O Regulamento UE 2016/679 (Regulamento Geral de Proteção de Dados ou RGPD), cria regras de proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais art.1º/nº1.
São dados pessoais, sujeitos a este regime, a informação relativa a uma pessoa singular identificada ou identificável. É tratamento de dados pessoais uma operação efetuada com esses dados, por meios automatizados ou não. Por exemplo, de recolha, registo organização, estruturação, conservação, consulta, divulgação, destruição.
Os dados pessoais só podem ser tratados (recolhidos e utilizados) se essa recolha e utilização for lícita, leal e transparente. Isto significa que os dados são:
• Recolhidos para finalidades determinadas, explícitas e legítimas;
• Tratados de acordo com essas finalidades (o arquivo de interesse público ou o tratamento para fins estatístico é incluído);
• Adequados, pertinentes e limitados ao necessário para esses fins;
• Exatos e atualizados;
• Conservados de modo a permitir a identificação do titular apenas durante o período necessário para as finalidades;
• Tratados com garantia de segurança e não utilização ilícita.
Daqui resultam para os estabelecimentos de ensino obrigações ao nível da (i) recolha dos dados, (ii) tratamento e uso dos dados, (iii) atualização/eliminação e arquivo dos dados e (iv) comunicação dos dados a terceiros (entidades que processam/arquivam dados em nome do estabelecimento de ensino e Estado).
Os estabelecimentos de ensino recolhem, tratam e armazenam uma grande quantidade de dados pessoais. As novas obrigações legais quanto a estes atos poderão parecer exageradas para alguns. Mas não são. Num mundo cada vez mais digitalizado, com tecnologia poderosa de procura, tratamento e armazenamento de dados, a proteção dos dados pessoais é uma ação fundamental para evitar devassas da vida privada, técnicas de venda agressivas ou até ações criminais como chantagem ou extorsão. Não se trata apenas de usos abusivos dos dados hoje, mas de estes poderem ser obtidos ilegalmente, armazenados e utilizados mais tarde contra as pessoas.
Este novo regime tem como fundamento proteger os dados pessoais dos nossos alunos, encarregados de educação e colaboradores. Não impede os estabelecimentos de ensino de recolher dados pessoais, de os tratar e de os armazenar. O que faz é obrigar-nos a fazer tudo isto de modo mais rigoroso, transparente e seguro.
Os dados pessoais apenas podem ser recolhidos em três casos:
• os dados pessoais são necessários para a execução de um contrato;
• os dados pessoais são necessários para o cumprimento de uma obrigação jurídica a que o estabelecimento de ensino está sujeito;
• o titular dos dados dá o seu consentimento.
No caso dos estabelecimentos de ensino, a maioria dos dados recolhidos são para cumprimento de contrato:
• contrato de prestação de serviços de ensino – dados dos alunos e encarregados de educação;
• contrato de trabalho ou de prestação de serviços – dados dos colaboradores docentes ou não docentes.
Ou para cumprimento de obrigações legais pelo estabelecimento de ensino:
• comunicação de dados pessoais dos alunos, encarregados de educação ou colaboradores ao Ministério da Educação;
• comunicação de dados pessoais dos alunos, encarregados de educação ou colaboradores ao POCH (ofertas financiadas FSE);
• comunicação de dados pessoais dos alunos, encarregados de educação ou colaboradores à Autoridade Tributária;
• comunicação de dados pessoais dos colaboradores à Caixa Geral de Aposentações ou à Segurança Social.
Isto não impede que também sejam recolhidos dados pessoais fora destas duas situações, caso em que o estabelecimento de ensino terá de pedir o consentimento do titular dos dados.
A. Recolha de dados para execução do contrato
Para execução do contrato de prestação de serviços educativos celebrado entre cada encarregado de educação e o estabelecimento de ensino, este necessita de dados pessoais do encarregado de educação e do aluno. São exemplo disto o nome, a data de nascimento, a morada, o telefone, o número de identificação fiscal ou o número de utente de saúde. Estes dados são essenciais para a execução do contrato. Já, e.g., a naturalidade ou a profissão dos pais são dados que podem não ser necessários.
Os dados pessoais necessários para a execução do contrato não necessitam de consentimento para serem recolhidos. Contudo, nos formulários de recolha destes dados deve ser indicada a razão da recolha e ser obtido o consentimento expresso. Deste modo evitam-se dúvidas.
Há também dados pessoais de contexto e caracterização do aluno que são necessários para que o contrato seja executado com maior qualidade (melhor conhecimento do aluno permite maior individualização do ensino). Mas a escola poderá recolher outros cuja necessidade para finalidade contratual não seja tão clara; estes só devem ser recolhidos com consentimento.
O anexo I contém um exemplo de dados pessoais a recolher para execução do contrato. Elencam-se apenas os dados estritamente necessários. É natural que cada estabelecimento de ensino possa ter necessidade, em função do seu projeto educativo e curricular, de recolher outros para esta finalidade.
O consentimento que sugerimos seja incluído no instrumento de recolha dos dados encontra-se no anexo II.
Nem todos os dados pessoais são recolhidos no mesmo formulário no início do ano letivo (matrícula, inscrição, renovação). Muitos são-no durante a execução do contrato (classificações, comportamentos, presenças, situações) pelos educadores. Esta recolha de dados, pela natureza das coisas, não pode ser autorizada caso a caso em cada momento.
Mas deve ser objeto de informação e consentimento no início do ano letivo. No anexo II incluímos também esta informação e autorização.
B. Recolha de dados para cumprimento de obrigações pelo estabelecimento de ensino
Pelo facto de ser um estabelecimento de ensino, as escolas têm de cumprir obrigações de reporte de informação a diversos organismos do Estado. Algumas destas obrigações de reporte abrangem dados pessoais dos alunos e encarregados de educação.
Um exemplo simples e que abrange todos os alunos que frequentem estabelecimentos de ensino do EPC é a obrigação de enviar o processo do aluno (que contém dados pessoais) ao novo estabelecimento de ensino em caso de transferência ou mudança de escola. De igual modo, há dados pessoais que têm de ser reportados à DGEEC por se tratar do organismo estatístico oficial da educação. Nem todos os dados reportados à DGEEC são dados pessoais (e.g., o número de alunos), mas muitos são (e.g., dados sobre os alunos em concreto e o seu percurso, tal como os inseridos no SIGO ou no MISI).
O estabelecimento de ensino tem de recolher, junto dos encarregados de educação, os dados pessoais que necessita para dar cumprimento a estas obrigações. Por se tratar de obrigações legais, os encarregados de educação não podem recusar dar os dados, nem é necessário o seu consentimento para a recolha e envio aos organismos competentes do Ministério da Educação. Mas mesmo não sendo obrigatório o consentimento, nos formulários de recolha destes dados deve ser indicada a razão da recolha e a entidade a quem irão ser transmitidos.
No que respeita a alunos, o anexo I contém a lista de dados pessoais que é necessário o estabelecimento de ensino recolher para cumprimento de obrigações legais e quais os organismos a que podem/têm de ser transmitidos. O anexo II inclui a informação que sugerimos seja incluída no instrumento de recolha dos dados.
Quanto a colaboradores, a informação encontra-se no anexo III.
C. Consentimento para recolha de dados
No caso dos estabelecimentos de ensino, a maioria dos dados pessoais são tratados em cumprimento de obrigações legais ou em execução do contrato de ensino. Contudo, poderá haver alguns que o sejam apenas com base no consentimento. Por exemplo, os dados pessoais que são colocados no anuário da escola ou os contactos que são facultados à associação de pais. Estes dois casos são exemplo de tratamento de dados pessoais que exige consentimento nos termos do RGPD.
D. Casos especiais
Nos termos do nº 1 do art. 9º do RGPD, é proibido o tratamento de dados pessoais que revelem:
• a origem racial ou étnica;
• as opiniões políticas;
• as convicções religiosas ou filosóficas;
• a filiação sindical.
São também proibidos na mesma norma, o tratamento de dados pessoais:
• genéticos;
• biométricos;
• relativos à saúde;
• relativos à vida ou orientação sexual.
O tratamento destes dados apenas é possível, no caso do ensino, se o titular dos dados der o seu consentimento explícito e para uma ou mais finalidades específicas no âmbito da prestação de serviços de ensino em causa (no caso dos trabalhadores dos estabelecimentos de ensino, também é legal o tratamento destes dados para cumprimento de obrigações laborais e de segurança social).
Os titulares dos dados têm direito:
a) a informação;
b) à retificação dos dados;
c) apagamento dos dados;
d) à limitação do tratamento;
e) à portabilidade dos dados;
f) à oposição.
a. Informação
No momento da recolha dos dados, o seu titular tem direito a receber as seguintes informações:
• identidade e contactos do responsável pelo seu tratamento (a escola);
• finalidades e fundamento jurídico para o tratamento;
• destinatários dos dados (organismos a que irão ser transmitidos);
• prazo de conservação dos dados pessoais (conservação dos dados);
• existência dos direitos (i) de solicitar o acesso aos dados que lhe digam respeito e (ii) requerer a sua retificação, (iii) limitar ou opor-se ao tratamento e (iv) à portabilidade dos dados;
• existência do direito a retirar o consentimento (fora dos casos em que os dados sejam para cumprimento de obrigação legal ou necessários para a execução de contrato);
• existência do direito a reclamar para a CNPD;
• se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar o contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados.
b. Retificação dos dados
Nos termos do artigo 16º do RGPD, “o titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional”.
Isto significa que a escola tem de, a todo o tempo, retificar os dados quando tal lhe seja pedido.
c. Apagamento dos dados
Nos termos do nº 1 do art. 17º do RGPD, (i) o titular dos dados pessoais tem o direito de obter do estabelecimento de ensino “o apagamento dos seus dados pessoais, sem demora injustificada” e (ii) o estabelecimento de ensino tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando:
• os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha; ou
• o titular retira o consentimento em que se baseia o tratamento dos dados e não existe outro fundamento jurídico para o referido tratamento.
Os dados pessoais recolhidos pelos estabelecimentos de ensino para execução do contrato de prestação de serviços de ensino devem ser eliminados após execução desse contrato e após o decorrer dos prazos de arquivo a que o EPC está sujeito.
O direito ao apagamento está limitado no caso dos dados pessoais sujeitos a tratamento para fins de investigação ou estatísticos.
Nos termos do artigo 19º do RGPD, o apagamento dos dados deverá ser comunicado ao seu titular. Porém, quando se trate de apagamento após o decurso do prazo de arquivo, esta comunicação torna-se impossível ou dependente de um esforço desproporcionado dado a perda dos contactos dos ex-alunos. Nestes casos, a comunicação é dispensada.
d. Limitação do tratamento
Os dados apenas podem ser tratados para o fim para que foram recolhidos. Não é possível utilizar dados pessoais recolhidos para, por exemplo, avaliar os alunos, para fazer uma investigação sobre os alunos. Tal apenas será possível se a utilização desses dados para investigação for consentida pelos titulares dos dados.
Assim, quando se trate de obter o consentimento do titular dos dados, este pode ser dado para a recolha dos dados ou, quando se trata de tratar dados licitamente recolhidos mas para outro fim pode ser pedido o consentimento após aquela recolha.
e. Portabilidade
O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido à escola num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro estabelecimento de ensino sem que o primeiro a quem os dados foram fornecidos o possa impedir.
f. Oposição
No artigo 21º, o RGPD prevê o direito do titular dos dados de se opor ao tratamento. Não vislumbramos exemplo em que tal direito possa ser exercido no âmbito dos estabelecimentos de ensino (dados recolhidos e tratados para cumprimento do contrato de prestação de serviços de ensino e dados recolhidos e tratados em cumprimento de obrigação legal).
O estabelecimento de ensino é o responsável pelo tratamento dos dados. Nos termos do RGPD, compete ao responsável pelo tratamento dos dados provar que cumpre todas as obrigações previstas no RGPD. Para tanto, deverá cada estabelecimento de ensino ter um regulamento interno que prevê o modo como o tratamento de dados é efetuado (24).
O tratamento de dados pessoais num estabelecimento de ensino será efetuado:
a) Por colaboradores do estabelecimento de ensino;
b) Por terceiros subcontratados.
Ao nível do tratamento o estabelecimento de ensino deverá ainda:
c) Ter um registo de atividades de tratamento;
d) Garantir a segurança dos dados.
a. Educadores, professores e outros colaboradores
Regra geral, os dados pessoais dos alunos são tratados por duas categorias de colaboradores do estabelecimento de ensino: os serviços administrativos (secretaria ou outro) e os educadores, professores e outros colaboradores (atividades educativas).
Em ambos os casos é necessário que os profissionais se obriguem expressamente a cumprir as regras de tratamento e segurança de dados pessoais instituídos pelo estabelecimento de ensino. Para tanto, todos deverão declarar conhecer e obrigar-se a cumprir as regras de recolha, tratamento e proteção de dados pessoais em vigor no estabelecimento de ensino (anexos V e VII). O estabelecimento de ensino deverá promover formação em que os colaboradores são sensibilizados para o RGPD e as regras do estabelecimento de ensino são explicadas.
b. Terceiros subcontratados
Quando o tratamento dos dados seja feito por outra entidade por conta do estabelecimento de ensino, este tem de se assegurar que essa entidade cumpre os requisitos do RGPD. O tratamento de dados em subcontratação tem de ser regulado por contrato escrito. Nesse contrato é necessário estipular que o subcontratante (28/3):
• trata os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento;
• assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;
• adota as medidas de segurança dos dados e sistemas previstos no artigo 32.º do RGPD;
• respeita as condições a que se referem os nºs 2 e 4 do art. 28º do RGPD para contratar outro subcontratante (quando aceite a subcontratação);
• presta assistência ao estabelecimento de ensino através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos seus direitos;
• presta assistência ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32º a 36º do RGPD;
• consoante a escolha do estabelecimento de ensino, apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo da lei;
• disponibiliza ao estabelecimento de ensino todas as informações necessárias para demonstrar o cumprimento destas obrigações.
Esclarece-se que, embora para o RGPD se trate de uma subcontratação do tratamento, no dia-a-dia dos estabelecimentos de ensino estes contratos visam, em primeiro lugar, outros fins. Para o estabelecimento de ensino, o tratamento de dados pessoais é apenas uma necessidade para a realização do fim principal. São assim contratos abrangidos por esta noção de “subcontratação” do RGPD:
• contrato celebrado com terceiro que realize o processamento de salários;
• contrato celebrado com terceiro para utilizar plataforma de aprendizagem digital;
• contrato de mediação de seguros;
• Outros…
Em todos os casos, estes contratos só ficam sujeitos às obrigações do RGPD quando haja comunicação de dados pessoais. Assim, por exemplo um contrato de cessão de exploração da cantina do estabelecimento de ensino que implique a comunicação à empresa de restauração dos dados dos alunos que almoçam está abrangido pelo RGPD. Já o mesmo contrato se não implicar a transmissão de dados de alunos (o estabelecimento de ensino só diz quantas refeições necessita) já não está sujeito ao RGPD.
c. Registo de atividades de tratamento
No caso de organizações com mais de 250 trabalhadores ou em que o tratamento de dados não seja ocasional ou abranja as categorias especiais de dados a que se refere o artigo 9º, nº 1 do RGPD, há especiais obrigações de registo das atividades de tratamento. Estes requisitos são os mesmos que os definidos para a obrigação de nomear o Encarregado de Proteção de Dados.
Em qualquer caso, sugere-se que os estabelecimentos de ensino criem estes registos para as principais atividades de tratamento de dados como forma de poder demonstrar, em caso de inspeção ou violação de dados, que tem uma política de proteção de dados.
O RGPD não define “atividade de tratamento” para este efeito. É necessário, até que haja eventual entendimento mais preciso sobre a matéria (e.g., entendimento que seja publicitado pela CNPD), adotar um conceito de “atividades de tratamento” para definir o âmbito de cada registo. Sugerimos que sejam criados registos para os grandes grupos de processo de tratamento de dados pessoais típicos da atividade de ensino:
• matrícula / inscrição;
• sinalização e acompanhamento de necessidades educativas específicas (ex-ensino especial);
• avaliação;
• transmissão de dados ao Ministério da Educação;
• processamento de salários;
• recolha de imagens e/ou som.
Cada um destes processos e seus passos estão descrito num documento do sistema da qualidade ISO9001 / 2015, identificando os responsáveis.
d. Garantia de segurança dos dados pessoais
O estabelecimento de ensino tem de aplicar as medidas técnicas e organizativas necessárias para assegurar “um nível de segurança adequado” ao risco. Nomeadamente:
• a pseudonimização e a cifragem dos dados pessoais (quando adequado);
• assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;• ter capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;
• testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Isto implica que o estabelecimento de ensino tenha atenção a dois aspetos diferentes:
• segurança dos sistemas de informação (sejam digitais sejam em papel);
• limitação das pessoas que têm acesso aos dados pessoais sendo que cada pessoa apenas pode ter acesso aos dados pessoais de que necessite para executar a sua função.
Em caso de violação de dados pessoais, o estabelecimento de ensino tem obrigações de comunicação à Comissão Nacional de Proteção de Dados e aos titulares dos dados.
Qualquer violação de dados tem de ser registada pelo estabelecimento de ensino. Isto significa que se qualquer colaborador que tenha conhecimento de acessos indevidos a dados ou da perda de dados deve comunicar ao responsável pelo tratamento de dados na instituição e/ou à direção. Compete depois à administração avaliar que medidas tomar e se tem de comunicar apenas aos titulares ou a estes e à CNPD (ver requisitos dos artigos 33º e 34º do RGPD).
São violações de dados, e.g., o acesso indevido ao sistema do estabelecimento de ensino ou a perda de um computador portátil onde estavam dados pessoais.
Salienta-se a importância da anonimização dos dados (quando possível). Ao separar o dado da pessoa reduzem-se os riscos e permite-se o tratamento de dados que, deste modo, deixam de ser pessoais para os efeitos do RGPD.
Ao nível da segurança dos dados chama-se especialmente a atenção para as seguintes situações:
• tratamento de dados dos alunos pelos docentes – utilização de folhas Excel com os nomes e avaliações dos alunos;
• utilização de aparelhos não seguros (e.g., computadores ou tablets sem código de segurança ou sem antivírus);
• acesso aos sistemas de informação do estabelecimento de ensino (devem exigir palavra passe, cada utilizador só deve ter acesso aos dados de que necessite para o exercício das suas funções, deve ser possível controlar os acessos e as ações).
Os estabelecimentos são os responsáveis pela recolha, tratamento e arquivo dos dados respeitantes ao percurso académico dos seus alunos. Isto é, todos os estabelecimentos de ensino estão obrigados a ter um arquivo documental dos dados respeitantes ao percurso escolar dos seus alunos.
A conservação permanente dos processos individuais dos recursos humanos e das matrículas e registos biográficos dos alunos implica que os dados pessoais serão mantidos por tempo indeterminado.
Deste facto deve ser dado conhecimento aos encarregados de educação no momento em que os dados pessoais são recolhidos.
A comunicação de dados pessoais a terceiros apenas é permitida quando o titular tiver sido informado e essa comunicação for consentida ou resultar de cumprimento de obrigação legal.
No caso dos estabelecimentos de ensino existe, como referido supra, as seguintes obrigações de comunicação de dados pessoais:
• comunicação de dados pessoais dos alunos, encarregados de educação ou colaboradores ao Ministério da Educação;
• comunicação de dados pessoais dos alunos, encarregados de educação ou colaboradores ao POCH (ofertas financiadas pelo FSE);
• comunicação de dados pessoais dos alunos, encarregados de educação ou colaboradores à Autoridade Tributária;
• comunicação de dados pessoais dos colaboradores à Caixa Geral de Aposentações ou à Segurança Social.
1. Dados pessoais que o estabelecimento de ensino tem de recolher para prestação do serviço educativo
Para prestação do serviço educativo, o estabelecimento de ensino tem de recolher dados de identificação e caracterização dos aluno e encarregado de educação logo no momento da matrícula / inscrição. Estes dados são:
• Aluno – nome, morada, data de nascimento, filiação, contacto, número utente de saúde, dados de vacinação, dados de saúde que impliquem vigilância ou especiais cuidados.
• Encarregado de educação – nome, morada, contacto telefónico, e-mail, morada, parentesco (com o educando).
Além destes dados, o estabelecimento de ensino irá também, ao longo do ano letivo, recolhendo novos dados sobre o aluno, especialmente através dos docentes. São dados de desempenho escolar. Não apenas notas em testes, mas também um conjunto importante de informação qualitativa que vai sendo registada pelos docentes. Não é possível determinar no início que dados pessoais são estes. Contudo, o encarregado de educação deve ser informado que tal vai suceder. Em nosso entender a forma mais correta de prestar esta informação é colocar no boletim de matrícula / inscrição do estabelecimento de ensino (esta informação consta do formulário deste memorando).
2. Dados pessoais que o estabelecimento de ensino tem de recolher para cumprir obrigações legais
2.1 DGEEC
No âmbito das suas funções de entidade pertencente ao sistema estatístico nacional, a DGEEC recolhe dados juntos dos estabelecimentos de ensino particular e cooperativo. A comunicação destes dados à DGEEC é obrigatória.
Os dados de alunos são: Nome, nº do documento de identificação, nacionalidade, data de nascimento, sexo, código postal da residência, se tem necessidades educativas especiais, disciplinas de língua estrangeira que frequenta, escalão de contrato com o ME (quando aplicável).
Os dados referentes ao encarregado de educação, pai e mãe são: grau de parentesco e habilitações académicas.
2.2 Autoridade Tributária
No âmbito das suas funções de administração tributária, a AT recolhe dados juntos dos estabelecimentos de ensino particular e cooperativo. A comunicação destes dados à AT é obrigatória. Os dados de alunos são: nome, morada, NIF, montantes pagos ao estabelecimento de ensino.
2.3 Outros organismos do Ministério da Educação
Quando o aluno frequente turma com financiamento, deverá ser incluído no boletim de matrícula / inscrição a informação de que dados serão transmitidos à DGEstE e que dados serão exportados para o SIGO em cumprimento de obrigações legais do estabelecimento de ensino no âmbito do contrato de financiamento do POCH.
Nos formulários de recolha de dados pessoais ou em outros documentos através dos quais essa recolha seja efetuada devem figurar as seguintes informações.
Alunos e encarregados de educação (matrícula / inscrição)
• Fui informado/a que os dados pessoais constantes deste formulário serão tratados pela Escola em execução da prestação de serviços educativos contratada.
• Fui informado/a que, nos termos da lei, os dados pessoais constantes deste formulário serão transmitidos aos organismos competentes do Ministério da Educação e do Ministério das Finanças em cumprimento de obrigações legais do estabelecimento de ensino.
• Fui informado/a que durante a execução do contrato de prestação de serviços educativos com a Escola irá recolher dados pessoais do meu educando referente ao seu desempenho e progresso educativo, através dos seus colaboradores, e que estes dados serão tratados, podendo ser transmitidos aos organismos do Ministério da Educação em cumprimento de obrigações legais do estabelecimento de ensino.
• Fui informado/a que estes dados pessoais serão conservados permanentemente em cumprimento da lei.
• Fui informado/a que tenho o direito de solicitar o acesso a estes dados pessoais, requerer a sua retificação e a sua portabilidade.
• Fui ainda informado/a que para qualquer dúvida ou reclamação respeitante a dados pessoais devo enviar um mail para geral@epvalongo.com e que tenho direito de reclamação para a Comissão Nacional de Proteção de Dados.
Para utilização dos dados pessoais recolhidos fora do estrito cumprimento do contrato de prestação de serviços tem de ser obtido o necessário consentimento. Sejam incluídos no processo do aluno ou no formulário de matrícula / inscrição.
• Declaro que dou o meu consentimento ao tratamento dos dados pessoais deste formulário pela Escola para as seguintes finalidades:
» anuário da Escola (nome do aluno, nome dos pais, nome da mãe, morada, telefone)
» informação à associação de pais (nome do aluno, nome dos pais, nome da mãe, morada, telefone)
» …
Para recolha de dados pessoais em suporte de som e/ou imagem, deve ser obtido o necessário consentimento. Sugere-se que este seja incluído nos formulários de matrícula / inscrição.
• Declaro que dou o meu consentimento à recolha de fotografias e imagens com som do meu educando e à utilização destes registos pelo Escola para as seguintes finalidades:
» Anuário do estabelecimento de ensino
» Revista do estabelecimento de ensino
» Página na internet do estabelecimento de ensino
» Facebook do estabelecimento de ensino
» Circuito interno de televisão do estabelecimento de ensino
» …
1. Dados pessoais que o estabelecimento de ensino tem de recolher para cumprir obrigações legais
2.1 DGEEC
No âmbito das suas funções de entidade pertencente ao sistema estatístico nacional, a DGEEC recolhe dados juntos dos estabelecimentos de ensino. A comunicação destes dados à DGEEC é obrigatória.
Os dados referentes aos colaboradores docentes são: Nome, n.º do documento de identificação, nacionalidade, data de nascimento, sexo, formação académica, se tem funções letivas, código postal da residência, grupo de docência, vínculo contratual, horas da componente letiva, horas da componente não letiva e as turmas que leciona.
Os dados referentes aos colaboradores não docentes são: Nome, n.º do documento de identificação, nacionalidade, data de nascimento, sexo, formação académica, código postal da residência, vínculo contratual, função no estabelecimento de ensino.
2.2 Autoridade Tributária
No âmbito das suas funções de administração tributária, a AT recolhe dados juntos dos estabelecimentos de ensino. A comunicação destes dados à AT é obrigatória.
Os dados de colaboradores são: nome, morada, NIF, n.º segurança social e/ou CGA, montantes pagos pelo estabelecimento de ensino.
2.3 Segurança Social e/ou Caixa Geral de Aposentações
No âmbito das suas funções a Segurança Social e a Caixa Geral de Aposentações recolhem dados junto dos estabelecimentos de ensino. A comunicação destes dados à SS e/ou CGA é obrigatória.
Os dados de colaboradores são: nome, morada, NIF, n.º segurança social e/ou CGA, montantes pagos pelo estabelecimento de ensino.
2. Informação a incluir no documento de recolha dos dados pessoais (colaboradores), no formulário de recolha de dados dos colaboradores (contrato de trabalho e contrato de prestação de serviços), o estabelecimento de ensino deve incluir um campo onde o titular dos dados assinale que:
• fui informado/a que os dados pessoais deste formulário serão tratados pelo Escola em execução do contrato de [trabalho/ prestação de serviços] celebrado e que serão transmitidos aos organismos do Ministério da Educação, do Ministério das Finanças e do Ministério do Trabalho, Solidariedade e Segurança Social, respetivamente, em cumprimento de obrigações legais do estabelecimento de ensino. Fui também informado/a que estes dados pessoais serão conservados permanentemente em cumprimento da lei em vigor e que tenho o direito de solicitar o acesso aos mesmos, requerer a sua retificação e a sua portabilidade. Fui ainda informado/a que tenho direito de reclamação para a Comissão Nacional de Proteção de Dados.
Processos típicos da atividade de ensino que devem ser objeto de registo:
• matrícula / inscrição;
• sinalização e acompanhamento de necessidades educativas específicas (ex-ensino especial);
• avaliação;
• transmissão de dados ao Ministério da Educação;
• processamento de salários;
• recolha de imagens e/ou som (e sua autorização).
Declaro que me obrigo a cumprir as regras e procedimentos da Escola respeitantes à proteção de dados pessoais, nomeadamente e em relação a dados pessoais dos aluno, suas famílias e outros colaboradores do estabelecimento de ensino:
• não consultar informação para que não possuo autorização de acesso;
• não recolher, tratar e/ou armazenar dados pessoais sem estar para isso autorizado;
• não recolher, tratar e/ou armazenar dados pessoais sem as devidas medidas de segurança;
• não divulgar dados pessoais a terceiros, salvo outros colegas deste estabelecimento de ensino e só dentro do estritamente necessário ao exercício da minha atividade neste estabelecimento de ensino;
• recolher apenas os dados pessoais dos alunos que sejam estritamente necessários para o exercício da minha atividade neste estabelecimento de ensino e seguindo os procedimentos instituídos.
Mais me obrigo a, em matéria de segurança dos dados pessoais:
• não partilhar e manter protegidas as minhas passwords e códigos de acesso às instalações e aos sistemas do estabelecimento de ensino;
• não partilhar com ou conceder acesso a ninguém ao correio eletrónico que uso para fins profissionais;
• proteger todos os meus ficheiros que contenham dados pessoais, usando password robusta para abertura e edição;
• não instalar software não autorizado em qualquer computador ou outro dispositivo que uso na minha atividade profissional;
• não abrir mensagens de e-mail com origem desconhecida e/ou com anexos que incluam ficheiros executáveis, salvo se de origem fidedigna e se não indiciarem claramente ser phishing ou malware;
• não criar cópias ou arquivos contendo dados pessoais salvo se estiver para tanto expressa e especificamente autorizado.
Na cessação da minha relação com o estabelecimento de ensino, obrigo-me a:
• eliminar definitivamente todos os dados pessoais de alunos, encarregados de educação ou colaboradores do estabelecimento de ensino que tenha em meu poder, incluindo os eventualmente existentes nos meus dispositivos pessoais que tenham sido utilizados no âmbito da minha função;
• entregar à direção do estabelecimento de ensino todos os dados pessoais de alunos que possam estar em meu poder, em suporte físico ou digital, e que devam ser mantidos em arquivo pelo estabelecimento de ensino.
Cláusula a incluir no contrato a celebrar com o subcontratante
Cláusula X – RGPD
Em cumprimento do presente contrato, e em relação a todos os dados pessoais que o [… estabelecimento de ensino…], o [… subcontratante…] declara que:
• trata os dados pessoais apenas mediante instruções documentadas do estabelecimento de ensino;
• assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade em relação a estes dados pessoais;
• adota as medidas de segurança dos dados e sistemas previstos no artigo 32.º do RGPD
• não subcontratará os serviços objeto do presente contrato;
• prestará assistência ao estabelecimento de ensino através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos seus direitos;
• presta assistência ao estabelecimento de ensino no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.º a 36.º do RGPD;
• consoante a escolha do estabelecimento de ensino, apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo da lei;
• disponibiliza ao estabelecimento de ensino todas as informações necessárias para demonstrar o cumprimento destas obrigações.
Princípios gerais de proteção de dados pessoais
A comunidade educativa respeita e protege os dados pessoais de cada um dos seus membros, como modo de preservação da liberdade individual.
A proteção dos dados pessoais de cada um é um direito fundamental previsto quer na legislação europeia, quer na legislação nacional.
Neste estabelecimento de ensino é expressamente proibido recolher, tratar ou divulgar dados pessoais fora das condições previstas no regulamento interno e outras regras que venham a ser aprovadas pela direção.
A recolha, tratamento ou divulgação de dados pessoais fora das situações previstas poderá, em função da gravidade da situação, ser objeto de procedimento disciplinar.
Captação de imagens ou som
Os alunos, encarregados de educação, familiares, docentes, não docentes, visitantes ou outras pessoas não podem proceder à recolha de imagens ou som dentro do estabelecimento de ensino fora das situações previstas no presente regulamento interno e outras regras que venham a ser aprovadas pela direção.
Esta proibição não se limita a, mas inclui, fotografar ou gravar em festas, audições, representações, aulas, recreios, passeios, visitas de estudo, pautas, listas de alunos, horários. A recolha de imagens e som poderá será efetuada sempre que tal (i) seja necessário para o desenvolvimento de atividades educativas do estabelecimento de ensino, (ii) estiver autorizado pela direção e (iii) estiver autorizado pelos titulares dos dados (encarregados de educação, alunos quando maiores, colaboradores envolvidos).
A captação de imagens ou som no âmbito de atividades pedagógicas, com finalidade educativa (projeto ou avaliação), sem difusão ou disponibilização das mesmas fora do estrito âmbito da relação entre docente(s) e alunos, é possível desde que autorizada pela direção do estabelecimento de ensino ou coordenação pedagógica em que esta delegar tal competência.
As imagens ou sons captados nestes termos não serão duplicados e serão eliminados imediatamente após a sua utilização pedagógica, exceto se diferente tiver sido autorizado e tiver sido consentido pelos encarregados de educação.
As imagens ou sons recolhidos terão apenas o tratamento para que foram captadas e, após tal tratamento, serão eliminadas exceto se o seu arquivo tiver sido autorizado.
A captação de imagens ou som em exibições dos alunos abertas à comunidade educativa, a parte desta ou ao público é vedada, exceto nos termos e pelos meios determinados pela direção do estabelecimento de ensino e obtidos os necessários consentimentos.
Recolha de elementos de identificação e caracterização de pessoas
Os alunos, encarregados de educação, familiares, docentes, não docentes, visitantes ou outras pessoas não podem proceder à recolha de elementos de identificação e caracterização dos alunos, encarregados de educação ou colaboradores do estabelecimento de ensino fora das situações previstas no presente regulamento interno e outras regras que venham a ser aprovadas pela direção. Esta proibição não se limita a, mas inclui, nome, morada, contactos, números de identificação, características pessoais, resultados escolares, dados de saúde.
A recolha de elementos de identificação e caracterização poderá será efetuada sempre que tal (i) seja necessário para o desenvolvimento de atividades educativas do estabelecimento de ensino, (ii) ou seja necessário para cumprimento de obrigações legais pelo estabelecimento de ensino, e (iii) estiver autorizado pela direção e/ou (iv) estiver autorizado pelos titulares dos dados (encarregados de educação, alunos quando maiores, colaboradores envolvidos).
Os elementos de identificação e caracterização recolhidos terão apenas o tratamento para que foram recolhidos e, após tal tratamento, serão eliminadas exceto se o seu arquivo tiver sido autorizado ou for obrigatório.
No caso de espetáculos realizados pelos alunos, poderão ser criados suportes de divulgação dos mesmos mencionando o nome, apelido e ano de escolaridade/turma de cada aluno, em termos a autorizar pela direção do estabelecimento de ensino ou pessoa em que esta delegue tal função.
Colaboradores docentes e não docentes
Todas os colaboradores que tenham acesso a dados pessoais no exercício das suas funções no ou para o estabelecimento de ensino estão obrigadas a sigilo sobre os mesmos bem como a cumprir todas as regras do RGPD, deste regulamento interno e outras em vigor no estabelecimento de ensino, em especial as respeitantes ao tratamento e proteção desses dados.
As obrigações de proteção incluem, mas não se limitam a, não armazenar os dados em equipamentos não protegidos, não armazenar os dados em ficheiro sem proteção.
As obrigações de tratamento incluem, mas não se limitam a, não tratar os dados para outra finalidade que não aquela para que foram recolhidos, não transmitir os dados a terceiros, eliminar os dados após o tratamento.
Os colaboradores apenas têm acesso aos dados pessoais de que necessitem para o exercício das suas funções no ou para o estabelecimento de ensino, devendo abster-se de qualquer modo aceder a dados pessoais fora dessa situação.
Qualquer colaborador que tenha acesso a dados pessoais fora da sua função deverá dar conhecimento imediato à direção do estabelecimento de ensino por correio eletrónico geral@epvalongo.com. Qualquer colaborador que tenha conhecimento de que houve uma violação de dados pessoais, efetiva ou potencial, deverá dar conhecimento imediato à direção do estabelecimento de ensino por correio eletrónico geral@epvalongo.com.
Associação de pais e encarregados de educação, associação de estudantes e associação de antigos alunos
Sem prejuízo da autonomia e responsabilidades próprias das associações de pais e encarregados de educação, de estudantes e de antigos alunos, estas têm o dever de cumprir e fazer cumprir o RGPD, as regras respeitantes à proteção de dados pessoais deste regulamento interno e elaborar regras e procedimentos próprios nesta matéria.
Segurança dos Dados Pessoais
A Escola assume o compromisso de salvaguardar a proteção da segurança dos dados pessoais que nos são disponibilizados.
Os dados serão conservados nos servidores da Escola em espaços próprios e/ ou de terceiros dedicados e devidamente acreditados para efeitos de cumprimento do RGPD, localizados no território da UE.
O sítio web www.epvalongo.com contempla a proteção nas ligações entre os utilizadores e os servidores:
• Toda a comunicação entre o servidor e o seu browser é encriptada usando tecnologia SSL/TLS;
• As portas dos servidores para aceder ao sistema (base de dados e ficheiros), apenas estão abertas para o IP da Escola;
• As bases de dados são incluídas em processos de backups que garantem a recuperação em caso de falhas;
• A recolha de dados pessoais nos formulários web é realizada em sessões encriptadas pelos browsers utilizados.
O período de conservação dos dados será o necessário para cumprir as finalidades.
Exercício dos Direitos Dos Titulares Dos Dados Pessoais
Os pedidos de esclarecimento de dúvidas na interpretação ou aplicação desta Política de privacidade e tratamento de dados pessoais, deverão ser dirigidos ao Encarregado pela proteção de dados, que responderá ou reencaminhará para o departamento correspondente para ser respondido.
O Encarregado pela proteção de dados promoverá a divulgação da Política de privacidade e de tratamento de dados, a sensibilização e formação de todos os trabalhadores, bem como o acompanhamento da aplicação e a respetiva avaliação.
O responsável pelo tratamento dos dados pessoais é a Escola, sediado em Rua de Campelo, 1701, 4440-348 Sobrado – Valongo.
Para exercer os seus direitos, o titular dos dados deverá contactar a Escola, através de uma das seguintes formas colocadas ao seu dispor:
• Dirigindo-se à sede da Escola;
• Por email, para o endereço geral@epvalongo.com;
• Mediante pedido escrito, endereçado a “Proteção de dados”, para a morada Apartado 26, 4444-909 Valongo.
Alterações à Política de Privacidade e de Tratamento de Dados Pessoais
Esta Política de privacidade e de tratamento de dados pessoais pode ser alterada periodicamente e está disponível para consulta nas instalações da Escola e no sítio web www.epvalongo.com. Os direitos dos titulares dos dados, adquiridos ao abrigo da presente Política de privacidade e de tratamento de dados pessoais, não serão reduzidos sem uma comunicação prévia no sítio web da Escola, e sempre no expresso cumprimento da lei.
Qualquer alteração à Política de privacidade e de tratamento de dados pessoais será publicada no sítio web da Escola e, se as alterações forem significativas, a informação será divulgada com destaque.
