1. O processo de recolha de dados pessoais
1.1 Como são recolhidos os dados pessoais?
Os dados pessoais são recolhidos a partir de formulários eletrónicos da ficha de
aluno/formando e da ficha de recurso humano diretamente pelo IGeFE, I.P. ou pelas
entidades que integram o Sistema Nacional de Qualificações, referenciadas adiante
apenas como entidades formadoras.
Os dados pessoais são inseridos na ficha de aluno/formando e ficha de recursos
humanos pelas entidades formadoras identificadas no Regime Jurídico do SNQ e
pelos centros especializados em qualificação de adultos - Centros Qualifica. Os dados
passam a estar disponíveis para estas entidades e podem ser consultados pelo
próprio através do seu Passaporte Qualifica, o qual integra o sistema SIGO.
Não são recolhidos dados pessoais de forma automatizada através de cookies ou
endereços IP.
1.2 Qual a finalidade da recolha de dados pessoais?
A recolha e processamento de dados pessoais da plataforma SIGO tem como
finalidades, as que decorrem: da missão e propósito do IGeFE, I.P. em cumprir com
as suas atribuições e competências, sendo utilizados no cumprimento de obrigações
regulatórias ou legais a que o IGeFE, I.P. se encontre sujeito; da gestão das inscrições
e certificações de alunos e formandos nas entidades formadoras do Sistema Nacional
de Qualificações; bem como, da gestão de processos RVCC - Reconhecimento,
Validação e Certificação de Competências dos centros especializados em qualificação
de adultos - Centros Qualifica.
1.3 Que dados pessoais são recolhidos?
Os dados pessoais recolhidos são explicitamente: nome, data de nascimento, sexo,
número de documento de identificação, tipo de documento de identificação, data de
validade, NIF, nacionalidade, naturalidade (país, distrito e concelho), endereço e
localidade de residência, código postal de residência (sete dígitos) e campos
facultativos NISS, e-mail, telefone 1, telefone 2.
1.4 Quando ou como são recolhidos os dados pessoais?
Os dados pessoais são recolhidos no momento que antecede à inscrição do
aluno/formando na respetiva oferta formativa ou processo RVCC. Os dados de
recursos humanos são recolhidos através do formulário eletrónico de recurso humano.
1.5 Quem são os titulares dos dados?
Os titulares dos dados pessoais são crianças e jovens inscritos nas ofertas formativas
dos ensinos básico e secundário e pós-secundário; formandos das ofertas formativas
de adultos; adultos inscritos nos centros especializados para a qualificação de adultos;
e recursos humanos das entidades formadoras e centros qualifica.
1.6 Quem é o responsável pelo tratamento dos dados pessoais?
Os dados pessoais dos utilizadores são recolhidos e armazenados pelo IGeFE, I.P.,
entidade responsável pelo tratamento de dados pessoais que pode, no âmbito da sua
atividade, recorrer a entidades por si subcontratadas para efetuar procedimentos de
tratamento de tais dados, se tal se revelar necessário.
A Agência Nacional para a Qualificação e o Ensino Profissional (ANQEP) enquanto
entidade coordenadora do Sistema Nacional de Qualificações e responsável pelos
centros especializados em qualificação de adultos, também acede aos dados para
cumprimento da sua missão, nos termos da alínea a) do n.º 2 do art.ª 1 e do n.º 3 do
art.ª 15.ª do Decreto-Lei n.º 396/2007, de 31 de janeiro com a redação dada pelo
Decreto-Lei n.º 14/2017, de 26 de janeiro e Decreto-Lei n.º 84/2019, de 28 de junho.
No âmbito da plataforma SIGO as entidades formadoras são responsáveis pela
recolha de dados, mantendo-se ainda assim o IGeFE, I.P. como a entidade
responsável pelos processos de recolha, tratamento e armazenamento de informação.
As entidades formadoras no âmbito do SIGO assumem o papel de subcontratantes do
IGeFE, I.P., no sentido em que procedem à recolha e reporte para o IGeFE, I.P. de
dados pessoais dos alunos/formandos.
Os subcontratantes encontram-se obrigados a sigilo profissional e à obrigatoriedade
de respeitar as questões de privacidade existentes no IGeFE, I.P., enquanto entidade
responsável pelo tratamento de dados pessoais por si solicitados. Estas entidades
atuam apenas mediante instruções do responsável pelo tratamento de dados, não os
podendo utilizar no seu próprio interesse ou em desconformidade com a legislação em
vigor. Por fim, os subcontratantes estão comprometidos com a observação das
exigências legais de acordo com o Regulamento EU 2016/679, de 27 de abril e
legislação aplicável.
1.7. Que interconexão de dados?
Os dados pessoais recolhidos destinam-se apenas às finalidades descritas e não são
comunicados a terceiros. A intercomunicação de dados está limitada às aplicações
que concorrem para o mesmo fim que a plataforma SIGO, estando devidamente
protocolada a sua intercomunicação.
1.8. Qual o período de conservação dos dados?
Tempo de conservação dos dados e forma de tratamento é de arquivo permanente,
para cumprimento de obrigações legais.
2. Direitos do titular dos dados
O titular dos dados pode, em qualquer momento, restringir e opor-se ao tratamento dos
seus dados pessoais, exercer os seus direitos nos termos do RGPD desde que, pela sua
natureza, tal não seja legalmente inadmissível.
Os direitos a ser exercidos consubstanciam-se da seguinte forma:
Direito de informação e direito de acesso: sempre que o solicitar, pode obter
confirmação sobre se os seus dados pessoais são tratados pelo IGeFE, I.P. e aceder a
informação sobre os mesmos;
Direito de retificação: sempre que considerar que os seus dados pessoais estão
incompletos ou inexatos, pode requerer a sua retificação ou que os mesmos sejam
completados;
Direito a retirar o consentimento: nos casos em que o tratamento dos dados seja feito
com base no seu consentimento, poderá retirar o consentimento a qualquer momento;
Direito ao apagamento (direito a “ser esquecido”): pode solicitar que os seus dados
pessoais sejam apagados quando se verifique uma das seguintes situações:
Os dados pessoais deixem de ser necessários para a finalidade que motivou a sua
recolha ou tratamento;
Retire o consentimento em que se baseia o tratamento de dados e não exista outro
fundamento jurídico para o mesmo;
Apresente oposição ao tratamento dos dados e não existam interesses légitimos
prevalecentes, a avaliar caso a caso, que justifiquem o tratamento;
Os dados pessoais tenham sido tratados ilicitamente;
Os dados pessoais tenham de ser apagados ao abrigo de uma obrigação jurídica;
Os dados pessoais tenham sido recolhidos no contexto da oferta de serviços da
sociedade de informação;
Direito à limitação do tratamento: pode requerer a limitação do tratamento dos seus
dados pessoais nos seguintes casos:
Se contestar a exatidão dos seus dados pessoais, durante um período de tempo que
permita ao IGeFE, I.P. verificar a sua exatidão;
Se considerar que o tratamento é ilícito;
Se o IGeFE, I.P. já não precisar dos dados pessoais para fins de tratamento, mas
esses dados forem requeridos pelo titular para efeitos de declaração, exercício ou
defesa de um direito num processo judicial;
Se tiver apresentado oposição ao tratamento e não exista um interesse légitimo
prevalecente do IGeFE, I.P.;
Direito de portabilidade: poderá solicitar ao IGeFE, I.P. a entrega dos dados pessoais
por si fornecidos num formato estruturado, de uso corrente e de leitura automática. Tem
ainda o direito de pedir que o IGeFE, I.P. transmita esses dados a outro responsável
pelo tratamento, desde que tal seja tecnicamente possível. Note-se que o direito de
portabilidade apenas se aplica nos seguintes casos:
Quando o tratamento se basear no consentimento expresso ou na execução de um
contrato;
Quando o tratamento em causa for realizado por meios automatizados;
Direito de não ficar sujeito a decisões individuais exclusivamente automatizadas: o
titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada
exclusivamente com base no tratamento automatizado, incluindo a definição de perfis;
Direito de apresentar reclamações junto da autoridade de controlo: caso pretenda
apresentar alguma reclamação relativamente a matérias relacionadas com o
tratamento dos seus dados pessoais, poderá fazê-lo junto da Comissão Nacional de
Proteção de Dados, a autoridade de controlo competente em Portugal. Para mais
informações, aceda a http://www.cnpd.pt;
O exercício dos direitos do titular dos dados deve ser efetuado junto do IGeFE, I.P.,
bastando, para o efeito, o envio de comunicação para os contactos presentes nesta
política de privacidade.
3. Subcontratação
As entidades subcontratantes (entidades de suporte) do IGeFE, I.P. que procedem ao
desenvolvimento da plataforma SIGO acedem aos dados para os fins, devidamente
enquadrados nas cláusulas de sigilo e privacidade, do contrato de prestação de serviços
adjudicados pelo IGeFE, I.P..
4. Medidas de Segurança
O IGeFE, I.P. segue padrões de segurança organizacional e tecnológica, bem como
práticas eficazes na gestão de segurança da informação, para proteção da
confidencialidade, integridade e disponibilidades da informação, tais como o standard
internacional ISO/IEC 27001, as normas comunitárias, a legislação, e bem assim as
recomendações nacionais específicas em matéria de segurança da informação.
O IGeFE, I.P. adota as medidas técnicas e organizacionais necessárias para garantir um
nível de segurança dos dados pessoais adequado ao risco e, em particular, para proteger
os dados pessoais contra a destruição, perda, alteração, divulgação não autorizada ou
acesso acidental ou ilegal.
O mesmo nível de proteção é imposto contratualmente pelo IGeFE, I.P. a eventuais
subcontratantes.
Todos os dados são mantidos num nos servidores principais do IGeFE, I.P. localizados em
Portugal, sendo realizados backups diários da plataforma SIGO.
No processo de autenticação e comunicação protegemos os dados pessoais utilizando
procedimentos e medidas de proteção apropriadas, tais como a Criptografia SSL: o acesso
ao sítio é protegido por um canal seguro, SSL a 128 bits com TLS 1.2 no endereço
https://www.sigo.pt.
Para acesso aos dados constantes do SIGO é exigida a autenticação do utilizador, com
recurso a credenciais de acesso. As credenciais de acesso são únicas, pessoais e
intransmissíveis, sendo da responsabilidade do utilizador o bom uso e confidencialidade
das mesmas.
O acesso a informação pessoal é limitado a pessoas autorizadas e é restrito ao
estritamente necessário, de acordo com o perfil do utilizador, com base na necessidade
mínima para executar o seu trabalho.
Qualquer trabalhador do IGeFE ou de um seu subcontratante que tenha acesso a dados
pessoais está obrigado a manter a mais estrita confidencialidade e sigilo.
5. Avaliação de riscos
Para cada operação de tratamento de dados pessoais em que, de acordo com os critérios
definidos pela lei ou de acordo com a indicação do Encarregado de Proteção de Dados
(EPD), seja necessária a realização de uma Avaliação de Risco de Privacidade, o IGeFE,
I.P. no seu processo de avaliação, analisa a probabilidade e a gravidade dos riscos face
aos direitos e liberdades do titular dos dados.
Os riscos são determinados por referência à natureza, âmbito, contexto e finalidades do
tratamento de dados e implicam a tomada de medidas de mitigação de forma a reduzir o
risco a um nível aceitável. Caso, após a proposta de mitigação de risco de privacidade, a
operação de tratamento em causa continuar a representar um elevado risco potencial para
os titulares dos dados, será previamente consultada a Comissão Nacional de Proteção de
Dados antes do início do tratamento dos dados.
O IGeFE, I.P. toma as medidas adequadas e oportunas para impedir o acesso ilegítimo a
dados pessoais, possíveis mudanças indesejadas ou desaparecimento de dados pessoais.
Caso ocorra alguma situação de usurpacão, alteração ou desaparecimento, notifica-se a
Comissão Nacional de Proteção de Dados nos termos da lei, desenvolvendo-se os
mecanismos previstos no sistema de gestão de incidentes de privacidade.
No âmbito do Sistema integrado de informação e Gestão da Oferta Educativa e Formativa,
o IGeFE, I.P., enquanto entidade responsável pelo tratamento de dados herdou da anterior
responsável da plataforma SIGO a Avaliação de Impacto sobre a Proteção de Dados, de
acordo com o Regulamento n.º 1/2018, da CNPD relativo à lista de tratamentos de dados e
publicitado através do Regulamento n.º 798/2018, de 30 de novembro.
6. Violações de privacidade
Qualquer questão relacionada com o incumprimento pelo IGeFE, I.P. das normas relativas
à proteção e tratamento de dados poderá ser reportada ao Responsável pelo Tratamento
de Dados, cujos contactos se encontram indicados em “Contactos” ou à Comissão
Nacional de Proteção de Dados.
7. Alterações à Política de Privacidade do IGeFE
O IGeFE, I.P. poderá alterar a sua Política de Privacidade quando tal se revele necessário,
sendo sempre publicada a sua versão revista e atualizada.
Esta Política de Privacidade pode ser objeto de alterações consideradas necessárias,
nomeadamente, em resultado da disponibilização de novas funcionalidades ou de
alteração da legislação em vigor.
8. Encarregado de Proteção de Dados (EPD)
O EPD informa e aconselha sobre os requisitos aplicáveis de proteção de dados pessoais
e acompanha a conformidade com esses requisitos.
O EPD coopera e age como ponto de contacto com as Autoridades de Controlo
competentes e com os titulares dos dados.
9. Contactos
Se existirem dúvidas, perguntas, comentários ou reclamações sobre a Política de
Privacidade do IGeFE, poderá contactar por escrito para:
Instituto de Gestão Financeira da Educação
Avenida 24 de julho, 134 – 3/5º
1399-029 Lisboa
A/C: Responsável tratamento de dados pessoais
Ou através de mensagem para reporte e esclarecimentos relacionados com a privacidade
dos dados pessoais, através do endereço de correio eletrónico
protecao.dados@igefe.medu.pt.
O IGeFE, I.P. poderá impor limites ao esclarecimento de dúvidas, em função do número ou
diferença temporal de pedidos de esclarecimentos.
|