Proteção de Dados Pessoais

Sobre o INESC-ID

O Instituto de Engenharia de Sistemas e Computadores – Investigação e Desenvolvimento em Lisboa (INESC-ID) é uma associação privada sem fins lucrativos, declarada de utilidade pública, pessoa coletiva n.º 504 547 593, com sede na Rua Alves Redol, n.º 9, 1000-029 Lisboa, dedicada à educação, investigação científica, desenvolvimento tecnológico e inovação e consultoria nas respetivas áreas de atividade.

Sobre a Política de Proteção de Dados Pessoais

O INESC-ID está empenhado em proteger a privacidade e os dados pessoais dos titulares dos dados, no cumprimento integral da legislação de proteção de dados em vigor, nomeadamente o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (“RGPD”).

Com efeito, considerando a importância da transparência dos processos de tratamento de dados dos seus Colaboradores, Parceiros e demais partes interessadas, o INESC-ID delineou uma Política de Proteção de Dados Pessoais que abrange a forma como são recolhidos, utilizados, divulgados, transferidos e armazenados os dados pessoais, impondo-se, neste contexto, dar a conhecer as regras gerais de tratamento de dados no estrito respeito e cumprimento do disposto na legislação em vigor.

Dados pessoais e seu tratamento

No âmbito da sua atividade, o INESC-ID trata dados pessoais resultantes da sua relação com os seguintes grupos de titulares: colaboradores (contratados, bolseiros, investigadores, estagiários e prestadores de serviços); candidatos a cargos e/ou bolsas disponíveis; formandos e formadores; interlocutores de clientes e fornecedores; interlocutores e participantes de parceiros em projetos de investigação; visitantes do site institucional; e, outras partes interessadas.

Responsável pelo tratamento de dados

A entidade responsável pela recolha e tratamento dos dados pessoais é o INESC-ID que, no seu contexto, decide quais os dados recolhidos, os meios de tratamento, o período de conservação e as finalidades para que são utilizados. Este processo é feito mediante a celebração de documentos contratuais, tendo em vista o cumprimento de obrigações legais que decorrem da atividade do INESC-ID e para efeitos de prossecução dos seus interesses legítimos (nomeadamente, de garantir a segurança de pessoas e bens, de gerir procedimentos e recursos internos – ex. no contexto da gestão de processos administrativos internos ou gestão financeira e administrativa de projetos cofinanciados) ou, ainda, mediante consentimento livre e expresso dos titulares dos dados, sempre que aplicável.

Tipologia de dados pessoais recolhidos

Consoante as diferentes finalidades, são tratadas pelo INESC-ID as seguintes categorias de dados pessoais dos seus colaboradores: dados de identificação e de contacto (o nome, contacto telefónico, endereço de correio eletrónico, morada, número de identificação da segurança social, número de cartão de cidadão ou bilhete de identidade e validade), dados fiscais (número de identificação fiscal, enquadramento fiscal), dados bancários (número de identificação bancária/IBAN), dados de enquadramento profissional (dados curriculares constantes dos curricula vitae disponibilizados), e, em determinados contextos, imagens em formato de fotografia e/ou de vídeo. São ainda tratados pelo INESC-ID os dados de identificação, de contacto e dados de enquadramento profissional dos aplicantes e candidatos aos cargos disponibilizados pelo instituto.

Adicionalmente, são tratados pelo INESC-ID – enquanto entidade formadora ou enquanto entidade parceira de instituições públicas e privadas – dados pessoais dos formandos e dos formadores no âmbito da execução de programas de formação.

No contexto dos projetos de investigação, podem ser tratados dados pessoais dos participantes dos projetos, necessários para serem atingidas as finalidades da investigação em causa. Neste caso, os titulares são sempre e atempadamente informados sobre os tratamentos pretendidos.

No âmbito da visita ao site institucional do INESC-ID e para efeitos de informação promocional ou de envio de newsletters, são tratados endereços IP no contexto da recolha de logs e, eventualmente, dados de contacto. Os endereços IP podem ser também tratados no contexto da recolha de logs integrada na gestão de segurança da infraestrutura do INESC-ID.

Recolha dos dados pessoais

A recolha e tratamento dos dados pessoais são realizados através de processos automáticos e manuais, com as medidas e os controlos tecnológicos e organizacionais adequados e proporcionais à respetiva proteção e preservação. Estas medidas incluem a gestão de autenticação e de acessos aos sistemas e às instalações, a gestão de perfis de utilização dos sistemas, o acesso controlado a informação com caráter restrito, em qualquer suporte, a celebração de compromissos de confidencialidade e de sigilo profissional com os colaboradores e terceiros e a utilização de técnicas mais robustas como a cifragem, quando necessário.

Sempre que tal seja exequível, os dados pessoais gerados pela atividade de investigação científica e desenvolvimento tecnológico serão alvo de tratamento anonimizado.

Prazo de conservação dos dados pessoais

O período durante o qual os dados são armazenados e conservados varia de acordo com a finalidade do respetivo tratamento. De uma forma geral, os dados pessoais são guardados enquanto durar o vínculo com o INESC-ID, pelo período necessário ao cumprimento de obrigações legais ou na prossecução de interesses legítimos.

Comunicação de dados pessoais a outras entidades (terceiros subcontratados)

No âmbito das suas atribuições, o INESC-ID poderá recorrer a terceiros subcontratados para a prestação de determinados serviços. Quando o tratamento de dados for efetuado por subcontratado ou terceiro a quem sejam transmitidos dados, o INESC-ID verifica se este apresenta garantias suficientes de execução de medidas técnicas e organizativas adequadas, de modo a que o tratamento satisfaça os requisitos da legislação em vigor e assegure a defesa dos direitos do titular dos dados.

O tratamento nestes termos é regulado por contrato ou outro ato normativo, que vincula o subcontratado ou o terceiro às diretrizes estabelecidas pelo INESC-ID, enquanto entidade responsável pelo tratamento dos dados, e define o objeto e a duração desse tratamento, a natureza e finalidade do mesmo, o tipo de dados pessoais e as categorias dos titulares dos dados e as obrigações e direitos do responsável pelo tratamento.

Transferência de dados pessoais para fora de Portugal

Sempre que a partilha dos dados pessoais seja feita com terceiros fora do Espaço Económico Europeu, para recetores da informação não referenciados como seguros, o INESC-ID compromete-se a cumprir o disposto no RGPD no que for aplicável à transferência de dados em causa.

Direitos dos titulares dos dados

Será assegurada a resposta aos pedidos de acesso, obtenção e consulta dos dados pessoais, atualização, alteração ou entrega, podendo ser solicitada a eliminação, a restrição e oposição ao tratamento e a cessação do tratamento automático dos dados pessoais para gestão de perfis, no caso de pedidos em conformidade com a legislação em vigor.

Nos casos em que tenha sido dado consentimento, o mesmo poderá ser retirado em qualquer momento, utilizando os contactos abaixo indicados.

Os titulares dos dados pessoais podem reclamar sobre o respetivo tratamento, junto da Comissão Nacional de Proteção de Dados.

Encarregado de Proteção de Dados

O Encarregado de Proteção de Dados desempenha um papel relevante na proteção dos dados pessoais, garantindo, entre outros aspetos, a conformidade dos processos com a legislação em vigor, procedendo igualmente à verificação do cumprimento da atual Política de Proteção de Dados Pessoais e definindo regras claras de tratamento de dados pessoais, assegurando que todas as partes interessadas tenham conhecimento da forma como o INESC-ID trata os referidos dados e quais os direitos que lhes assistem nesta matéria.

Alterações à Política de Proteção de Dados Pessoais do INESC-ID

O INESC-ID reserva-se o direito de proceder a qualquer momento a reajustamentos ou alterações à presente Política de Proteção de Dados Pessoais, sendo essas alterações devidamente publicitadas.

Questões e sugestões

Para mais informações sobre como o INESC-ID trata os seus dados pessoais, ou para esclarecer qualquer dúvida, apresentar uma reclamação ou comentário sobre matérias relativas a Privacidade e Proteção de Dados Pessoais, usar os seguintes contactos:

INESC-ID, Rua Alves Redol, n.º 9, 1000-029 Lisboa, Portugal,

ou via info@inesc-id.pt.

Caso necessite de entrar em contacto com o Encarregado de Proteção de Dados do INESC-ID, poderá fazê-lo através de comunicação escrita dirigida a:

Encarregado de Proteção de Dados (DPO, Data Protection Officer)

INESC-ID, Rua Alves Redol, n.º 9, 1000-029 Lisboa, Portugal,

ou via dpo@inesc-id.pt.


Privacy and Data Protection Policy

About INESC-ID

Instituto de Engenharia de Sistemas e Computadores – Investigação e Desenvolvimento em Lisboa (INESC-ID) is a private not-for-profit association, declared of public interest, VAT No. 504 547 593, headquartered at Rua Alves Redol, No. 9, 1000-029 Lisbon, Portugal, dedicated to education, scientific research, technological development and innovation and consultancy in the respective areas of activity.

About the Privacy and Data Protection Policy

INESC-ID is committed to protecting the privacy and personal data of data subjects, in full compliance with existing data protection legislation, in particular, General Data Protection Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (“GDPR”).

Given the importance of transparency in the data processing processes of its Employees, Partners and other stakeholders, INESC-ID has outlined a Personal Data Privacy Policy that covers the way in which personal data are collected, used, disclosed, transferred and stored. In this context, it is necessary to make known the general rules of data processing in strict compliance with the legislation in force.

Personal Data and Treatment

In the scope of its activity, INESC-ID treats personal data resulting from its relationship with the following groups of subjects: employees (hired workers, scholars, researchers, interns and service providers); applicants for available jobs and/or scholarships available; trainees and trainers; customers and suppliers; partners and participants in research projects; institutional site visitors; and other stakeholders.

Entity responsible for collecting and processing personal data The entity responsible for collecting and processing personal data is INESC-ID which, in its context, decides which data is collected, the means of treatment, the period of conservation and the purposes for which they are used. The collection and processing of personal data is done through the signing of contractual documents, to fulfil legal obligations arising from the activity of INESC-ID, the pursuit of its legitimate interests (in particular, to assure the safety and security of people and property; to manage internal processes and resources – e.g. in the context of management of internal administrative procedures or financial and administrative management of co-funded projects) or even with the free and express consent of the data subjects, whenever applicable.

Typology of personal data collected Depending on the different purposes, INESC-ID handles the following categories of data of its employees: general identification and contact data (name, telephone contact, email address, address, social security identification number, identity card number and validity), tax data (tax identification number, tax situation), bank data (bank identification number/IBAN), professional background data (curriculum vitae data provided) and (in certain contexts) photos and/or videos of a person. INESC-ID processes as well general identification, contact and professional background data of the applicants and candidates for the positions made available by the institute.

Additionally, INESC-ID – as a training entity or as a partner of public and private institutions – processes personal data of the trainees and trainers in the execution of the training programs.

As for research projects, personal data of participants in the project may be processed to the extent necessary for fulfilling of the purpose of this research and investigation. In this case, the data subjects are always previously informed about the processing intended.

In the context of visits to INESC-ID’s institutional website and for the purpose of promotional information or sending newsletters, IP addresses may be processed in the context of log processing and, sometimes, general contact data are processed. IP addresses can also be processed in the context of log processing required for the management of the security of INESC-ID infrastructure.

Collection and processing of personal data

The collection and processing of personal data is carried out through automatic and manual processes, with appropriate technological and organizational measures and controls that are proportionate to their protection and preservation. These include the management of authentication and access to systems and facilities, the management of system usage profiles, controlled access to restricted information, the signing of confidentiality and professional secrecy agreements with employees and third parties, and the use of more robust techniques such as encryption whenever necessary.

Whenever feasible, personal data generated by scientific research and technological development will be anonymously processed.

Period of retention of personal data

The period during which the data are stored and conserved varies according to the purpose of the respective treatment. Generally, personal data are stored for as long as there is a link to INESC-ID, for the necessary period to fulfil legal obligations or to pursue legitimate interests.

Communication of personal data to other entities (third-party subcontractors)

Within the scope of its attributions, INESC-ID may resort to subcontracted third parties for the provision of certain services. When data processing is carried out by a subcontractor or third party to whom data is transmitted, INESC-ID verifies whether the latter presents sufficient guarantees for the execution of adequate technical and organizational measures, so that the treatment meets the requirements of the legislation in force and ensures the protection of the rights of the data subject.

The treatment under these terms is regulated by contract or other normative act, which binds the subcontractor or third party to the guidelines established by INESC-ID, as the entity responsible for data processing, and defines the object and duration of such treatment, the nature and purpose of the same, the type of personal data and categories of data subjects and the obligations and rights of the controller.

Transfer of personal data outside Portugal

Whenever personal data are shared with third parties outside the European Economic Area, for recipients of information not referred to as adequate, INESC-ID undertakes to fulfil the provisions of the GDPR as applicable to the transfer of the concerned data.

Rights of data subjects

Responses to requests for access, retrieval and consultation of personal data, updating, modification or delivery shall be ensured, and deletion, restriction and opposition to processing and cancelation of automatic processing of personal data for profile management may be requested in accordance with current legislation.

Where consent has been given, consent may be withdrawn at any time using the contact details below.

Holders of personal data may complain about their processing to the national supervisory authority.

Data Protection Officer (DPO)

The DPO plays a relevant role in the protection of personal data, ensuring, among other things, the compliance of processes with current legislation. The DPO also verifies compliance with the current Personal Data Privacy Policy and sets clear rules for processing of personal data, ensuring that all interested parties are aware of how INESC-ID treats such data and what rights they have in this regard.

The Data Protection Officer is also responsible for the contact between INESC-ID and the national supervisory authority, as well as between INESC-ID and third parties in matters concerning the processing of personal data.

Changes to INESC-ID’s Personal Data Protection Policy

INESC-ID reserves the right to make readjustments or changes to thisPersonal Data Protection Policy at any time, these changes being duly publicized.

Questions and suggestions

For more information about how INESC-ID treats your personal data, or to clarify any doubts, submit a complaint or comment on matters relating to Privacy and Personal Data Protection, use the following contacts:

INESC-ID, Rua Alves Redol, n.º 9, 1000-029 Lisboa, Portugal,

or via info@inesc-id.pt.

For this purpose, if the data subject needs to contact INESC-ID’s data controller, he/she may do so through the means and contact details below:

DPO, Data Protection Officer

INESC-ID, Rua Alves Redol, n.º 9, 1000-029 Lisboa, Portugal,

or via dpo@inesc-id.pt.

});