A U.Porto, ciente da dimensão de tratamentos de dados pessoais na instituição, disponibiliza uma série de procedimentos e de instrumentos de suporte (formulários) com vista à facilitação da aplicação efetiva do Regulamento Geral sobre a Proteção de Dados (RGPD), em conformidade com a legislação aplicável que lhe é colocada, enquanto Instituição de Ensino Superior Pública, em matéria de proteção de dados pessoais.
Nos pontos seguintes poderá ler e ficar a par de alguns dos procedimentos da U.Porto no que concerne ao RGPD, e em particular, no que respeita às atividades de investigação e projetos levadas a cabo na Universidade. Para mais informações ou qualquer questão adicional sobre como atuar em conformidade com o RGPD, poderá contactar a Unidade de Proteção de Dados (UPD) através do email dados.pessoais@up.pt.
O que é a Proteção de Dados e quando é que é aplicável?
A Proteção de Dados é um direito fundamental que visa proteger as pessoas singulares em relação à utilização da informação que lhes diz respeito. No contexto da investigação científica, a legislação de proteção de dados deve ser tida em conta sempre que um determinado estudo ou projeto envolva um tratamento de dados pessoais.
O que são dados pessoais?
Qualquer informação relativa a uma pessoa que esteja identificada, ou cuja identidade possa ser deduzida, quer a partir do conjunto de dados considerado, quer do cruzamento destes com informação suplementar que possa, por exemplo, estar acessível publicamente. Por outras palavras, é qualquer informação que possa ser associada a uma pessoa específica.
O que é um tratamento de dados pessoais?
Qualquer operação efetuada com dados pessoais, incluindo, entre outros, a recolha, o registo, a organização, a conservação, a consulta, a divulgação ou a própria eliminação.
Quem são os "titulares dos dados"?
São as pessoas cujos dados são objeto de um tratamento de dados pessoais.
Quais os princípios básicos a que um tratamento de dados pessoais deve obedecer?
1. Ser efetuado de forma lícita, leal e transparente em relação ao titular dos dados;
2. Ter uma finalidade determinada, explícita e legítima;
3. Incidir apenas sobre os dados estritamente necessários para atingir essa finalidade (minimização dos dados);
4. Incluir as medidas adequadas para que os dados incorretos, dependendo da finalidade para que são tratados, sejam apagados ou retificados sem demora (princípio da exatidão);
5. Permitir a identificação dos titulares dos dados apenas enquanto necessário para atingir a finalidade (limitação da conservação);
6. Garantir a segurança dos dados tratados, protegendo-os contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental.
Acresce a estes o princípio da responsabilidade: quem realiza o tratamento de dados pessoais tem de cumprir os princípios anteriores e deve poder comprovar que os cumpre.
Em que situações é que um tratamento de dados pessoais é considerado lícito?
Quando existir pelo menos uma de seis condições possíveis (artigo 6º do RGPD). No contexto da investigação científica, a condição normalmente aplicável é a existência do consentimento do titular dos dados. Para ser válido, o consentimento deve ser livre, informado, inequívoco e específico para esse tratamento.
Quando é que o consentimento pode ser dispensado?
O consentimento pode ser dispensado se houver outra base de licitude que legitime o tratamento de dados. No contexto da investigação científica isso não é muito habitual, mas poderá acontecer, por exemplo, que o consentimento não seja facilmente obtido porque os dados não são recolhidos junto do titular, e se possa invocar o Interesse Público como base de licitude para esse estudo específico. Também não será necessário o consentimento (ou qualquer outra base de licitude), se o estudo puder ser realizado com dados anónimos – se não for possível identificar os participantes, a legislação de proteção de dados deixa de ser aplicável.
Por outro lado, se se tratar de dados relativos a pessoas já falecidas, a legislação de Proteção de Dados só se aplica se os dados integrarem categorias especiais de dados ou reportarem à intimidade da vida privada, à imagem ou aos dados relativos às comunicações. Para este tipo de dados, será necessário o consentimento da pessoa que tiver sido designada pelo falecido ou, se esta não existir, pelos seus herdeiros. Para dados que não integrem aquelas categorias, não será necessário qualquer procedimento adicional.
Finalmente, refira-se que, no âmbito da submissão a candidaturas, o consentimento não será a base de licitude adequada, na medida em que, o(a) titular – leia-se, o(a) investigador(a) – não dispõe de uma verdadeira opção de escolha, no que diz respeito ao tratamento dos respetivos dados. Pelo contrário: a partir do momento em que este(a) decide integrar a candidatura, não pode recusar que os seus dados sejam tratados, uma vez que o tratamento em questão se afigura indispensável para a tramitação do processo (muitas vezes, fruto de determinação da própria entidade financiadora). Assim, nesses casos, as operações a desenvolver encontrarão respaldo num dos seguintes fundamentos: a “execução de um contrato no qual o titular dos dados é parte” ou eventualmente “o cumprimento de uma obrigação jurídica”, se o processo de candidatura estiver regulado por lei.
Existe algum enquadramento legal específico e/ou recomendação legal e/ou orientação institucional no que concerne ao RGPD especificamente para a submissão de candidaturas a financiamento nas mais variadas modalidades?
Os tratamentos de dados pessoais devem cumprir os princípios básicos da Proteção de Dados, independentemente do âmbito em que são realizados. No caso da submissão de uma candidatura haverá duas vertentes a ter em conta: 1- o tratamento dos dados pessoais dos investigadores que integram a equipa (como indicado no ponto anterior, há legitimidade para tratar esses dados, mas não devem ser descurados os restantes princípios: transparência, lealdade, minimização, exatidão, segurança e limitação das finalidades e da conservação); 2- os eventuais tratamentos de dados pessoais a efetuar no âmbito da execução do projeto, se este vier a ser aprovado – neste caso, se o projeto envolver tratamentos de dados pessoais, convém que as questões de Proteção de Dados sejam tidas em conta durante o seu desenho (no caso da U.Porto, poderão (ou deverão) pedir o apoio e a análise da UPD nesta fase.)
Quais os procedimentos necessários para realização de inquéritos online e gravação de entrevistas?
Inquéritos online
1) Utilizar preferencialmente a plataforma interna disponibilizada pela U.Porto, inqueritos.up.pt (com base no software Limesurvey); 2) Incluir um texto informativo, que transmita a quem vai preencher o inquérito, da forma mais simples e clara possível: a finalidade da recolha de dados; a identidade e o contacto do responsável pela realização do inquérito; se os dados em questão serão partilhados (e, em caso afirmativo, com quem e em que contexto); durante quanto tempo serão guardados ou qual o critério que definirá esse prazo; que direitos pode exercer e de que forma o poderá fazer, se aplicável; e o contacto do DPO para o esclarecimento de quaisquer dúvidas relacionadas com proteção de dados (no caso da U.Porto: dpo@reit.up.pt); 3) Pedir apenas os dados estritamente necessários para atingir os objetivos pretendidos e conservá-los durante o tempo estritamente necessário para esses fins.
Gravações de Entrevistas - 1) Informar o entrevistado, da forma mais simples e clara possível, sobre: a finalidade da entrevista, explicando os objetivos que se pretendem atingir com o estudo/projeto de investigação em que esta se encontra enquadrada; a identidade e o contacto do responsável pela sua realização; de que forma serão tratados os dados do entrevistado (v.g., gravação áudio e posterior transcrição; gravação vídeo; etc.); se haverá lugar à partilha desses dados com terceiros (e, em caso afirmativo, com quem e em que contexto); durante quanto tempo serão guardados esses dados ou qual o critério que definirá esse prazo; que direitos pode exercer e de que forma o poderá fazer, se aplicável; e o contacto do DPO para o esclarecimento de quaisquer dúvidas relacionadas com proteção de dados (no caso da U.Porto: dpo@reit.up.pt); 2) Sempre que se demonstre necessária a gravação áudio ou vídeo dos participantes, devem essas gravações ser mantidas apenas durante o período estritamente necessário para a eventual análise e/ou transcrição da entrevista, por parte dos investigadores, após o que deverão ser destruídas; 3) Havendo lugar à transcrição da entrevista, devem ser expurgados todos os elementos que permitam a identificação direta dos participantes, bem assim como quaisquer outras informações que não se revelem necessários para as finalidades do estudo.
O meu estudo já obteve parecer favorável da Comissão de Ética. Devo submetê-lo, ainda assim, à validação da UPD?
Sim. Se o estudo envolver um tratamento de dados pessoais, deve ser sujeito à validação prévia da UPD, independentemente de já ter sido apreciado por uma Comissão de Ética. Isto porque são avaliações de natureza diferente - o estudo pode respeitar todas as exigências de ordem ética, mas falhar no cumprimento de alguns dos requisitos impostos pela legislação aplicável à Proteção de Dados.
Quais os procedimentos para a disponibilização de dados dentro da comunidade U.Porto e a entidades externas à U.Porto?
Dentro da U.Porto (um único Responsável pelo Tratamento) – os dados pessoais podem ser acedidos com base na regra “need to know” - os funcionários podem aceder aos dados que precisam de conhecer para exercer a suas funções; por outro lado, deve aplicar-se também o princípio da minimização, no sentido em que só devem aceder aos dados, as pessoas que precisam de os conhecer. No caso de dados pessoais recolhidos no âmbito de um projeto, com base no consentimento dos participantes, convém que a partilha dos dados dentro da instituição ou do grupo de investigação, seja um dos pontos abordados na minuta de informação, para dar uma ideia do alcance dessa partilha (por exemplo, referindo que os dados serão acedidos apenas pela equipa afeta ao projeto ou, numa situação contrária, que os dados poderão ser partilhados com outros investigadores ou com estudantes, para utilização nos seus trabalhos académicos). O objetivo é sempre o de ser o mais transparente possível para que o consentimento também seja verdadeiramente informado.
Entidades externas à U.Porto – a disponibilização de dados pessoais tem de ser analisada caso a caso, por forma a verificar, nomeadamente: qual a condição de licitude para essa partilha; se se trata de um tratamento de Responsabilidade Conjunta, a regular por um Acordo específico; se se trata de uma relação de Subcontratação, a regular por outro tipo de Acordo específico.
Quando é que devo submeter um pedido de análise à UPD?
Sempre que realizar uma atividade, no âmbito da sua relação com a U.Porto, que envolva um tratamento de dados pessoais. Pode estar enquadrada num projeto de investigação, numa orientação de mestrado ou doutoramento, ou num trabalho proposto numa UC. Desde que possa ser considerado um tratamento de dados realizado sob a responsabilidade da U.Porto, deverá ser sujeito a uma validação prévia da UPD, por forma a garantir que todos os princípios impostos pela legislação são cumpridos.
Como posso submeter um pedido de Tratamento de Dados à UPD?
Preencha o formulário disponível aqui e envie para dados.pessoais@up.pt com toda a documentação que possa ajudar na análise (questionários, modelos de consentimento, plano de atividades do projeto, etc.).
Para saber mais:
Links de interesse na U.Porto
Área dedicada à Proteção de Dados no SIGARRA U.Porto
Plataforma interna de inquéritos
Legislação
Regulamento Geral sobre a Proteção de Dados versão portuguesa (aqui) e versão original, em inglês - aplicável no caso de discrepâncias na tradução
Lei de execução nacional do RGPD: Lei n.º 58/2019, de 8 de agosto
Outros
Recomendações da Comissão Nacional de Proteção de Dados
Nota: As informações apresentadas nesta página foram elaboradas pela Unidade de Proteção de Dados da U.Porto, em articulação com o SIP.