POLÍTICA DE DADOS PESSOAIS
(Código de Conduta)

Preâmbulo

O presente documento é elaborado tendo em conta as disposições do “Regulamento Geral de Proteção de Dados (RGPD)”.
As disposições deste Código de Conduta vinculam todos os funcionários e colaboradores do CESAE relativamente à recolha, tratamento, utilização e segurança de dados pessoais.
As disposições deste Código de Conduta aplicam-se às relações do CESAE com todos os seus clientes, formandos, aprendizes, funcionários, fornecedores ou prestadores de serviços, bem como às relações do CESAE com quaisquer outras pessoas coletivas com as quais mantenha ou entre em relacionamento.

Artigo 1º (DEFINIÇÕES)

Para efeitos do presente Código de Conduta, todas as definições serão interpretadas nos termos do disposto no Artigo 4º do Regulamento Geral de Proteção de Dados (RGPD).

Artigo 2º (RECOLHA DE DADOS)

1. A recolha de dados pessoais apenas pode destinar-se à prossecução dos objetivos que determinam o relacionamento do CESAE com os Titulares dos dados, devendo efetuar-se de forma lícita, legal e transparente e, sempre, com consentimento livre e explícito dos Titulares.
2. A recolha de dados pessoais que ultrapassem as necessidades comuns de suporte aos contactos entre o CESAE e o Titular dos dados deve ser obrigatoriamente precedida de informação aos titulares sobre a finalidade que determina a recolha dos dados e processar-se em estrita adequação e pertinência a essa finalidade.
3. Com a única exceção do disposto no número seguinte, em situação alguma o CESAE procederá à recolha ou tratamento de dados enquadráveis nas categorias relacionadas no número 1 do artigo 9º do “RGPD”.
4. A pedido dos interessados, poderão ser recolhidos dados sobre a filiação sindical para efeito de processamento de salários; nos termos legais, poderão ser recolhidos dados biométricos para efeitos de segurança e controle dos acessos às instalações físicas do CESAE ou para controlo de acesso a sistemas informáticos ou plataformas de dados mantidas ou geridas pelo CESAE.

Artigo 3º (DIREITO À INFORMAÇÃO E ACESSO)

1. O CESAE obriga-se a informar os seus clientes, formandos, aprendizes, funcionários, fornecedores ou prestadores de serviços sobre a existência e a extensão de dados pessoais seus em ficheiros por si criados ou mantidos, bem como a respetiva finalidade, sempre que tal seja solicitado por escrito.
2. Salvo motivo justificado, será dada resposta ao Titular dos dados no prazo de 30 dias úteis.

Artigo 4º (RECTIFICAÇÃO E ACTUALIZAÇÃO DOS DADOS)

1. Sempre que solicitado pelo Titular dos dados, o CESAE compromete-se a retificar e atualizar os dados constantes dos seus ficheiros, devendo o Titular fornecer os documentos comprovativos das correções ou atualizações solicitadas.
2. Quando a natureza dos dados a alterar ou a finalidade que determinou a respetiva recolha o justificar, a alteração será precedida de informação aos responsáveis pedagógicos e aos responsáveis pelo relacionamento com as entidades gestoras de programas financiados, que deverão pronunciar-se sobre a admissibilidade de alteração dos dados no prazo de 30 dias.
3. O Responsável de Tratamento de Dados deverá agir em conformidade com o parecer referido no ponto anterior, procedendo à alteração no prazo de 30 dias caso seja entendido que a alteração poderá ocorrer.
4. No prazo de 15 dias após a retificação ou atualização, o Titular dos dados deverá ser informado sobre a efetivação da mesma; em caso de recusa de alteração, no mesmo prazo o Titular dos dados deverá ser informado da recusa, com indicação da fundamentação da mesma, e em caso de divergência entre o CESAE e o Titular dos dados será dado conhecimento da situação à CNPD.

Artigo 5º (ELIMINAÇÃO DE DADOS)

1. Quando solicitada, a eliminação de dados deverá processar-se no prazo de 60 dias.
2. Quando a natureza dos dados a eliminar ou a finalidade que determinou a respetiva recolha o justifique, a eliminação será precedida de informação aos responsáveis pedagógicos e aos responsáveis pelo relacionamento com as entidades gestoras de programas financiados, que deverão pronunciar-se, no prazo de 30 dias. sobre a necessidade ou não de os dados continuarem a ser conservados para cumprimento das obrigações do CESAE junto das entidades oficiais.
3. O Responsável de Tratamento de Dados deverá agir em conformidade com o parecer referido no ponto anterior, procedendo à eliminação no prazo de 30 dias caso seja entendido que a eliminação poderá ocorrer.
4. No prazo de 15 dias após a eliminação, o Titular dos dados deverá ser informado sobre a efetivação da mesma; em caso de recusa de eliminação, no mesmo prazo o Titular dos dados deverá ser informado da recusa, com indicação da fundamentação da mesma, e em caso de divergência entre o CESAE e o Titular dos dados será dado conhecimento da situação à CNPD.

Artigo 6º (EQUIPAMENTO DE SEGURANÇA)

Os equipamentos, ficheiros e plataformas do CESAE, que possam conter, tratar ou permitir o acesso a dados pessoais, estarão equipados com sistemas de segurança devidamente aptos a impedir a consulta, modificação, destruição ou inserção de dados por pessoa não autorizada a fazê-lo.
Trimestralmente, os serviços técnicos apresentarão ao Responsável de Dados Pessoais relatório sobre o número e tipo de ameaças de segurança ou tentativas de intrusão ocorridas e registadas.

Artigo 7º (TRANSMISSÃO DE DADOS)

1. O CESAE apenas poderá transmitir dados pessoais a terceiros quando tal seja a finalidade ou condição enquadrável na finalidade com que se efetuar a recolha dos mesmos.
2. Entre outras finalidades que venham a ser autorizadas pelos Titulares, entende-se ser lícita a transmissão de dados curriculares ou relativos à situação profissional e social de formandos e aprendizes a entidades públicas ou que giram interesses públicos.
3. Entende-se como igualmente lícita a transmissão, a entidades públicas ou gestoras de interesses públicos, de dados relativos à situação profissional ou académica de gestores, dirigentes ou funcionários de empresas que se candidatem a programas financiados com o apoio do CESAE.

Artigo 8º (SEGREDO PROFISSIONAL)

1.Todos os trabalhadores do CESAE que lidem com dados pessoais de clientes, formandos, aprendizes, funcionários, fornecedores ou prestadores de serviços estão obrigados a manter o segredo sobre os mesmos, não podendo revelá-los ou utilizá-los à revelia do exposto no presente Código de Conduta.
2. O exposto aplica-se a todos os consultores, monitores ou quaisquer outros prestadores de serviços que por força do seu relacionamento profissional recolham ou tomem contacto com dados pessoais de clientes, formandos, aprendizes, funcionários, fornecedores ou outros prestadores de serviços do CESAE.
3. Para além da responsabilidade civil e criminal que possa originar, o incumprimento do presente Código de Conduta pelos funcionários do CESAE, que conduza a risco ou efetiva ocorrência de violação ou transmissão ilegal de dados pessoais constituirá violação disciplinar muito grave.
4. O disposto no número anterior é aplicável a qualquer documento complementar a este.

Artigo 9º (RECEPÇÃO E TRATAMENTO DOS CONTACTOS E RECLAMAÇÕES)

1. Os interessados em consultar, alterar ou eliminar os seus dados pessoais poderão requerê-lo na secretaria da sede ou de qualquer delegação do CESAE, por meio de carta registada a enviar para a sede do CESAE, à Rua Ciríaco Cardoso, 186, no Porto, ou ainda através de email dirigido diretamente ao Responsável de Dados Pessoais do CESAE, através do endereço de e-mail DADOSPESSOAIS@cesae.pt.
2. Os interessados que pretendam reclamar pela violação dos seus dados, devem-no fazer diretamente ao Responsável de Dados Pessoais do CESAE, através do endereço de e-mail DADOSPESSOAIS@cesae.pt.

Artigo 10º (VIOLAÇÃO DE DADOS)

1. Sem prejuízo das exceções previstas nos artigos 33º e 34º do RGPD, verificando-se a violação ou tentativa de violação de dados capaz de provocar danos a direitos fundamentais de quaisquer Titulares, deverá a violação ser comunicada, no prazo de 72h, à CNPD; em simultâneo, será aberto processo de averiguações interno para apurar o responsável por essa mesma violação.
2. Apurando-se que a violação é da responsabilidade de funcionário, será imediatamente instaurado o competente procedimento disciplinar.
3. Independentemente da qualidade do responsável, havendo danos ou possibilidade de danos aos direitos fundamentais de quaisquer Titulares, deverá ser apresentada participação ao Ministério Público.

Artigo 11º (ESCLARECIMENTOS E APLICAÇÃO DO CÓDIGO)

1. Os pedidos de esclarecimento de dúvidas na interpretação ou aplicação deste Código de Conduta deverão ser dirigidos ao Responsável de Dados Pessoais do CESAE, que responderá ou reencaminhará para o departamento correspondente para ser respondido.
2 O Responsável de Dados Pessoais do CESAE (RDP), colaborador a designar pela Direção do CESAE, terá uma posição e funções equivalentes às expressas nos artºs 38º e 39º do RGPD.
3. O Responsável de Dados Pessoais do CESAE (RDP) promoverá a divulgação deste Código de Conduta, a sensibilização e formação de todos os trabalhadores, bem como o acompanhamento da aplicação e a respetiva avaliação, em colaboração com a equipa (a contratualizar pela Direção do CESAE) de implementação e acompanhamento da aplicação do RGPD no CESAE.

Artigo 12º (PREENCHIMENTO DE LACUNAS)

A todas as omissões ao previsto no presente Código de Conduta será aplicado o estipulado no Regulamento Geral de Proteção de Dados, bem como a legislação nacional em vigor sobre este assunto.
Porto, 29 de junho de 2018