Política de privacidade

O ISPUP está empenhado e comprometido com o cumprimento da legislação de proteção de dados pessoais de forma a proteger os dados e a privacidade dos visitantes do website e dos seus colaboradores e parceiros.

Assumimos, enquanto responsáveis pelo tratamento dos dados, uma especial atenção à privacidade e à segurança da informação, nomeadamente através da implementação de medidas necessárias para garantir a total conformidade com as legislações em matéria de proteção de dados em vigor.

É da máxima importância que leia o texto que se segue para compreender a forma como são tratados os seus dados pessoais, bem como os direitos de que dispõe como titular.

Um tratamento de dados pessoais é uma operação ou um conjunto de operações efetuadas sobre um determinado dado pessoal ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

O responsável pelo tratamento de dados a que respeita esta política é o Instituto de Saúde Pública da Universidade do Porto (ISPUP), localizado na Rua das Taipas nº 135, 4050-600 Porto, Portugal.

O ISPUP apenas recolhe e trata os dados pessoais necessários para o cumprimento dos seus objetivos e obrigações legais. Os dados são recolhidos através de diferentes meios e em vários momentos e constituem fundamentalmente as seguintes categorias:

• Demográficos (nome, género, idade e/ou data de nascimento, nacionalidade);
• De contacto (e-mail, telefone e/ou telemóvel, morada, código postal, localidade);
• Governamentais (número de documento de identificação e respetiva validade, n.º de passaporte, NIF, NISS);
• Familiares (estado civil, composição do agregado: número de titulares e número de dependentes);
• De saúde (fichas de aptidão médica de trabalhadores, atestados médicos, comunicação de gravidez, intolerâncias e alergias alimentares);
• Fotografia, imagem e som;
• Biométricos (matriz de impressão digital);
• Académicos/ profissionais (Curriculum Vitae, ORCID e/ou Ciência Vitae, certificados e comprovativos de habilitações de candidatos e colaboradores, certificados de ações de formação propostas pela entidade aos colaboradores, situação profissional, classificações em unidades curriculares no âmbito do Curso de Especialização em Saúde Pública);
• De identificação civil como os contidos em contratos, de trabalho, de prestação de serviços ou outros;
• Necessários ao processamento de salários (NIB/IBAN, remuneração, categoria profissional);
• Relativos aos registos de acesso e utilização de instalações;
• Relativos aos Registos de participação em eventos e formações promovidas pela instituição;
• Recolhidos através de questionários e inquéritos;
• De identificação digital (endereço IP, cookies);
• Os tratados no âmbito da execução de projetos de I&D, e.g. de participantes e investigadores das entidades promotoras.

Os dados pessoais serão apenas tratados para as respetivas finalidades e sempre com base num fundamento previsto na legislação.

Finalidades:

  • Investigação científica ou histórica ou fins estatísticos;
  • Comunicação institucional: divulgação da investigação desenvolvida pelo ISPUP, envio da newsletter, divulgação de oportunidades profissionais (bolsas, contratos, estágios ou outras posições) e divulgação de eventos (seminários, conferências, reuniões, cursos intensivos e outras atividades promovidas ou relacionadas com o Instituto);
  • Recrutamento (candidaturas a emprego e a bolsas de investigação)
  • Gestão de recursos humanos: controlo e gestão de colaboradores;
  • Controlo e gestão de instalações;
  • Documentação de processos internos e manutenção de arquivo;
  • Gestão de eventos: inscrições nos cursos intensivos do ISPUP, inscrições em seminários e outras atividades promovidas ou relacionadas com o ISPUP;
  • Gestão do Curso de Especialização em Saúde Pública;
  • Proteção de pessoas e bens;
  • Medicina, Higiene e Segurança no trabalho;
  • Gestão administrativa e da tesouraria;
  • Cumprimento de obrigações legais e contratuais e exercício de direitos.

Fundamentos de licitude do tratamento ao abrigo do artigo 6º do RGPD:

O fundamento de licitude pertinente variará consoante o caso; porém, na maioria das situações reconduzir-se-á a um dos seguintes:

  • Consentimento dos titulares;
  • Diligências pré-contratuais e execução de contrato com o titular dos dados;
  • Cumprimento de obrigações jurídicas;
  • Interesses legítimos prosseguidos pelo ISPUP.

A recolha de dados poderá ser feita, mormente, através dos seguintes meios:

a) Website

Como referido na política de cookies, através do website do ISPUP recolhemos dados pessoais relacionados com as inscrições de formandos em cursos intensivos e com a subscrição da newsletter. Os visitantes do website podem sugerir linhas de investigação num formulário (Espaço do cidadão), no qual serão recolhidos alguns dados de contacto.

b) E-mail

O e-mail é um meio privilegiado de comunicação institucional, interna e externa, envolvendo por isso, operações de tratamento de dados pessoais de diversa índole.  O endereço de e-mail constitui, ele próprio, frequentemente, um dado pessoal.

O e-mail é utilizado, por exemplo, para receber informação pessoal relacionadas com diversos tipos de candidaturas: estágios profissionais, estágios à ordem, candidaturas espontâneas, candidaturas a oportunidades profissionais; recrutamento e seleção de recursos humanos.

Este é também o meio utilizado para atualização de contactos, recolha ou atualização do perfil de cada investigador, criação de e-mail institucional, envio de pareceres de projetos de investigação, envio de comentários no âmbito da comissão científica, receção de inscrições em eventos, envio de comunicação institucional.

c) Presencial

d) Plataforma Lime Survey

A Plataforma Lime Survey é utilizada em diversos projetos científicos como suporte à realização de questionários e inquéritos. Esta é uma plataforma open source que se encontra alojada em servidores da Universidade do Porto.

e) Documentação em papel

Podem ser realizados questionários em formato de papel, bem como formalizados contratos, ou recolhidos documentos com informação dos participantes em ações de formação ou estudos, , certificados, consentimentos informados, entre outros.

f) Plataforma Moodle

O Moodle é utilizado para suporte ao CESP. Esta plataforma é gerida pela Universidade do Porto e o acesso dos utilizadores é individual e faz-se através de login com utilizador e senha de acesso. O acesso às classificações e material pedagógico é feito por esta via.

g) Leitor biométrico

Através do leitor biométrico faz-se a recolha do template de impressão digital de acordo com os requisitos legais aplicáveis no âmbito do controlo de acessos.

Em prol da disseminação científica e de forma a promover a aproximação do ISPUP à comunidade, são organizados diversos tipos de eventos: seminários, cursos intensivos, exposições, entre outros.

Os eventos podem ser dirigidos ao público geral ou a públicos específicos. Não obstante a política de privacidade que pode vir a ser adotada em cada situação, o registo e tratamento de dados em eventos obedece aos seguintes princípios gerais:

  • Os dados pessoais recolhidos para registo em seminários usualmente bastam-se com o nome, contacto de email e, eventualmente, afiliação. São dados recolhidos pela secretaria ou pelo serviço de comunicação e imagem com o propósito de assegurar as condições logísticas associadas ao evento e emitir a declaração de presença. Os dados são mantidos durante um curto período após a conclusão do evento (geralmente cerca de 15 dias), sendo posteriormente eliminados;
  • Nos cursos intensivos promovidos pelo ISPUP recolhemos os seguintes dados pessoais: Nome completo, telefone, e-mail, profissão e instituição. E, para efeitos de faturação, recolhemos nome/entidade, morada e número de identificação fiscal;
  • No caso dos cursos, prevê-se que os dados pessoais dos formandos sejam conservados em formato encriptado, numa base de dados independente, permitindo a possibilidade de o aluno requisitar uma segunda via do certificado e salvaguardando o exercício dos seus direitos, incluindo do direito a ser esquecido;
  • Alguns eventos podem ser alvo de registo fotográfico e/ou de imagem e som. Tal circunstância será comunicada aquando da inscrição sendo, habitualmente, possibilitado aos participantes que não desejem ser fotografados ou filmados que se dirijam a um membro da organização no início do evento a fim de conhecer as medidas implementadas para proteção da sua privacidade;

Os registos obtidos nestes eventos terão propósitos exclusivamente promocionais e/ou informativos ou de histórico institucional, podendo ser utilizadas pelo ISPUP num número mais ou menos alargado de meios e publicações como websites, redes sociais ou notícias.

Só guardamos os seus dados pessoais pelo tempo necessário para atingir a finalidade para a qual os mesmos foram recolhidos ou, quando for o caso, durante o prazo específico que seja estipulado pela lei.

Assim, tanto existem dados que são apagados imediatamente, ou quase, ou ao fim de escassos dias após a sua recolha, como existem outros dados que, de forma a respondermos ao cumprimento de obrigações legais, são mantidos, por exemplo, durante um período de 10 ou mais anos. O prazo de conservação dos dados necessários à investigação científica também varia de caso para caso, consoante os respetivos objetivos e natureza, sem prejuízo de a lei, por princípio, admitir períodos de conservação tendencialmente mais longos para esta finalidade, na condição de serem respeitadas determinadas salvaguardas para a proteção da informação recolhida.

A partilha de dados pessoais com terceiros apenas acontece em situações estritamente necessárias à sua atividade ou por obrigação legal, servindo de exemplo:

  • Partilha de dados pessoais com a Universidade do Porto para criação de e-mail institucional e de credenciais de acesso ao wireless;
  • Partilha de dados pessoais com entidades subcontratadas, como a empresa responsável pela manutenção do website do ISPUP e prestação de serviços de gestão de e-mail de marketing;
  • Medicina, higiene e segurança no trabalho: partilha de informação pessoal com médicos e outros prestadores de serviços, Universidade do Porto e entidade patronal;
  • FCT e CCDR-N no âmbito da gestão dos projetos de investigação;
  • Organismos da Administração Pública (Autoridade Tributária; Segurança Social, entre outros) para cumprimento de obrigações jurídicas;
  • ROC e contabilista para efeitos de contabilidade e/ou tesouraria;
  • Instituições do setor bancário e seguradoras, para gestão e processamento de pagamentos e celebração de contratos de seguros;
  • Partilha, no âmbito do curso CESP, de dados pessoais com alguns intervenientes do Sistema Nacional de Saúde;
  • Outras instituições ou pessoas singulares desde que exista consentimento do titular de dados para esse efeito.

Poderão existir transferências de dados pessoais para fora do Espaço da União Europeia, maioritariamente para fins de investigação. Nessas situações o ISPUP é responsável por garantir que a transferência é efetuada com base numa decisão de adequação da Comissão Europeia que garanta um nível de proteção de dados equivalente ao da legislação europeia aplicável ou, no caso de tal decisão não existir, que a transferência decorre nos termos legais, de acordo com um dos mecanismos nela previstos para efeito, e através da implementação de medidas adequadas à tutela dos dados e dos direitos dos respetivos titulares.

Os “cookies” são pequenos ficheiros de texto que são armazenados no seu computador através do navegador web. Estes ficheiros são utilizados para ajudar os utilizadores a navegar no website com maior eficiência e a executar certas funcionalidades. Estes cookies são necessários à funcionalidade e segurança do nosso website e não são recolhidas informações para fins de tracking ou de monitorização de comportamentos dos utilizadores.

Para além dos cookies estritamente necessários ao funcionamento do nosso website, poderão ser descarregados cookies de análise estatística para o seu computador, com recurso à ferramenta de análise estatística Matomo, mas apenas  após a recolha do seu consentimento, através do banner de cookies do website. Estes cookies serão utilizados apenas para fins estatísticos, o que irá permitir contabilizar as visualizações das páginas web e avaliar a experiência de navegação dos utilizadores.

A ferramenta Matomo zela pela proteção dos dados pessoais, por exemplo, através da anonimização do endereço de IP dos utilizadores do nosso website. Pode, a qualquer momento, retirar o seu consentimento para a utilização de cookies de análise estatística para os fins acima referidos.

Por omissão não haverá qualquer instalação deste tipo de cookies no seu computador.

Os utilizadores poderão gerir os cookies através das configurações do navegador web que permitem, desde logo, o seu bloqueamento e apagamento. Para tal, deve consultar o menu de “Ajuda” do seu navegador para informar-se como deve ser realizada a alteração ou desativação dos cookies. A desativação de cookies estritamente necessários para o funcionamento do website pode afetar substancialmente a experiência do utilizador durante a navegação no nosso website, impedindo o correto funcionamento de certas funcionalidades. Para mais informação sobre a forma de gerir cookies e proceder às referidas configurações recomendamos a consulta do site  http://www.allaboutcookies.org/.

A qualquer momento pode consultar a nossa política de cookies para uma descrição mais detalhada.

 

O ISPUP implementa medidas de segurança adequadas a cada contexto, visando a proteção dos dados pessoais à sua guarda, designadamente:

  • Medidas de segurança física, nomeadamente o controlo de acessos de funcionários, colaboradores e utilizadores às instalações, realizado através de uma equipa dedicada de profissionais de segurança;
  • Medidas de segurança para proteção de pessoas e bens através de sistema de videovigilância instalado em estreita consonância com os requisitos legalmente prescritos;
  • Medidas de segurança informática tais como firewalls, antivírus, acesso wireless com credenciais de utilizador SIGARRA da Universidade do Porto, condicionamento de acesso à ethernet, cifragem de discos;
  • Medidas de segurança dos dados, tais como controlo de acesso a bases de dados, pseudonimização e anonimização dos dados, proteção de ficheiros com password.

Acresce que as medidas técnicas e organizativas de segurança internamente implementadas são, igualmente, exigidas aos prestadores de serviços do ISPUP que tratem dados pessoais por sua conta.

O ISPUP obriga-se a notificar a autoridade de controlo competente (em Portugal, a CNPD) nos termos e prazos previstos no artigo 33º do RGPD, caso tenha conhecimento de um qualquer evento de violação de dados pessoais, bem como a comunicá-lo aos próprios titulares dos dados, nos casos e condições determinadas pelo artigo 34º do mesmo Regulamento.

De acordo com a legislação aplicável, o ISPUP compromete-se a respeitar a confidencialidade da sua informação de caráter pessoal e a garantir o exercício dos seus direitos. A lei reconhece-lhe os seguintes direitos: Informação, Acesso, Retificação, Apagamento, Portabilidade e Limitação do tratamento.

O exercício dos direitos poderá ver-se afastado ou limitado, no respeito pelos termos e condições previstos na legislação nacional e da UE aplicável, na medida em que tal exercício seja suscetível de tornar impossível ou prejudicar gravemente a obtenção dos objetivos do tratamento para fins de investigação e apenas na medida do necessário para a prossecução daqueles fins.

Para o exercício de algum dos seus direitos utilize o seguinte endereço de e-mail: secretaria@ispup.up.pt.

A lei confere-lhe, igualmente, o direito de apresentação de queixas perante uma Autoridade europeia de supervisão. Em Portugal, a Autoridade competente é a CNPD.

Para mais informações sobre o exercício dos seus direitos consulte o website da CNPD aqui.

O titular dos dados pessoais poderá exercer os seus direitos de acesso, retificação, modificação ou apagamento, bem como solicitar qualquer informação respeitante ao tratamento dos seus dados pessoais mediante pedido escrito através do seguinte e-mail: secretaria@ispup.up.pt e endereço postal: Instituto de Saúde Pública da Universidade do Porto, Rua das Taipas, 135; 4050-600 Porto, Portugal.

Para quaisquer questões, exercício de direitos do titular dos dados pessoais, reclamações ou pedidos relativos ao tratamento de dados pessoais, contacte por favor, o nosso encarregado da proteção de dados através do endereço: dpo@ispup.up.pt.

O ISPUP designou um Encarregado de Proteção de Dados que poderá ser contactado através do endereço dpo@ispup.up.pt ou por carta para a morada do Instituto: Rua das Taipas, 135; 4050-600 Porto, Portugal.

Esta política de privacidade poderá ser revista e alterada de forma a corresponder sempre aos procedimentos adotados pelo ISPUP em matéria de dados pessoais. Como tal, recomendamos que a consulte com regularidade, de forma a manter-se sempre atualizado/a.

De forma a serem facilmente identificadas, as alterações que se venham a realizar à política de privacidade serão assinaladas explicitamente no final deste documento.

Versão Data Alterações
V2 maio de 2020        Nova versão da política de privacidade do ISPUP. Foi adicionada nesta versão a noção de tratamento de             dados pessoais, as finalidades e licitudes do tratamento, os meios de recolha de dados, as medidas de             segurança, os contactos do responsável pelo tratamento e os contactos do Encarregado de Proteção                 de Dados. Aprofundou-se no texto as categorias de dados pessoais alvo de tratamento, as                                     transmissões de dados para terceiros e o tratamento de dados pessoais em eventos.
V3 agosto de 2021        Foram melhoradas/reformuladas as secções “Meios utilizados para recolha de dados pessoais”, “Registo         e   tratamento de dados em eventos”, “Prazos de conservação dos dados pessoais” e “Medidas de                       segurança”.