\/DVDs devem tamb\u00e9m ser efetivamente destru\u00eddos. Num computador depois de apagados, \u00e9 importante assegurar que os ficheiros s\u00e3o igualmente destru\u00eddos do “Recycle Bin”.

Que dados posso\/\u00e9 leg\u00edtimo tratar?
<\/strong>A legitimidade do tratamento de dados est\u00e1 definida no n\u00ba 1 do Art\u00ba 6\u00ba, do RGPD. Genericamente \u00e9 leg\u00edtimo tratar os dados se:

– O tratamento for necess\u00e1rio para a prossecu\u00e7\u00e3o do contrato (impl\u00edcito ou expl\u00edcito) entre o titular e o respons\u00e1vel pelo tratamento;
– O tratamento for necess\u00e1rio para que o respons\u00e1vel pelo tratamento cumpra as suas obriga\u00e7\u00f5es legais;
– Existir uma autoriza\u00e7\u00e3o expl\u00edcita e afirmativa (consentimento) por parte do titular para o tratamento em causa.

O pedido de consentimento deve ser entendido como o \u00faltimo recurso. Ou seja, devem ser sempre solicitados apenas e s\u00f3 os dados estritamente necess\u00e1rios para os tratamentos leg\u00edtimos sem um pedido de consentimento.

Como pedir consentimento?<\/strong>
O consentimento ter\u00e1 que ser dado individualmente para cada tratamento de forma expl\u00edcita e afirmativa. N\u00e3o s\u00e3o por isso aceit\u00e1veis procedimentos utilizados tipicamente at\u00e9 agora como:

– Mensagens do tipo “Se n\u00e3o concordar clique aqui”;
– Mensagens do tipo “Ao navegar por este site est\u00e1 a aceitar\u2026”;
– Caixas de sele\u00e7\u00e3o pr\u00e9-preenchidas;
– Indica\u00e7\u00f5es “vagas” sobre os tratamentos aos dados e que tentem desta forma cobrir tratamentos n\u00e3o antecipados;
– Uma vez que o consentimento \u00e9 por tratamento, outros tratamentos n\u00e3o antecipados no pedido de consentimento original n\u00e3o s\u00e3o autorizados.

Sempre que o tratamento for realizado com base no consentimento do titular dos dados, o respons\u00e1vel pelo tratamento dever\u00e1 poder demonstrar que o titular deu o seu consentimento \u00e0 opera\u00e7\u00e3o de tratamento dos dados. (em: Jornal Encarregado da Uni\u00e3o Europeia, 4.5.2016 PT, p.119\/8)<\/p>\n\n\n\n

Dados Enviados para Entidades Terceiras
Envio regularmente dados pessoais, de alunos, funcion\u00e1rios ou candidatos para entidades exteriores \u00e0 Universidade, posso continuar a faz\u00ea-lo?<\/strong>
Em regra todas as trocas peri\u00f3dicas de dados pessoais com entidades terceiras \u00e0 Universidade devem ser comunicadas ao Encarregado de Prote\u00e7\u00e3o de Dados da sua Institui\u00e7\u00e3o.

No entanto, a resposta \u00e9 genericamente sim, desde que exista uma obriga\u00e7\u00e3o legal para o fazer ou tenha obtido autoriza\u00e7\u00e3o dos titulares dos dados para tal.

De forma geral os dados pessoais enviados no \u00e2mbito de procedimentos de inqu\u00e9rito para fins estat\u00edsticos de \u00e2mbito nacional (e.g. RAIDES, REBIDES) s\u00e3o obrigat\u00f3rios por lei, pelo que devem continuar.<\/p>\n\n\n\n

Dado Enviados para outras Entidades Org\u00e2nicas
Envio regularmente dados pessoais, de alunos, funcion\u00e1rios ou candidatos para entidades internas ao Instituto, posso continuar a faz\u00ea-lo?<\/strong>
Em regra todas as trocas de dados pessoais dentro do Instituto de Medicina Molecular s\u00e3o permitidas desde que sejam leg\u00edtimas, i.e. tenham como objectivo o cumprimento da fun\u00e7\u00e3o do instituto. De facto, no \u00e2mbito do RGPD, o envio de informa\u00e7\u00e3o pessoal entre unidades org\u00e2nicas n\u00e3o \u00e9 diferente da troca de dados pessoais entre funcion\u00e1rios dentro da mesma unidade org\u00e2nica. Em ambos os casos a troca de informa\u00e7\u00e3o dever\u00e1 ser leg\u00edtima, controlada e transparente.

No entanto, como a troca de informa\u00e7\u00e3o entre unidades org\u00e2nicas implica uma perda de controlo superior \u00e0 troca de informa\u00e7\u00e3o entre pessoas da mesma unidade org\u00e2nica, em regra, todas as trocas de dados pessoais entre unidade org\u00e2nicas deve ser comunicada aos Oficiais de Prote\u00e7\u00e3o de Dados de ambas as institui\u00e7\u00f5es.<\/p>\n\n\n\n

Publica\u00e7\u00e3o de Dados<\/strong>
Sou respons\u00e1vel por um website. Tenho que tomar medidas especiais?
<\/strong>Sim. Se existirem formul\u00e1rios para preenchimento de dados pessoais ser\u00e1 necess\u00e1rio assegurar que respeitam o RGPD no que toca \u00e0 limita\u00e7\u00e3o da informa\u00e7\u00e3o solicitada, do pedido de consentimento, dos tratamentos realizados e das medidas para os proteger.

Adicionalmente, h\u00e1 que assegurar que os dados obtidos com o acesso ao website respeitam tamb\u00e9m eles o RGPD. Os dois casos mais evidentes s\u00e3o os Cookies e as plataformas de contabiliza\u00e7\u00e3o e registo de acessos como o Google Analytics.

As mensagens padr\u00e3o como “este site utiliza cookies e se continuar a aceder estar\u00e1 a aceitar a sua utiliza\u00e7\u00e3o” n\u00e3o respeitam o consentimento expl\u00edcito e positivo pelo que devem ser substitu\u00eddos. O drupal (plataforma de alojamento mais utilizada em Ci\u00eancias) est\u00e1 hoje (21\/5\/2018) a ultimar uma vers\u00e3o que respeita o RGPD.

No caso do Google Analytics, deve-se recorrer \u00e0 pseudonimiza\u00e7\u00e3o do endere\u00e7o de acesso, existindo instru\u00e7\u00f5es para tal em: https:\/\/developers.google.com\/analytics\/devguides\/collection\/analyticsjs\/field-reference#anonymizeIp . Os interessados poder\u00e3o contactar a \u00c1rea de Sistemas e Servidores para apoio.<\/p>\n\n\n\n

Emails
Posso enviar emails para grupos de endere\u00e7os que est\u00e3o na minha agenda pessoal?<\/strong>
Sim, as agendas pessoais est\u00e3o exclu\u00eddas do regulamento.

O que n\u00e3o quer dizer que n\u00e3o deva ter os cuidados necess\u00e1rios para que a informa\u00e7\u00e3o constante na sua agenda n\u00e3o seja divulgada a terceiros.

O que \u00e9 um email institucional?
<\/strong>Um email institucional \u00e9 um email que foi criado por uma institui\u00e7\u00e3o (e.g. escola, servi\u00e7os de a\u00e7\u00e3o social, instituto de investiga\u00e7\u00e3o) para comunicar com as pessoas que dela fazem parte.

Um email institucional pode ser um email com um dom\u00ednio externo \u00e0 organiza\u00e7\u00e3o?
<\/strong>Pode se for o titular do email a fornecer explicitamente esse email para ser usado em substitui\u00e7\u00e3o do email institucional.

O email institucional \u00e9 um dado pessoal?
<\/strong>Sim, em regra todos os emails s\u00e3o dados pessoais, exceto aqueles que nomeiam cargos ou organiza\u00e7\u00f5es.

Tenho recebido muitos emails a solicitar o consentimento para a continua\u00e7\u00e3o do envio de emails, como devo proceder?
<\/strong>Com precau\u00e7\u00e3o. Muitos dos emails que est\u00e3o a ser recebidos s\u00e3o emails ileg\u00edtimos, enviados por utilizadores maliciosos, que se aproveitam do RGPD para obterem informa\u00e7\u00e3o pessoal ou efetuarem outro tipo de ataques aos computadores pessoais.

Distinguir uns dos outros n\u00e3o \u00e9 tarefa f\u00e1cil, mas deixam-se aqui algumas dicas:
– Se nunca deu o seu email \u00e0 entidade que supostamente lhe est\u00e1 a solicitar o consentimento, ent\u00e3o o mail \u00e9 provavelmente ileg\u00edtimo. Mesmo que seja uma entidade conhecida e id\u00f3nea, n\u00e3o quer dizer que o email seja. \u00c9 frequente o nome de entidades id\u00f3neas ser usado por terceiros para convencer os utilizadores.
– Se lhe est\u00e3o a solicitar que envie um email para ser removido da lista ent\u00e3o \u00e9 prov\u00e1vel que o email seja malicioso, pois essa atitude viola os princ\u00edpio b\u00e1sicos do RGPD.
– Se lhe est\u00e3o a solicitar que envie informa\u00e7\u00e3o pessoal ent\u00e3o \u00e9 provavelmente um ataque de \u201cPhishing\u201d, com o objetivo de recolher dados pessoais para posteriormente ser efetuados ataques de roubo de identidade.
– Se lhe est\u00e3o a solicitar que pressione um bot\u00e3o ou siga uma hiperliga\u00e7\u00e3o ent\u00e3o, por cautela deve consider\u00e1-lo malicioso. Infelizmente, esta regra \u00e9 muito fal\u00edvel, pois existem ainda muitas entidades leg\u00edtimas que enviam este tipo de emails, mas carregar em bot\u00f5es ou seguir hiperliga\u00e7\u00f5es em emails \u00e9 o m\u00e9todo mais comum para ataques de \u201cPhishing\u201d, \u201cXSS\u201d, \u201cCRSF\u201d, entre outros, pelo que a sua utiliza\u00e7\u00e3o n\u00e3o \u00e9 recomendada.

Posso enviar emails para listas de docentes, funcion\u00e1rios e alunos atrav\u00e9s do seu email institucional?
<\/strong>Pode. O contrato que possui com alunos, funcion\u00e1rios e docentes permite o seu uso para fins profissionais ou acad\u00e9micos.

Tal n\u00e3o \u00e9 verdade para fins de divulga\u00e7\u00e3o de eventos n\u00e3o profissionais ou n\u00e3o acad\u00e9micos. Para o uso do email institucional para esses fins \u00e9 necess\u00e1rio obter consentimento informado do titular.

Posso enviar emails para listas de email gen\u00e9ricas que possuo na minha institui\u00e7\u00e3o?
<\/strong>Pode, mas apenas se tiver o consentimento informado do titular do email.

Como posso obter o consentimento informado para utilizar um email para fins de divulga\u00e7\u00e3o?
<\/strong>Aquando da cria\u00e7\u00e3o do email institucional ou aquando da obten\u00e7\u00e3o do email, o titular dever\u00e1 ter a op\u00e7\u00e3o de aceitar ou n\u00e3o a utiliza\u00e7\u00e3o do email para fins de divulga\u00e7\u00e3o ou quaisquer outros que se pretenda obter consentimento.

Ent\u00e3o e o que fazer para os emails que j\u00e1 existem nas listas de emails?
<\/strong>Existem v\u00e1rias formas de obter o consentimento informado. Uma das mais comuns \u00e9 o envio de emails solicitando ao titular que confirme que quer receber emails para os fins espec\u00edficos indicados no email.

Note-se que devem ser indicados os fins espec\u00edficos a que se destinam os emails a enviar, e.g. divulga\u00e7\u00e3o de eventos culturais promovidos pelo Instituto de Medicina Molecular, ou divulga\u00e7\u00e3o de not\u00edcias sobre o Instituto de Medicina Molecular.

Deve tamb\u00e9m indicar explicitamente que a aus\u00eancia de resposta deve ser considerada uma n\u00e3o autoriza\u00e7\u00e3o.

Posso enviar um email em que solicito aos titulares que pressionem um bot\u00e3o no caso de darem autoriza\u00e7\u00e3o ou pressionem outro bot\u00e3o no caso de n\u00e3o darem autoriza\u00e7\u00e3o?
<\/strong>Pode, mas n\u00e3o deve. N\u00e3o existem raz\u00f5es legais que impe\u00e7am o envio destes emails, mas o seu envio \u00e9 prejudicial \u00e0 prote\u00e7\u00e3o de dados pessoais.

Os emails com bot\u00f5es e hiperliga\u00e7\u00f5es e s\u00e3o o meio mais comum para ataques inform\u00e1ticos de \u201cPhishing\u201d, \u201cXSS\u201d, \u201cCSRF\u201d, entre outros. A maioria dos utilizadores n\u00e3o tem conhecimentos para distinguir um bot\u00e3o ou hiperliga\u00e7\u00e3o leg\u00edtimos de um bot\u00e3o ou hiperliga\u00e7\u00e3o maliciosos. Pelo que, para facilitar a distin\u00e7\u00e3o entre mails leg\u00edtimos e mails maliciosos, os emissores de emails leg\u00edtimos devem, na medida do poss\u00edvel, abster-se de enviar emails com bot\u00f5es ou hiperliga\u00e7\u00f5es.

Ent\u00e3o como posso obter a autoriza\u00e7\u00e3o dos utilizadores?
<\/strong>A forma mais simples \u00e9 solicitar-lhes que respondam ao email com uma palavra chave no inicio do email, e.g. \u201cSim\u201d, e processar todos os emails recebidos com essa chave.

Posso, no mesmo email, pedir autoriza\u00e7\u00e3o para manter um conjunto de outros dados pessoais dessas pessoas?
<\/strong>Pode, mas n\u00e3o deve solicitar que lhe reenviem esses dados, pois isso \u00e9 prejudicial \u00e0 prote\u00e7\u00e3o de dados pessoais.

A recolha de informa\u00e7\u00e3o pessoal atrav\u00e9s do envio de emails \u00e9 uma das t\u00e9cnicas de ataques de \u201cPhishing\u201d mais comuns. A maioria dos utilizadores n\u00e3o consegue distinguir um email legitimo de um ilegitimo. De facto, nalguns casos \u00e9 mesmo necess\u00e1rio ter acesso a outras fontes de dados, para al\u00e9m do pr\u00f3prio email, para conseguir confirmar a legitimidade de um email. Pelo que para facilitar a distin\u00e7\u00e3o entre mails leg\u00edtimos e mails maliciosos, os emissores de emails leg\u00edtimos devem, na medida do poss\u00edvel, abster-se de solicitar o reenvio de informa\u00e7\u00e3o pessoal pelo email.<\/p>\n","protected":false},"excerpt":{"rendered":"

O Regulamento Geral de Prote\u00e7\u00e3o de Dados (RGPD) est\u00e1 em vigor desde o dia 25 de maio de 2018. Este conjunto de perguntas e respostas foi elaborado com o objetivo de preparar todos os funcion\u00e1rios, sobre como se deve proceder para cumprir o regulamento. Para qualquer d\u00favida adicional dever\u00e1 contactar o Encarregado de Prote\u00e7\u00e3o de […]<\/p>\n","protected":false},"author":13,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":[],"yoast_head":"\nProte\u00e7\u00e3o de Dados - iMM<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/\" \/>\n<meta property=\"og:locale\" content=\"pt_PT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Prote\u00e7\u00e3o de Dados - iMM\" \/>\n<meta property=\"og:description\" content=\"O Regulamento Geral de Prote\u00e7\u00e3o de Dados (RGPD) est\u00e1 em vigor desde o dia 25 de maio de 2018. Este conjunto de perguntas e respostas foi elaborado com o objetivo de preparar todos os funcion\u00e1rios, sobre como se deve proceder para cumprir o regulamento. Para qualquer d\u00favida adicional dever\u00e1 contactar o Encarregado de Prote\u00e7\u00e3o de […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/\" \/>\n<meta property=\"og:site_name\" content=\"iMM\" \/>\n<meta property=\"article:modified_time\" content=\"2021-03-24T11:50:52+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Tempo estimado de leitura\" \/>\n\t<meta name=\"twitter:data1\" content=\"20 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebSite\",\"@id\":\"https:\/\/imm.medicina.ulisboa.pt\/#website\",\"url\":\"https:\/\/imm.medicina.ulisboa.pt\/\",\"name\":\"iMM\",\"description\":\"Bem-Vindo ao iMM Jo\\u00e3o Lobo Antunes\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/imm.medicina.ulisboa.pt\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"pt-PT\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/#webpage\",\"url\":\"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/\",\"name\":\"Prote\\u00e7\\u00e3o de Dados - iMM\",\"isPartOf\":{\"@id\":\"https:\/\/imm.medicina.ulisboa.pt\/#website\"},\"datePublished\":\"2021-03-24T11:43:48+00:00\",\"dateModified\":\"2021-03-24T11:50:52+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/#breadcrumb\"},\"inLanguage\":\"pt-PT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"In\\u00edcio\",\"item\":\"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Prote\\u00e7\\u00e3o de Dados\"}]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Prote\u00e7\u00e3o de Dados - iMM","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/","og_locale":"pt_PT","og_type":"article","og_title":"Prote\u00e7\u00e3o de Dados - iMM","og_description":"O Regulamento Geral de Prote\u00e7\u00e3o de Dados (RGPD) est\u00e1 em vigor desde o dia 25 de maio de 2018. Este conjunto de perguntas e respostas foi elaborado com o objetivo de preparar todos os funcion\u00e1rios, sobre como se deve proceder para cumprir o regulamento. Para qualquer d\u00favida adicional dever\u00e1 contactar o Encarregado de Prote\u00e7\u00e3o de […]","og_url":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/","og_site_name":"iMM","article_modified_time":"2021-03-24T11:50:52+00:00","twitter_card":"summary_large_image","twitter_misc":{"Tempo estimado de leitura":"20 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebSite","@id":"https:\/\/imm.medicina.ulisboa.pt\/#website","url":"https:\/\/imm.medicina.ulisboa.pt\/","name":"iMM","description":"Bem-Vindo ao iMM Jo\u00e3o Lobo Antunes","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/imm.medicina.ulisboa.pt\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"pt-PT"},{"@type":"WebPage","@id":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/#webpage","url":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/","name":"Prote\u00e7\u00e3o de Dados - iMM","isPartOf":{"@id":"https:\/\/imm.medicina.ulisboa.pt\/#website"},"datePublished":"2021-03-24T11:43:48+00:00","dateModified":"2021-03-24T11:50:52+00:00","breadcrumb":{"@id":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/#breadcrumb"},"inLanguage":"pt-PT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/protecao-de-dados\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"In\u00edcio","item":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/"},{"@type":"ListItem","position":2,"name":"Prote\u00e7\u00e3o de Dados"}]}]}},"_links":{"self":[{"href":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/wp-json\/wp\/v2\/pages\/42941"}],"collection":[{"href":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/wp-json\/wp\/v2\/comments?post=42941"}],"version-history":[{"count":4,"href":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/wp-json\/wp\/v2\/pages\/42941\/revisions"}],"predecessor-version":[{"id":42945,"href":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/wp-json\/wp\/v2\/pages\/42941\/revisions\/42945"}],"wp:attachment":[{"href":"https:\/\/imm.medicina.ulisboa.pt\/pt-pt\/wp-json\/wp\/v2\/media?parent=42941"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}