Instituto Politécnico de Lisboa

Regulamento Geral de Proteção de Dados

RGPD

No Politécnico de Lisboa respeitamos a privacidade e temos uma permanente preocupação com os dados 
e, informações que nos são confiadas. A entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD) reforça as
 medidas de segurança e proteção, físicas e lógicas, necessárias a uma 
organização, com a dimensão e dispersão geográfica do Politécnico de Lisboa.


Internamente, temos em curso uma estratégia de ação, delineada para dotar a
 organização de meios para lidar com a alteração de processos
 decorrente do tratamento dos dados, bem como a sensibilização de todos os
 trabalhadores, para a importância na intervenção da proteção dos dados
 pessoais de cada um de nós. 


Externamente, estamos disponíveis, para responder, de forma clara, a todos os 
que solicitem esclarecimentos sobre o RGPD no Politécnico de Lisboa ou, que
 pretendam exercer os seus direitos, podendo contactar-nos
 através do endereço protecaodados@ipl.pt.

Questões frequentes sobre o RGPD

O que é?


O Regulamento Geral de Proteção de Dados (RGPD) é a nova legislação de
 proteção de dados da União Europeia (UE) que vai substituir a Diretiva de 
Proteção de Dados de 1995, bem como as várias normativas daí decorrentes,
 aplicadas nos diferentes Estados-membro. O objetivo passa por tornar as Leis da UE mais 
homogéneas, no que respeita à Proteção da Privacidade de Dados pessoais dos
 cidadãos.

Quando entra em vigor?


O RGPD entra em vigor a 25 de Maio
 de 2018.


A quem se aplica?


As novas normas aplicam-se a todas as organizações, independentemente da dimensão, volume de negócios, públicas ou privadas, que processem dados
 pessoais de cidadãos da UE ou de cidadãos não europeus que estejam, ou tenham
 estado na UE e, cujos dados tenham sido recolhidos pelas referidas empresas -
mesmo que o processamento dos mesmos ocorra fora da UE.


A que tipo de dados se aplica?


O RGPD aplica-se a dados pessoais, sendo estes, qualquer tipo de
 informação relacionada com uma pessoa física identificada ou identificável.
 Incluem-se nesta categoria, nomes, fotos, endereços de correio eletrónico, dados bancários, informações médicas mas, também publicações em redes sociais, endereços IP
 de computadores, dados de localização e imagens CCTV (imagens videovigilância). Estão abrangidas as 
informações armazenadas em bases de dados, bem como os dados contidos em 
formulários preenchidos pelos utilizadores. O RGPD define, também, uma categoria 
especial de dados pessoais sensíveis, como os genéticos e biométricos. 


Que novos direitos define para os titulares dos dados pessoais?


O RGPD reforça os critérios de privacidade e segurança dos titulares dos dados 
pessoais detidos pelas organizações, impondo uma política de privacy by design 
e de privacy by default. Assim, as organizações têm de proteger a privacidade
 dos dados pessoais, desde a recolha ao armazenamento, passando pelo processamento e até ao "apagamento". Além disso, têm de assegurar que só
 os dados estritamente necessários, para fins específicos, são recolhidos. Os cidadãos têm também o direito ao "esquecimento", quando um titular o solicitar, os seus dados têm de ser removidos ou apagados da
 base de dados, no prazo de um mês, salvo os casos em que não é possível,  por 
existência de Lei que se sobreponha ao RGPD; e o direito de portabilidade - o titular
 de dados pode solicitar que os mesmos sejam transferidos de uma entidade para uma 
terceira, sem quaisquer custos. Têm, ainda, o direito de restringir o
 processamento dos seus dados e podem retificá-los a qualquer momento.


Quais as alterações relativamente a falhas de segurança?


O RGPD obriga as organizações a reportarem falhas de segurança, à autoridade supervisora e à pessoa/pessoas
cujos dados pessoais tenham sido "violados", num prazo de 
72 horas, após as mesmas terem sido detetadas. Esse report deve incluir a extensão 
e o tipo de falha, bem como o número de dados afetados, bem como os procedimentos detalhados
 de atuação, para conter o problema e resolvê-lo. A organização 
é, ainda, obrigada, a estabelecer medidas preventivas para melhorar a segurança 
informática e evitar novas falhas.


Quais são as multas para quem não estiver em conformidade?


As organizações que não tomem as medidas adequadas para a aplicação das
 novas normas, submetem-se à aplicação de multas que podem ascender aos 20 milhões
 de euros, ou a 4% do volume de negócios anual total (conforme o valor que for
 mais elevado - não aplicável a organismos públicos). O RGPD prevê, também, a
 responsabilização das organizações pelos danos provocados pelo 
incumprimento, nomeadamente, quando os dados pessoais de cidadãos sejam
"violados". Estão previstas, ainda,
 compensações por interrupção ou restrição das transferências de dados, por falta
 de consentimento do cliente para processamento dos mesmos, pela não realização
 de avaliações de risco, entre outras penalizações, pelo não cumprimento do 
RGPD.