A presente página refere-se à política de privacidade do Sistema Integrado de Informação e Gestão da Oferta Educativa e Formativa (SIGO) disponibilizado no endereço https://www.sigo.pt.

O Instituto de Gestão Financeira da Educação, I.P. (IGeFE, I.P.), com sede na Avenida 24 de Julho n.º 134 - 3.º/5.º andar, Lisboa, tem, também, como missão a criação e o bom funcionamento do Sistema Integrado de Informação da Educação (SIIE), em articulação com os demais serviços e organismos das referidas áreas governativas, prosseguindo as seguintes atribuições, entre outras: contribuir para a definição das políticas e estratégias em matéria de sistemas de informação; conceber, implementar, gerir, manter e garantir o bom funcionamento dos sistemas de informação dos processos da educação e ensino superior, científico e tecnológico, necessários à prossecução das suas atribuições; e definir políticas, normas e procedimentos relativos à seleção, aquisição e utilização de infraestruturas tecnológicas e sistemas de informação para os órgãos, serviços e organismos da área governativa e controlar o respetivo cumprimento.

Neste contexto compete-lhe gerir o Sistema Integrado de Informação e Gestão da Oferta Educativa e Formativa (SIGO), do qual faz parte integrante a interface para os formandos, designada por Passaporte Qualifica.

A Política de Privacidade, sendo um instrumento de suporte ao cumprimento do Regulamento Geral sobre a Proteção de Dados (RGPD), Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho de 27 de abril de 2016 e respetiva legislação nacional aplicável, facilita o cumprimento da lei e promove uma maior transparência de práticas e procedimentos, fornecendo as linhas mestras de orientação para a prossecução de um serviço público de excelência.

O objetivo de uma Política de Privacidade de um site é informar os utilizadores de forma clara e transparente sobre como os seus dados pessoais são recolhidos, utilizados, armazenados e protegidos pela entidade responsável pelo site.

A Política de Privacidade do IGeFE, I.P. envolve um conjunto de normas e princípios de proteção de dados que regem todas as atividades desenvolvidas por esta entidade, sendo aplicável a todos os seus trabalhadores, independentemente do cargo, carreira, categoria e funções desempenhadas, bem como qualquer que seja o tipo de vínculo contratual.

A aplicação da presente Política de Privacidade, em conjunto com o Código de Conduta do IGeFE, I.P. não dispensa o cumprimento de outros deveres que resultam da lei, bem como, não impede a aplicação de outras regras de conduta ou deontológicas aplicáveis a determinadas funções, atividades, ou grupos profissionais, nomeadamente o dever de sigilo inerente ao desempenho da atividade profissional em funções públicas.

Entende-se por dados pessoais, segundo o Art.º 4º do RGPD, toda a informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

A recolha e processamento de dados pessoais da plataforma SIGO, por parte do IGeFE, I.P., de acordo com a legislação em vigor relativa à proteção das pessoas singulares, no que diz respeito ao tratamento e livre circulação de dados pessoais, decorre da sua missão, mas também de uma obrigação legal devidamente enquadrada pelo Regime Jurídico do Sistema Nacional de Qualificações (SNQ) - Decreto-Lei n.º 396/2007, de 31 de janeiro, com a redação dada pelo Decreto-Lei n.º 14/2017, de 26 de janeiro, Decreto-Lei n.º 84/2019, de 28 de junho e legislação complementar.

Um tratamento consiste numa operação, ou conjunto de operações, efetuadas sobre dados pessoais ou conjuntos de dados pessoais, através de meios automatizados, ou não, designadamente: a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação, a difusão, a comparação, a interconexão, a limitação, o apagamento ou a destruição.

1. O processo de recolha de dados pessoais

 1.1 Como são recolhidos os dados pessoais?

 Os dados pessoais são recolhidos a partir de formulários eletrónicos da ficha de aluno/formando e da ficha de recurso humano diretamente pelo IGeFE, I.P. ou pelas entidades que integram o Sistema Nacional de Qualificações, referenciadas adiante apenas como entidades formadoras.

 Os dados pessoais são inseridos na ficha de aluno/formando e ficha de recursos humanos pelas entidades formadoras identificadas no Regime Jurídico do SNQ e pelos centros especializados em qualificação de adultos - Centros Qualifica. Os dados passam a estar disponíveis para estas entidades e podem ser consultados pelo próprio através do seu Passaporte Qualifica, o qual integra o sistema SIGO.

 Não são recolhidos dados pessoais de forma automatizada através de cookies ou endereços IP.

 1.2 Qual a finalidade da recolha de dados pessoais?

 A recolha e processamento de dados pessoais da plataforma SIGO tem como finalidades, as que decorrem: da missão e propósito do IGeFE, I.P. em cumprir com as suas atribuições e competências, sendo utilizados no cumprimento de obrigações regulatórias ou legais a que o IGeFE, I.P. se encontre sujeito; da gestão das inscrições e certificações de alunos e formandos nas entidades formadoras do Sistema Nacional de Qualificações; bem como, da gestão de processos RVCC - Reconhecimento, Validação e Certificação de Competências dos centros especializados em qualificação de adultos - Centros Qualifica.

 1.3 Que dados pessoais são recolhidos?

 Os dados pessoais recolhidos são explicitamente: nome, data de nascimento, sexo, número de documento de identificação, tipo de documento de identificação, data de validade, NIF, nacionalidade, naturalidade (país, distrito e concelho), endereço e localidade de residência, código postal de residência (sete dígitos) e campos facultativos NISS, e-mail, telefone 1, telefone 2.

 1.4 Quando ou como são recolhidos os dados pessoais?

 Os dados pessoais são recolhidos no momento que antecede à inscrição do aluno/formando na respetiva oferta formativa ou processo RVCC. Os dados de recursos humanos são recolhidos através do formulário eletrónico de recurso humano.

 1.5 Quem são os titulares dos dados?

 Os titulares dos dados pessoais são crianças e jovens inscritos nas ofertas formativas dos ensinos básico e secundário e pós-secundário; formandos das ofertas formativas de adultos; adultos inscritos nos centros especializados para a qualificação de adultos; e recursos humanos das entidades formadoras e centros qualifica.

 1.6 Quem é o responsável pelo tratamento dos dados pessoais?

 Os dados pessoais dos utilizadores são recolhidos e armazenados pelo IGeFE, I.P., entidade responsável pelo tratamento de dados pessoais que pode, no âmbito da sua atividade, recorrer a entidades por si subcontratadas para efetuar procedimentos de tratamento de tais dados, se tal se revelar necessário.

 A Agência Nacional para a Qualificação e o Ensino Profissional (ANQEP) enquanto entidade coordenadora do Sistema Nacional de Qualificações e responsável pelos centros especializados em qualificação de adultos, também acede aos dados para cumprimento da sua missão, nos termos da alínea a) do n.º 2 do art.ª 1 e do n.º 3 do art.ª 15.ª do Decreto-Lei n.º 396/2007, de 31 de janeiro com a redação dada pelo Decreto-Lei n.º 14/2017, de 26 de janeiro e Decreto-Lei n.º 84/2019, de 28 de junho.

 No âmbito da plataforma SIGO as entidades formadoras são responsáveis pela recolha de dados, mantendo-se ainda assim o IGeFE, I.P. como a entidade responsável pelos processos de recolha, tratamento e armazenamento de informação. As entidades formadoras no âmbito do SIGO assumem o papel de subcontratantes do IGeFE, I.P., no sentido em que procedem à recolha e reporte para o IGeFE, I.P. de dados pessoais dos alunos/formandos.

 Os subcontratantes encontram-se obrigados a sigilo profissional e à obrigatoriedade de respeitar as questões de privacidade existentes no IGeFE, I.P., enquanto entidade responsável pelo tratamento de dados pessoais por si solicitados. Estas entidades atuam apenas mediante instruções do responsável pelo tratamento de dados, não os podendo utilizar no seu próprio interesse ou em desconformidade com a legislação em vigor. Por fim, os subcontratantes estão comprometidos com a observação das exigências legais de acordo com o Regulamento EU 2016/679, de 27 de abril e legislação aplicável.

 1.7. Que interconexão de dados?

 Os dados pessoais recolhidos destinam-se apenas às finalidades descritas e não são comunicados a terceiros. A intercomunicação de dados está limitada às aplicações que concorrem para o mesmo fim que a plataforma SIGO, estando devidamente protocolada a sua intercomunicação.

 1.8. Qual o período de conservação dos dados?

 Tempo de conservação dos dados e forma de tratamento é de arquivo permanente, para cumprimento de obrigações legais.

2. Direitos do titular dos dados

 O titular dos dados pode, em qualquer momento, restringir e opor-se ao tratamento dos seus dados pessoais, exercer os seus direitos nos termos do RGPD desde que, pela sua natureza, tal não seja legalmente inadmissível.

 Os direitos a ser exercidos consubstanciam-se da seguinte forma:

 Direito de informação e direito de acesso: sempre que o solicitar, pode obter confirmação sobre se os seus dados pessoais são tratados pelo IGeFE, I.P. e aceder a informação sobre os mesmos;

 Direito de retificação: sempre que considerar que os seus dados pessoais estão incompletos ou inexatos, pode requerer a sua retificação ou que os mesmos sejam completados;

 Direito a retirar o consentimento: nos casos em que o tratamento dos dados seja feito com base no seu consentimento, poderá retirar o consentimento a qualquer momento;

 Direito ao apagamento (direito a “ser esquecido”): pode solicitar que os seus dados pessoais sejam apagados quando se verifique uma das seguintes situações:

 Os dados pessoais deixem de ser necessários para a finalidade que motivou a sua recolha ou tratamento;

 Retire o consentimento em que se baseia o tratamento de dados e não exista outro fundamento jurídico para o mesmo;

 Apresente oposição ao tratamento dos dados e não existam interesses légitimos prevalecentes, a avaliar caso a caso, que justifiquem o tratamento;

 Os dados pessoais tenham sido tratados ilicitamente;

 Os dados pessoais tenham de ser apagados ao abrigo de uma obrigação jurídica;

 Os dados pessoais tenham sido recolhidos no contexto da oferta de serviços da sociedade de informação;

 Direito à limitação do tratamento: pode requerer a limitação do tratamento dos seus dados pessoais nos seguintes casos:

 Se contestar a exatidão dos seus dados pessoais, durante um período de tempo que permita ao IGeFE, I.P. verificar a sua exatidão;

 Se considerar que o tratamento é ilícito;

 Se o IGeFE, I.P. já não precisar dos dados pessoais para fins de tratamento, mas esses dados forem requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;

 Se tiver apresentado oposição ao tratamento e não exista um interesse légitimo prevalecente do IGeFE, I.P.;

 Direito de portabilidade: poderá solicitar ao IGeFE, I.P. a entrega dos dados pessoais por si fornecidos num formato estruturado, de uso corrente e de leitura automática. Tem ainda o direito de pedir que o IGeFE, I.P. transmita esses dados a outro responsável pelo tratamento, desde que tal seja tecnicamente possível. Note-se que o direito de portabilidade apenas se aplica nos seguintes casos:

 Quando o tratamento se basear no consentimento expresso ou na execução de um contrato;

 Quando o tratamento em causa for realizado por meios automatizados;

 Direito de não ficar sujeito a decisões individuais exclusivamente automatizadas: o titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis;

 Direito de apresentar reclamações junto da autoridade de controlo: caso pretenda apresentar alguma reclamação relativamente a matérias relacionadas com o tratamento dos seus dados pessoais, poderá fazê-lo junto da Comissão Nacional de Proteção de Dados, a autoridade de controlo competente em Portugal. Para mais informações, aceda a http://www.cnpd.pt;

 O exercício dos direitos do titular dos dados deve ser efetuado junto do IGeFE, I.P., bastando, para o efeito, o envio de comunicação para os contactos presentes nesta política de privacidade.

3. Subcontratação

 As entidades subcontratantes (entidades de suporte) do IGeFE, I.P. que procedem ao desenvolvimento da plataforma SIGO acedem aos dados para os fins, devidamente enquadrados nas cláusulas de sigilo e privacidade, do contrato de prestação de serviços adjudicados pelo IGeFE, I.P..

4. Medidas de Segurança

 O IGeFE, I.P. segue padrões de segurança organizacional e tecnológica, bem como práticas eficazes na gestão de segurança da informação, para proteção da confidencialidade, integridade e disponibilidades da informação, tais como o standard internacional ISO/IEC 27001, as normas comunitárias, a legislação, e bem assim as recomendações nacionais específicas em matéria de segurança da informação.

 O IGeFE, I.P. adota as medidas técnicas e organizacionais necessárias para garantir um nível de segurança dos dados pessoais adequado ao risco e, em particular, para proteger os dados pessoais contra a destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal.

 O mesmo nível de proteção é imposto contratualmente pelo IGeFE, I.P. a eventuais subcontratantes.

 Todos os dados são mantidos num nos servidores principais do IGeFE, I.P. localizados em Portugal, sendo realizados backups diários da plataforma SIGO.

 No processo de autenticação e comunicação protegemos os dados pessoais utilizando procedimentos e medidas de proteção apropriadas, tais como a Criptografia SSL: o acesso ao sítio é protegido por um canal seguro, SSL a 128 bits com TLS 1.2 no endereço https://www.sigo.pt.

 Para acesso aos dados constantes do SIGO é exigida a autenticação do utilizador, com recurso a credenciais de acesso. As credenciais de acesso são únicas, pessoais e intransmissíveis, sendo da responsabilidade do utilizador o bom uso e confidencialidade das mesmas.

 O acesso a informação pessoal é limitado a pessoas autorizadas e é restrito ao estritamente necessário, de acordo com o perfil do utilizador, com base na necessidade mínima para executar o seu trabalho.

 Qualquer trabalhador do IGeFE ou de um seu subcontratante que tenha acesso a dados pessoais está obrigado a manter a mais estrita confidencialidade e sigilo.

5. Avaliação de riscos

 Para cada operação de tratamento de dados pessoais em que, de acordo com os critérios definidos pela lei ou de acordo com a indicação do Encarregado de Proteção de Dados (EPD), seja necessária a realização de uma Avaliação de Risco de Privacidade, o IGeFE, I.P. no seu processo de avaliação, analisa a probabilidade e a gravidade dos riscos face aos direitos e liberdades do titular dos dados.

 Os riscos são determinados por referência à natureza, âmbito, contexto e finalidades do tratamento de dados e implicam a tomada de medidas de mitigação de forma a reduzir o risco a um nível aceitável. Caso, após a proposta de mitigação de risco de privacidade, a operação de tratamento em causa continuar a representar um elevado risco potencial para os titulares dos dados, será previamente consultada a Comissão Nacional de Proteção de Dados antes do início do tratamento dos dados.

 O IGeFE, I.P. toma as medidas adequadas e oportunas para impedir o acesso ilegítimo a dados pessoais, possíveis mudanças indesejadas ou desaparecimento de dados pessoais. Caso ocorra alguma situação de usurpacão, alteração ou desaparecimento, notifica-se a Comissão Nacional de Proteção de Dados nos termos da lei, desenvolvendo-se os mecanismos previstos no sistema de gestão de incidentes de privacidade.

 No âmbito do Sistema integrado de informação e Gestão da Oferta Educativa e Formativa, o IGeFE, I.P., enquanto entidade responsável pelo tratamento de dados herdou da anterior responsável da plataforma SIGO a Avaliação de Impacto sobre a Proteção de Dados, de acordo com o Regulamento n.º 1/2018, da CNPD relativo à lista de tratamentos de dados e publicitado através do Regulamento n.º 798/2018, de 30 de novembro.

6. Violações de privacidade

 Qualquer questão relacionada com o incumprimento pelo IGeFE, I.P. das normas relativas à proteção e tratamento de dados poderá ser reportada ao Responsável pelo Tratamento de Dados, cujos contactos se encontram indicados em “Contactos” ou à Comissão Nacional de Proteção de Dados.

7. Alterações à Política de Privacidade do IGeFE

 O IGeFE, I.P. poderá alterar a sua Política de Privacidade quando tal se revele necessário, sendo sempre publicada a sua versão revista e atualizada.

 Esta Política de Privacidade pode ser objeto de alterações consideradas necessárias, nomeadamente, em resultado da disponibilização de novas funcionalidades ou de alteração da legislação em vigor.

8. Encarregado de Proteção de Dados (EPD)

 O EPD informa e aconselha sobre os requisitos aplicáveis de proteção de dados pessoais e acompanha a conformidade com esses requisitos. O EPD coopera e age como ponto de contacto com as Autoridades de Controlo competentes e com os titulares dos dados.

9. Contactos

 Se existirem dúvidas, perguntas, comentários ou reclamações sobre a Política de Privacidade do IGeFE, poderá contactar por escrito para:

 Instituto de Gestão Financeira da Educação
 Avenida 24 de julho, 134 – 3/5º
 1399-029 Lisboa
 A/C: Responsável tratamento de dados pessoais

 Ou através de mensagem para reporte e esclarecimentos relacionados com a privacidade dos dados pessoais, através do endereço de correio eletrónico protecao.dados@igefe.medu.pt.

 O IGeFE, I.P. poderá impor limites ao esclarecimento de dúvidas, em função do número ou diferença temporal de pedidos de esclarecimentos.