Clientes Orientações e Recomendações

Orientações e Recomendações

Medidas de Segurança

A proteção dos seus dados pessoais é essencial para garantir a sua privacidade e segurança no ambiente digital e físico. A adoção de boas práticas pode reduzir os riscos de acesso indevido, roubo de identidade, fraudes e outros incidentes que comprometam a sua informação pessoal.

Proteja os seus dispositivos eletrónicos

Utilize palavras-passe fortes e ative a autenticação de dois fatores sempre que possível.
Mantenha os sistemas operativos e aplicações atualizados, pois as atualizações incluem correções de segurança essenciais.
Instale e mantenha um antivírus e firewall ativos para proteger-se contra ataques cibernéticos.
Evite ligar-se a redes Wi-Fi públicas sem proteção, especialmente ao aceder a contas bancárias ou serviços sensíveis.

Seja cuidadoso com os seus dados pessoais

Não partilhe informações sensíveis como número de identificação, morada ou dados bancários em redes sociais ou plataformas não seguras.
Leia sempre as políticas de privacidade antes de fornecer os seus dados a uma entidade.
Desconfie de pedidos de informações pessoais por telefone, e-mail ou mensagens que pareçam suspeitas (phishing).

Proteja as suas contas online

Utilize palavras-passe únicas para cada conta e altere-as regularmente.
Evite guardar palavras-passe em ficheiros não protegidos ou partilhá-las com terceiros.
Monitorize as configurações de privacidade das redes sociais e restrinja o acesso aos seus dados.

Cuidado com e-mails e mensagens suspeitas

Não clique em links ou abra anexos de remetentes desconhecidos.
Verifique a autenticidade de e-mails que solicitam informações pessoais, especialmente se mencionarem bancos ou serviços públicos.
Utilize ferramentas de verificação de segurança para identificar possíveis fraudes.

Elimine dados de forma segura

Antes de vender ou descartar dispositivos eletrónicos, certifique-se de que todos os dados pessoais foram apagados de forma definitiva.
Triture documentos físicos que contenham informações pessoais antes de os deitar fora.

Denuncie atividades suspeitas

Se suspeitar que os seus dados foram utilizados de forma indevida ou sofreu uma violação de privacidade, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).

Para mais informações sobre como proteger os seus dados pessoais e evitar riscos, consulte a CNPD.

Saúde

Os dados de saúde são considerados dados pessoais sensíveis, pois contêm informações altamente privadas sobre o estado de saúde física ou mental de uma pessoa. O tratamento destes dados deve ser feito com rigorosas medidas de segurança e respeito pela privacidade dos cidadãos, garantindo que apenas pessoas autorizadas tenham acesso a essas informações.

Quem pode tratar dados de saúde?
O tratamento de dados de saúde só pode ser realizado por:

Profissionais de saúde sujeitos a dever de sigilo, como médicos, enfermeiros e farmacêuticos;
Instituições de saúde, incluindo hospitais, clínicas, laboratórios e farmácias, quando necessário para prestação de cuidados de saúde;
Seguradoras e entidades públicas, apenas em situações previstas na lei.

Nenhuma outra entidade pode recolher ou utilizar dados de saúde sem uma justificação legal clara.

Posso recusar a partilha dos meus dados de saúde?

Sim. Em regra, tem o direito de decidir quem pode aceder aos seus dados de saúde e para que finalidade. No entanto, há exceções, como obrigações legais de comunicação de doenças contagiosas às autoridades de saúde.

Como garantir que os meus dados de saúde estão protegidos?

Solicite sempre informação sobre quem pode aceder aos seus dados e para que fim.
Evite partilhar informações médicas por e-mail ou redes sociais, a menos que seja num ambiente seguro e com profissionais de confiança.
Certifique-se de que o seu processo clínico está protegido por medidas de segurança adequadas no hospital, clínica ou laboratório onde recebe cuidados.
Ao descarregar apps de saúde, verifique se a política de privacidade protege os seus dados e não os partilha com terceiros sem o seu consentimento.

O meu empregador pode solicitar os meus dados de saúde?

O empregador não pode exigir acesso a informações detalhadas sobre o seu estado de saúde, salvo em casos previstos na lei, como exames médicos ocupacionais para garantir a aptidão para determinadas funções.

O que fazer em caso de violação dos meus dados de saúde?

Se suspeitar que os seus dados de saúde foram utilizados sem autorização, armazenados sem segurança ou partilhados indevidamente, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).

Para mais informações sobre os seus direitos na área da saúde e a proteção dos seus dados, consulte a CNPD

Trabalho

No ambiente de trabalho, a proteção de dados pessoais é fundamental para garantir a privacidade dos trabalhadores e o cumprimento das obrigações legais por parte das entidades empregadoras. Os dados pessoais dos trabalhadores, incluindo informações sobre assiduidade, desempenho, saúde e comunicação interna, devem ser tratados com respeito pelos princípios da necessidade, proporcionalidade e minimização dos dados.

Que dados pessoais podem ser recolhidos pelo empregador?

O empregador pode recolher apenas os dados estritamente necessários para a gestão da relação laboral, tais como:

Dados de identificação (nome, morada, número de identificação fiscal, etc.);
Informação sobre o contrato de trabalho (categoria profissional, horário, remuneração, etc.);
Dados bancários para processamento de salários;
Dados de assiduidade para controlo de horários e presença;
Informações de saúde, apenas quando necessário e permitido por lei (ex.: exames médicos obrigatórios).

Outros dados sensíveis, como informações sobre opiniões políticas, vida privada ou antecedentes criminais, não podem ser tratados, salvo em casos expressamente previstos na lei.

O empregador pode monitorizar os e-mails e dispositivos de trabalho?

O empregador pode definir regras para a utilização de e-mails corporativos e dispositivos profissionais (computadores, telemóveis, etc.), mas não pode aceder a comunicações privadas dos trabalhadores sem justificação legal e sem aviso prévio. A monitorização só pode ser realizada de forma proporcional e transparente.

O empregador pode utilizar videovigilância no local de trabalho?

A instalação de câmaras de videovigilância é permitida apenas para fins de segurança e deve respeitar a legislação de proteção de dados. É proibida a utilização de videovigilância para monitorização contínua do desempenho dos trabalhadores. Além disso, os trabalhadores devem ser informados sobre a existência das câmaras e a sua finalidade.

A biometria pode ser utilizada para controlo de assiduidade?

O uso de dados biométricos (como impressões digitais ou reconhecimento facial) para registo de assiduidade deve ser justificado e proporcional. Sempre que existirem alternativas menos intrusivas, estas devem ser preferidas.

O que fazer em caso de tratamento indevido de dados no trabalho?

Se um trabalhador suspeitar que os seus dados estão a ser tratados de forma abusiva, pode:

Solicitar informações ao empregador sobre o tratamento dos seus dados;
Exercer os seus direitos de acesso, retificação ou eliminação dos dados, quando aplicável;
Apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD) em caso de violação da legislação de proteção de dados.

Para mais informações sobre os seus direitos de proteção de dados no trabalho, consulte a CNPD.

Educação

A proteção de dados pessoais no setor da educação é essencial para garantir a privacidade de alunos, professores e demais profissionais das instituições de ensino. Escolas, universidades e centros de formação devem cumprir as normas de proteção de dados, assegurando que as informações pessoais são tratadas de forma segura, transparente e proporcional.

Que dados podem ser recolhidos pelas instituições de ensino?

As instituições de ensino podem recolher e tratar apenas os dados necessários para a gestão académica e administrativa, tais como:

Dados de identificação do aluno (nome, data de nascimento, número de identificação, morada, contactos, etc.);
Dados académicos (notas, avaliações, frequência escolar, entre outros);
Informações de saúde, apenas quando necessário e permitido por lei (ex.: doenças crónicas, alergias, necessidades especiais de aprendizagem);
Dados dos encarregados de educação para fins de contacto e responsabilidades legais.

As instituições devem garantir que o tratamento desses dados respeita os princípios da finalidade, minimização e segurança.

As escolas podem divulgar fotografias ou vídeos dos alunos?

A divulgação de fotografias ou vídeos de alunos em redes sociais, websites ou materiais institucionais exige o consentimento prévio e explícito dos pais ou encarregados de educação (para menores) ou dos próprios alunos (se forem maiores de idade). A autorização deve ser clara quanto à finalidade e duração do uso das imagens.

As instituições podem partilhar dados dos alunos com terceiros?

Os dados dos alunos não podem ser partilhados com terceiros sem uma base legal adequada. Apenas podem ser transmitidos a entidades com uma justificação legítima, como o Ministério da Educação, serviços de segurança social ou autoridades de saúde, nos termos da lei.

Pode haver videovigilância nas escolas?

A instalação de câmaras de videovigilância nas escolas é permitida apenas para fins de segurança e deve respeitar as normas de proteção de dados. As câmaras não podem ser instaladas em locais como salas de aula, balneários ou refeitórios e a comunidade escolar deve ser informada da sua existência.

A escola pode monitorizar a utilização da internet e dispositivos eletrónicos?

As escolas podem definir regras para o uso da internet e dispositivos eletrónicos (como computadores da escola), mas qualquer monitorização deve respeitar a privacidade dos alunos e professores. O acesso a conteúdos privados ou comunicações pessoais sem autorização é proibido.

O que fazer em caso de uso indevido dos dados na educação?

Se houver suspeita de utilização indevida de dados pessoais no contexto educativo, os alunos, pais ou professores podem:

Solicitar informações à instituição sobre o tratamento dos dados;
Exercer os direitos de acesso, retificação ou eliminação dos dados, sempre que aplicável;
Apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).

Para mais informações sobre a proteção de dados no setor da educação, consulte a CNPD.

Gravação de Chamadas

A gravação de chamadas telefónicas por organizações deve cumprir a legislação de proteção de dados, garantindo que os direitos dos cidadãos são respeitados. O tratamento destas gravações deve ser feito com transparência, proporcionalidade e segurança, assegurando que apenas são recolhidos e armazenados os dados estritamente necessários.

Em que situações é permitida a gravação de chamadas?

A gravação de chamadas pode ser realizada apenas quando existir uma base legal válida, tais como:

Cumprimento de uma obrigação legal (ex.: chamadas de emergência, serviços financeiros regulamentados).
Execução de um contrato (ex.: prestação de um serviço que exija registo da comunicação).
Interesse legítimo da organização, desde que respeite os direitos dos titulares dos dados.
Consentimento explícito da pessoa que participa na chamada.

Se a gravação for baseada no consentimento, este deve ser livre, informado e específico, permitindo ao titular dos dados recusar sem consequências negativas.

As organizações devem informar que a chamada está a ser gravada?

Sim. Antes de iniciar a gravação, a organização deve informar os participantes da chamada sobre:

A finalidade da gravação e a base legal que a justifica.
Quem terá acesso à gravação e por quanto tempo será armazenada.
O direito de aceder à gravação ou solicitar a sua eliminação, quando aplicável.

O aviso deve ser claro e compreensível, permitindo que a pessoa decida se deseja ou não continuar a chamada.

Durante quanto tempo podem ser armazenadas as gravações?

As gravações devem ser conservadas apenas pelo tempo necessário para cumprir a finalidade para a qual foram recolhidas. Findo esse prazo, devem ser eliminadas de forma segura. O período de retenção pode variar conforme a legislação aplicável ou a necessidade específica da organização, mas deve sempre ser proporcional e justificado.

Quem pode aceder às gravações?

O acesso às gravações deve ser restrito a pessoas autorizadas e apenas para as finalidades previamente definidas. As organizações devem garantir que:

As gravações não são partilhadas indevidamente com terceiros.
Existem medidas de segurança adequadas para evitar acessos não autorizados.
As gravações são utilizadas apenas para os fins informados aos titulares dos dados.

É permitido gravar chamadas de trabalhadores no contexto laboral?

As chamadas realizadas ou recebidas por trabalhadores não podem ser gravadas para controlo contínuo do desempenho. A gravação pode ser permitida apenas se for necessária para:

Garantir qualidade do serviço ao cliente.
Cumprir obrigações legais (ex.: setor bancário, serviços de emergência).
Proteger direitos e interesses legítimos, desde que o impacto na privacidade do trabalhador seja minimizado.

Em qualquer caso, os trabalhadores devem ser previamente informados sobre a gravação e a sua finalidade.

O que fazer em caso de gravação indevida de chamadas?

Se uma organização gravar chamadas sem cumprir as normas legais, os titulares dos dados podem:

Solicitar informações sobre a base legal da gravação e o tempo de armazenamento.
Exigir o acesso à gravação ou a sua eliminação, se aplicável.
Apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD) em caso de uso indevido.

Para mais informações sobre gravação de chamadas e proteção de dados, consulte a CNPD

Encarregado de Proteção de Dados (EPD)

O Encarregado de Proteção de Dados (EPD), também conhecido como Data Protection Officer (DPO), é um profissional responsável por garantir que uma organização cumpre a legislação de proteção de dados pessoais. O seu papel é essencial para promover a conformidade e assegurar que os direitos dos cidadãos são respeitados.

O que faz um Encarregado de Proteção de Dados?

O EPD tem diversas funções, entre as quais:

Assegurar a conformidade da organização com as normas de proteção de dados;
Informar e aconselhar a entidade e os seus colaboradores sobre as suas obrigações legais;
Monitorizar a aplicação das políticas de proteção de dados dentro da organização;
Ser o ponto de contacto entre a organização, os titulares dos dados e a Comissão Nacional de Protecção de Dados (CNPD);
Prestar aconselhamento sobre avaliações de impacto na proteção de dados (AIPD).

Quem é obrigado a nomear um EPD?

A nomeação de um Encarregado de Proteção de Dados é obrigatória para:

Autoridades ou organismos públicos (independentemente do tipo de dados tratados);
Empresas ou organizações cujas atividades principais envolvam o tratamento sistemático e regular de dados pessoais em larga escala;
Entidades que tratem categorias especiais de dados, como dados de saúde, biometria ou dados criminais.

Mesmo quando não é obrigatório, qualquer organização pode nomear um EPD para reforçar a segurança e transparência no tratamento de dados.

Quem pode ser nomeado Encarregado de Proteção de Dados?

O EPD pode ser um colaborador interno da organização ou um profissional externo contratado para esta função. Deve possuir conhecimentos especializados em legislação e práticas de proteção de dados e atuar com independência e imparcialidade.

O EPD pode ser responsabilizado por incumprimentos?

O EPD não é pessoalmente responsável pelo incumprimento da legislação de proteção de dados. A responsabilidade recai sobre a organização que o nomeia, sendo o EPD um elemento de suporte para garantir a conformidade.

Como contactar um Encarregado de Proteção de Dados?

As organizações que possuem um EPD devem disponibilizar os seus contactos ao público para que os titulares dos dados possam exercer os seus direitos ou esclarecer dúvidas sobre o tratamento dos seus dados pessoais.

O que fazer se uma organização não tiver um EPD quando é obrigatório?

Se uma entidade que está legalmente obrigada a nomear um EPD não o fizer, pode ser alvo de sanções. Caso suspeite de uma violação da legislação, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).

Para mais informações sobre o papel do Encarregado de Proteção de Dados e a sua nomeação, consulte a CNPD.

Disponibilização de Dados

A disponibilização de dados pessoais deve ser feita com cautela, garantindo que a sua informação não é utilizada de forma indevida ou sem o seu consentimento. Seja no contexto digital ou físico, é essencial conhecer os seus direitos e adotar boas práticas para proteger a sua privacidade.

Quando posso ser obrigado a disponibilizar os meus dados pessoais?

Pode ser necessário fornecer os seus dados pessoais em diversas situações, como:

Para aceder a serviços públicos ou privados (ex.: segurança social, banca, saúde);
Para celebrar contratos (ex.: emprego, seguros, serviços de telecomunicações);
Para finalidades legais ou fiscais, conforme exigido pela legislação.

As entidades que solicitam os seus dados devem informá-lo sobre a finalidade do tratamento, a base legal e os seus direitos.

Posso recusar fornecer os meus dados?

Sim, exceto quando o tratamento dos dados for obrigatório por lei. Se o fornecimento dos dados for baseado no consentimento, tem o direito de recusá-lo sem sofrer consequências indevidas.

Quem pode aceder aos meus dados pessoais?

Os seus dados só podem ser acessíveis a:

Entidades com uma justificação legal para o tratamento dos dados;
Terceiros apenas mediante o seu consentimento explícito ou quando a lei o permitir;
Empresas que garantam medidas de segurança adequadas para proteger a sua informação.

Se os seus dados forem partilhados sem o seu conhecimento ou sem uma base legal, pode tratar-se de uma violação da proteção de dados.

Que cuidados devo ter ao fornecer os meus dados online?

Evite partilhar dados sensíveis em redes sociais ou websites não confiáveis;
Antes de preencher formulários online, verifique a política de privacidade da entidade;
Desconfie de e-mails ou chamadas suspeitas que solicitem informações pessoais (phishing);
Utilize palavras-passe fortes e ative a autenticação de dois fatores para proteger contas online.

Posso pedir para que os meus dados sejam apagados?

Sim. De acordo com a legislação de proteção de dados, tem o direito ao apagamento dos seus dados em determinadas situações, como:

Quando os dados já não são necessários para a finalidade inicial;
Quando o tratamento foi baseado no seu consentimento e decide retirá-lo;
Quando os dados foram tratados de forma ilegal.

No entanto, este direito pode ter limitações em casos onde a retenção dos dados seja exigida por lei.

O que fazer se os meus dados forem usados sem autorização?

Se suspeitar que os seus dados foram partilhados ou utilizados indevidamente, pode:

Pedir esclarecimentos à entidade responsável pelo tratamento dos seus dados;
Solicitar a eliminação, retificação ou restrição do uso dos dados;
Apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).

Para mais informações sobre a disponibilização de dados e os seus direitos, consulte a CNPD

Difusão na Internet

A internet tornou-se um meio essencial para a comunicação e partilha de informação, mas a difusão de dados pessoais online deve ser feita com responsabilidade, garantindo a privacidade e segurança dos titulares dos dados. As organizações que publicam, partilham ou armazenam dados pessoais na internet devem adotar boas práticas de proteção de dados, respeitando a legislação em vigor.

Quando podem as organizações divulgar dados pessoais na internet?

A divulgação de dados pessoais na internet só pode ocorrer quando existir uma base legal que a justifique, como:

Consentimento explícito do titular dos dados, quando este autoriza a publicação das suas informações.
Obrigação legal, se a divulgação for exigida por lei ou regulamentos específicos.
Execução de um contrato, se a publicação for necessária para cumprir uma obrigação contratual.
Interesse legítimo, desde que a divulgação não viole os direitos e liberdades dos titulares dos dados.

Se os dados forem disponibilizados publicamente, o titular deve ser informado sobre essa possibilidade no momento da recolha dos dados.

Quais são os riscos da difusão indevida de dados na internet?

A divulgação não controlada de dados pessoais pode resultar em:

Roubo de identidade, através da utilização indevida de informações pessoais.
Acesso não autorizado a informações sensíveis, comprometendo a privacidade dos titulares.
Ciberataques e fraudes, como phishing e engenharia social.
Danos à reputação, especialmente se forem divulgadas informações incorretas ou sem contexto adequado.

Para minimizar estes riscos, as organizações devem garantir que apenas os dados estritamente necessários são publicados e que são aplicadas medidas de segurança adequadas.

Publicação de dados de clientes, trabalhadores ou estudantes

As organizações não podem divulgar dados pessoais de clientes, trabalhadores, estudantes ou outros titulares sem uma justificação válida. Isto inclui:

Publicação de nomes e contactos em sites ou redes sociais sem autorização.
Divulgação de fotografias ou vídeos de colaboradores ou clientes sem consentimento.
Partilha de dados académicos ou profissionais sem justificação legal.

Sempre que a publicação de dados seja necessária, a organização deve informar os titulares sobre os seus direitos e permitir que solicitem a remoção das informações.

Recolha de dados através de websites e redes sociais

As organizações que recolhem dados pessoais através de plataformas digitais devem:

Informar claramente os utilizadores sobre a recolha e o tratamento dos dados (ex.: políticas de privacidade).
Obter consentimento explícito para a utilização de cookies e tecnologias de rastreamento.
Garantir a segurança dos dados recolhidos, impedindo acessos não autorizados.
Permitir que os utilizadores exerçam os seus direitos, incluindo o direito ao apagamento dos seus dados.

Como remover dados pessoais da internet?

Se um titular de dados solicitar a remoção das suas informações da internet, a organização deve:

Eliminar os dados se já não houver uma justificação legal para a sua manutenção.
Solicitar a desindexação dos conteúdos nos motores de busca, se aplicável.
Assegurar que terceiros que tenham acedido aos dados também deixam de os tratar.

Se os dados foram divulgados indevidamente, o titular pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).

Transferência de dados para plataformas online e serviços em nuvem

As organizações que utilizam serviços em nuvem ou plataformas online devem garantir que:

Escolhem fornecedores que cumpram as normas de proteção de dados.
Verificam a localização dos servidores, garantindo que os dados não são transferidos para países sem garantias adequadas de proteção.
Implementam medidas de segurança, como encriptação e controlo de acessos.

O que fazer em caso de violação de dados na internet?

Se uma organização divulgar dados pessoais sem autorização ou sofrer um ataque que comprometa as informações online, deve:

Avaliar a extensão da violação e os dados afetados.
Notificar a CNPD, se a violação representar um risco para os titulares dos dados.
Informar os titulares afetados, caso a violação possa ter impacto significativo na sua privacidade.
Adotar medidas corretivas para evitar futuras ocorrências.

Caso um titular de dados se sinta lesado pela difusão indevida das suas informações na internet, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).