CYBER&DATA PROTECTION IPV

O Regulamento Geral de Proteção de Dados (RGPD) impõe às organizações regras relativas à proteção das pessoas singulares, definindo requisitos pormenorizados em matéria de recolha, armazenamento e gestão dos dados pessoais tratados.

É incumbência institucional do IPV, enquanto Responsável pelo Tratamento de Dados na prossecução das suas atribuições, aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o RGPD.

Em Portugal não existe regulamentação que sustente uniformemente um modelo de governo para a privacidade e proteção de dados. Existem, porém, textos internacionais (ISO 27001, 19600 e 37001) que permitem extrair algumas orientações nesta matéria.

O presente modelo reflete e desenvolve, no plano organizacional do IPV, a omissão legal da previsão de uma estrutura formal, enquanto centro de imputação das atribuições e responsabilidades que decorrem do imperativo de conformidade com o Regime Jurídico da Proteção de Dados e Segurança da Informação, que o Regulamento(EU) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, e demais legislação aplicável vieram impor às Entidades Públicas.

De modo concludente, estabelece o Modelo de Governação de Privacidade no Instituto Politécnico de Viseu mecanismos procedimentais indispensáveis à sua implementação, designadamente a constituição das estruturas de suporte, objetivos e responsabilidades de atuação institucionais, com o propósito de assegurar a progressiva conformidade com o RGPD, garantindo a sua demonstração por parte dos diversos intervenientes.

Neste contexto, e com base na escolha de um Modelo de Governo de Sistema Híbrido, que permita conciliar maior autonomia e agilidade na tomada de decisões, com envolvimento de todos os “stakeholders” na busca de soluções, é definida a Estrutura de Governo de Privacidade e Proteção de Dados no IPV, que no âmbito da institucionalização da Área Funcional de Privacidade e Segurança da Informação do IPV prevê a composição, atribuições e regras de funcionamento das respetivas estruturas de suporte, com a Missão de garantir a conformidade neste domínio.

Criação/Integração da Área Funcional de Privacidade e Segurança da Informação do IPV e definição da respetiva estrutura organizativa de suporte que permita:

• • Edificar internamente o projeto de implementação e conformidade no âmbito do RGPD;
  • A construção, crescimento e otimização do programa de privacidade;
  • Abordar os aspetos jurídico, tecnológico, de gestão e de transformação de forma integrada;
  • Mobilizar e capacitar a Organização, para que possa evoluir contínua e autonomamente;
  • Integrar requisitos num programa de transformação mais abrangente que assegure retorno e sustentabilidade;
  • Uma melhor compreensão na identificação do papel da cada interveniente;
  • Assegurar uma comunicação e fluxo de trabalho por toda a Organização;
  • Informar os trabalhadores e colaboradores das suas atribuições e responsabilidades, relativamente às atividades assinaladas em matéria de privacidade e proteção de dados;
  • Ver o RGPD como uma oportunidade, não um custo de conformidade;
  • Promover o processo junto de toda a Organização.

ORGÃOS:

• ATRIBUIÇÕES
• COMPOSIÇÃO
• REGRAS DE FUNCIONAMENTO

O Instituto Politécnico de Viseu é o Responsável pelo Tratamento, uma vez que determina as finalidades e os meios de tratamento dos dados pessoais que efetua.

Todos os trabalhadores e colaboradores do IPV devem ser conhecedores das obrigações decorrentes do quadro legal aplicável em matéria de privacidade e proteção de dados pessoais, bem como ser responsáveis pelo adequado tratamento de dados que efetuam no âmbito das suas atividades e / ou funções.

ATRIBUIÇÕES

Compete à Gestão de Topo(GT) em matéria de privacidade e proteção de dados pessoais, sem prejuízo das competências que lhe são conferidas por lei e competências que possam ser delegadas ou subdelegadas, definir orientações, deliberar e tomar decisões relativas a questões relacionadas com a proteção de dados, nomeadamente:

• Assegurar que, no planeamento e na implementação das atividades de tratamento, os princípios de proteção de dados pessoais e as garantias adequadas, são deliberadas e implementadas no Instituto (proteção de dados desde a conceção e por defeito);
• Garantir a execução e persecução dos princípios de tratamento de dados pessoais, através da aprovação de políticas e orientações, construindo internamente um sentido de responsabilidade;
• Garantir a aplicabilidade das medidas técnicas e organizativas adequadas para assegurar e poder comprovar que os tratamentos de dados pessoais efetuados pelo Instituto, são realizados em conformidade com o RGPD, garantindo um nível de segurança adequado no tratamento de dados;
• Designar (nos termos do Art.º. 37.º do RGPD) e comunicar oficialmente a nomeação de um Encarregado de Proteção de Dados (EPD);
• Assegurar ao EPD, nos termos do Art.º. 38.º do RGPD:
  • o apoio ativo no exercício das suas funções (Art.º. 39.º RGPD), fornecendo-lhe os recursos necessários ao desempenho das mesmas, nomeadamente, em termos de recursos financeiros, infraestruturas (locais, instalações, equipamento) e pessoal sempre que necessário;
  • a manutenção dos seus conhecimentos através da formação contínua;
  • o necessário acesso a outras unidades funcionais e orgânicas, para que possa receber apoio, contributos e informações essenciais por parte destas;
  • Envolver o EPD em tempo útil e de forma adequada, em todas as questões relacionadas com dados pessoais;
• Assegurar a criação de uma equipa de apoio ao EPD, definindo claramente as responsabilidades da mesma;
• Assegurar que o Instituto recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas, em matéria de gestão de risco de terceiros;
• Definir e validar uma abordagem global de capacitação e consciencialização, em matéria de privacidade, proteção e segurança de dados, de forma a permitir a aquisição das competências necessárias para a implementação do RGPD e do RJSC;
• Assegurar que a transmissão de dados pessoais para outras entidades se encontra devidamente fundamentada, assegura o estrito cumprimento das disposições legais e tem natureza excecional;
• Assegurar a definição e uma gestão eficaz de incidentes relacionados com a segurança de dados pessoais de forma a reduzir o impacto negativo causado, reestabelecendo as operações em tempo útil;
• Assegurar a promoção da conformidade com o RGPD e as boas práticas em matéria de proteção de dados junto das várias áreas;
• Assegurar a existência e conservação de um registo de todas as atividades de tratamento de dados efetuadas no Instituto, nos termos e especificações previstos no RGPD;
• Assegurar que todos os colaboradores compreendem o seu papel na gestão da proteção de dados pessoais e segurança da informação, de modo a poderem contribuir de forma efetiva para a construção de um sistema de garante da privacidade e segurança da informação;
• Promover uma cultura organizacional de proteção de dados e segurança da informação no IPV;
• Garantir uma adequada articulação com a CNPD, tendo como ponto de contacto o EPD;
• Garantir a segregação de funções e a prevenção de conflito de interesses.

Na prossecução das responsabilidades que cabem à Gestão de Topo(GT), em estreita articulação com a mesma e com o EPD, o principal objetivo e responsabilidade desta Comissão, com o apoio da Unidade Operacional para a Privacidade e Proteção de Dados(UOPPD), é ser o garante da dinamização de todas as atividades inerentes ao programa de implementação e conformidade RGPD, em todas as unidades orgânicas e serviços do IPV, conforme plano de atividades proposto pela referida Unidade.

COMPOSIÇÃO

• Presidente do IPV ou Vice-presidente com delegação de competências na área de privacidade e proteção de dado
• Administradora (SAS/Serviços Centrais) do IPV
• EPD
• 1 Representante por cada Escola com responsabilidade institucional na área da privacidade e proteção de dados
• 1 Representante da Área dos Sistemas de Informação do IPV
• 1 Representante da Área da Qualidade
• 1 Representante da Comissão de Ética

O Encarregado de Proteção de Dados é designado por despacho do Presidente do IPV, nos termos do artº 12º da Lei 58/2019, de 8 de agosto, com base nos requisitos previstos no nº 5 do artº 37º do RGPD.
O EPD exerce as suas funções, nos termos do artº 37º e ss do RGPD, artºs 9º a 13º da Lei nº 58/2019, e diretriz WP 243ver.1 do Grupo do Artigo 29º para a proteção de dados, com reporte à Gestão de Topo(GT), autonomia técnica e independência, tendo os respetivos pareceres natureza consultiva.
O Encarregado de Proteção de Dados(EPD) tem como principais funções:

• Aconselhar a organização relativamente à prossecução e execução dos princípios de tratamentos de dados pessoais;
• Informar e aconselhar a Gestão de Topo(GT) e as diversas unidades funcionais e unidades orgânicas que procedem ao tratamento de dados pessoais, sobre as respetivas obrigações legais neste âmbito;
• Aconselhar e acompanhar quando solicitado, na implementação e no cumprimento por parte do Instituto, de toda a legislação relacionada com a privacidade e proteção de dados;
• Apoiar a Unidade Operacional de Privacidade e Proteção de Dados(UOPPD), na clarificação das questões colocadas pelos colaboradores ou terceiros;
• Apoiar a Organização na conceção, manutenção e na atualização de um registo interno das atividades de tratamento realizadas no Instituto, da responsabilidade de cada área e ou serviço, com o suporte técnico da Unidade Operacional de Privacidade e Proteção de Dados(UOPPD), para verificação da conformidade, validação superior e demonstração à autoridade de controlo(CNPD), do cumprimento das regras em matéria de dados pessoais;
• Recomendar e apoiar a Organização, com o suporte técnico da Unidade Operacional de Privacidade e Proteção de Dados(UOPPD), na promoção da conformidade com o RGPD e com as boas práticas em matéria de proteção de dados, junto das várias unidades funcionais e unidades orgânicas;
• Recomendar que o IPV assegure a promoção de auditorias (internas ou externas) em matéria de tratamento de dados pessoais, acompanhando os trabalhos;
• Prestar aconselhamento, quando lhe for solicitado no âmbito da realização de uma Avaliação de Impacto sobre a Proteção de Dados;
• Avaliar quando lhe seja solicitado, a transmissão de dados pessoais a uma parte terceira ao IPV, incluindo entidades fora da União Europeia;
• Sempre que tome conhecimento atempado das situações identificadas pelos serviços, alertar a Gestão de Topo (GT) sobre inconformidades, vulnerabilidades e riscos em matéria de privacidade e proteção de dados;
• Recomendar e aconselhar o IPV, sobre a promoção de atividades de formação dos trabalhadores e colaboradores implicados nas operações de tratamento de dados, conforme necessidades identificadas pelos serviços;
• Recomendar e aconselhar o IPV, em estreita colaboração e com o suporte da área dos sistemas de informação, a promover atividades de sensibilização e consciencialização de trabalhadores e colaboradores, para a importância da deteção atempada de incidentes de segurança e consequente necessidade de informar imediatamente a estrutura responsável pela Gestão de Situações de Violação de Dados;
• Colaborar através da Unidade Operacional para a Privacidade e Proteção de Dados(UOPPD), na relação com os titulares dos dados no exercício dos seus direitos, nas situações em que tenha havido um contacto direto por parte dos mesmos, bem como providenciar aconselhamento, quando e se necessário, nas situações de contacto indireto;
• Sempre que solicitado, acompanhar e aconselhar sobre a gestão eficaz de incidentes relacionados com a segurança de dados pessoais de forma a reduzir o impacto negativo causado, reestabelecendo as operações em tempo útil, em estreita colaboração e com o suporte técnico da equipa de segurança da informação;
• Cooperar e ser ponto de contacto com a autoridade de controlo sobre questões relacionadas com o tratamento de dados, em estreita articulação com a Gestão de Topo (GT).

Para efeitos do disposto no nº 2 do artº 38º do RGPD e no cumprimento das suas funções, o EPD é coadjuvado em permanência, pela Unidade Operacional para a Privacidade e Proteção do Dados(UOPPD).

Em permanente colaboração com a Gestão de Topo(GT), com a Comissão para a Privacidade e Proteção de Dados (CPPD) e com o EPD, a Unidade Operacional para a Privacidade e Proteção de Dados(UOPPD), integra competências multidisciplinares, cabendo-lhe articular com os diversos serviços e unidades orgânicas do IPV, e dar suporte na implementação pelos mesmos, de todas as atividades inerentes ao programa de conformidade RGPD, designadamente:

• Na resolução de questões relativas ao registo interno das atividades de tratamento realizadas no IPV;
• Na elaboração / atualização de políticas, procedimentos e consistência dos formulários de recolha de informação em matéria de privacidade e proteção de dados, realização de auditorias, avaliações de impacto, entre outros;
• Sobre propostas de medidas técnicas e organizativas que garantam a segurança do tratamento de dados pessoais;
• Relativamente ao planeamento e implementação das atividades de tratamento, os princípios de proteção de dados pessoais e as garantias adequadas (proteção de dados desde a conceção e por defeito);
• Assegurar e acompanhar a realização de auditorias em matéria de tratamento de dados pessoais (internas e externas);
• Sobre questões relacionadas com a necessidade e realização de avaliações de impacto (AIPD);
• Sobre a relação com os titulares dos dados no exercício dos seus direitos;
• Sobre questões relacionadas com a gestão do risco de terceiros, nomeadamente o recurso a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas;
• Assegurar o planeamento, promoção e realização de ações de formação e consciencialização em matéria de tratamento de dados pessoais;
• Acompanhar e controlar a implementação do programa de privacidade e proteção de dados no Instituto;
• Alertar e aconselhar sobre eventuais vulnerabilidades no processo de tratamento de dados que possam colocar em risco a privacidade e os demais direitos dos titulares dos dados previstos no RGPD.

COMPOSIÇÃO

• Vice-Presidente com delegação de competências na área de privacidade e proteção de dados
• Administrador(a) IPV/SAS
• 1 Representante dos Sistemas de Informação do IPV
• EPD
• PIVOTS RGPD– colaborador(es) (intervenientes nas atividades de tratamento), designados para a proteção de dados e segurança de informação em cada Estrutura Orgânica do IPV (Serviços Centrais, SAS e Escolas)
• 1 elemento para assessoria técnica/administrativa

A referida Rede de Suporte (PIVOTS RGPD- equipas designadas pelos responsáveis das UO/ Áreas e ou Serviços- SC-SAS-ESCOLAS), apoia os responsáveis, assegurando nas respetivas estruturas a implementação do sistema de conformidade RGPD, para designadamente:

• Garantir os princípios de tratamento de Dados Pessoais, nomeadamente:
  • que os dados a tratar são recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades;
  • que os dados são adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
  • que os dados são exatos e atualizados sempre que necessário;
  • que os dados são conservados de uma forma que permita a identificação dos titulares dos dados, apenas durante o período necessário para as finalidades para as quais são tratados;
  • que os dados são tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizacionais adequadas;
• Assegurar a identificação das atividades de tratamento efetuadas, garantindo a existência, manutenção e atualização periódica de um registo interno de atividades de tratamento;
• Identificar necessidades em matérias de políticas, de procedimentos, formulários de recolha de informação, realização de avaliações de impacto, realização de auditorias, entre outros;
• Assegurar a implementação das medidas técnicas e organizativas previstas internamente, que garantam a segurança do tratamento dos dados pessoais;
• Assegurar que, no planeamento e na implementação das atividades de tratamento, os princípios de proteção de dados pessoais e as garantias adequadas, são implementadas (proteção de dados desde a conceção e por defeito);
• Assegurar a realização de avaliações de impacto sobre a proteção de dados pessoais (AIPD), quando aplicável;
• Garantir a relação com os titulares dos dados no exercício dos seus direitos e respetiva resposta às solicitações / queixas que possam vir a ser efetuadas;
• Implementar as medidas técnicas e organizativas propostas internamente e que garantam a segurança do tratamento de dados pessoais;
• Alertar para eventuais vulnerabilidades no processo de tratamento de dados, que possam colocar em risco a privacidade e os demais direitos dos titulares dos dados previstos no RGPD;

COMPOSIÇÃO

A constituição e dinâmica de cada equipa, ficará ao critério dos responsáveis (Presidentes Escolas, Administradora, Diretores de Serviços ou Responsáveis por Área), devendo ser identificado um elemento que coordene o trabalho da equipa e funcione como primeiro ponto de contacto, no processo de implementação do sistema de “compliance”.

A título exemplificativo, refere-se a rede de interlocutores que foi definida, capacitada e testada no âmbito do Projeto Cyber&Data Protection IP, em que no caso das Escolas, a equipa multidisciplinar integrava o(a) Vice-Presidente, colaboradores dos sistemas de informação e dos serviços.
De forma a operacionalizar o Modelo de Governo definido, as unidades funcionais e unidades orgânicas deverão efetuar o reporte das atividades desenvolvidas no âmbito das funções atribuídas. Os moldes como este reporte será efetuado deverá ser objeto de definição em procedimento interno próprio.

FUNCIONAMENTO

Qualquer colaborador que integre a estrutura organizativa do IPV ou elementos convidados, poderão vir a ser chamados a participar nas reuniões ou atividades da Comissão para a Privacidade e Proteção de Dados(CPPD) ou da Unidade Operacional para a Privacidade e Proteção de Dados(UOPPD), em função das temáticas e ou relevância do seu contributo.
O presente Modelo de Governo, deve ser amplamente divulgado junto da Comunidade do IPV.
Cada Órgão (Comissão para a Privacidade e Proteção de Dados(CPPD), Unidade Operacional para a Privacidade e Proteção de Dados(UOPPD), estabelecerá em regimento próprio o seu regime de funcionamento.

Em estreita articulação com a Unidade Operacional para a Privacidade e Proteção de Dados(UOPPD), e com o EPD, a Área dos Sistemas e Segurança da Informação, deve colaborar no processo de implementação no IPV de um sistema de “compliance”, assegurando o adequado funcionamento das tecnologias de comunicação e informação existentes, designadamente:

• Assegurar a implementação das medidas técnicas, humanas e processuais de segurança necessárias ao cumprimento das obrigações a que o IPV se encontra vinculado nos termos do RGPD, incluindo o registo interno das atividades de tratamento de dados pessoais-RIAT, da Resolução do Conselho de Ministros 41/2018, de 28 de março (orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais), pela Lei n.º 46/2018, de 13 de agosto (regime jurídico da segurança do ciberespaço) e Decreto-Lei 65/2021, de 30 de junho (que define o Regime jurídico do Ciberespaço em Portugal);
• Informar, aconselhar e divulgar legislação sectorial com implicações em matéria de segurança e proteção de dados;
• Propor e implementar políticas e procedimentos internos que garantam não só a segurança dos dados pessoais, bem como a correta gestão de incidentes de segurança, em alinhamento com a estratégia definida pela Gestão de Topo(GT) do IPV, para a segurança do tratamento de dados pessoais;
• Assegurar que no planeamento e na implementação das atividades de tratamento, os princípios de proteção de dados pessoais e as garantias adequadas, são implementadas (proteção de dados desde a conceção e por defeito), controlando o desenho das medidas técnicas e organizativas, em matéria de segurança dos dados pessoais;
• Elaborar e manter atualizado um Plano de Resposta a Incidentes de Segurança da Informação, devidamente documentado (como detetar e reagir a incidentes de Cibersegurança, como determinar o âmbito e risco, como responder apropriada e rapidamente, e como comunicar os resultados e riscos a todas as partes interessadas) e assinado pelo responsável de segurança digital;
• Definir a equipa e a cadeia de responsabilidade em matéria de segurança da informação, detalhando as funções e responsabilidades de cada elemento envolvido no processo;
• Identificar o Responsável de Segurança Digital, o Coordenador da Equipa de Resposta a incidentes de segurança (ERIS) e o Ponto de Contacto Permanente;
• Proceder à identificação das áreas de atividade e serviços considerados críticos e efetuar a gestão de ativos para as mesmas;
• Planear / promover / realizar ações de formação e consciencialização em matéria de privacidade e segurança dos dados pessoais;
• Realizar, periodicamente, simulacros de Cibersegurança;
• Reportar os incidentes de segurança à Gestão de Topo(GT) do IPV e ao EPD, quando nos mesmos ocorra violação de dados pessoais, instruindo o referido o processo;
• Notificar o CNCS da ocorrência de incidentes com impacto relevante ou substancial.
• Apoiar na definição da política de segurança da informação do IPV;
• Liderar a Gestão do Sistema de Gestão de Segurança da Informação(SGSI);
• Definir normas e procedimentos respeitantes ao SGSI e promover a sua revisão sempre que adequado;
• Propor e coordenar atividades de avaliação de risco, de implementação/atualização de controlos de segurança e de resposta a incidentes de segurança, em articulação com outras equipas;
• Definir planos de prevenção, deteção, resposta e contingência perante riscos e incidentes de segurança da informação, em articulação com outras equipas;
• Propor, realizar ou acompanhar auditorias de segurança da informação;
• Garantir a articulação estratégica e operacional entre a Gestão de Segurança da Informação e a Proteção de Dados;
• Garantir o reporte de informação de controlo da área de atividade, nomeadamente no que se refere a: áreas ou processos abrangidos pelo SGSI; atividades de avaliação de risco efetuadas; controlos de segurança implementados; auditorias realizadas; incidentes de segurança ocorridos;
• Promover uma cultura de segurança da informação alinhada com a política e objetivos da Organização através de iniciativas de sensibilização, formação e informação dirigidas a todos os colaboradores do IPV;
• Promover uma cultura de privacy by design, apoiando o desenvolvimento de boas práticas
• Prestar o demais apoio que lhe for superiormente solicitado.

Em estreita articulação com a Unidade Operacional para a Privacidade e Proteção de Dados(UOPPD), a Área da Qualidade deve colaborar no processo de implementação no IPV de um sistema de “compliance” com o RGPD, designadamente:

• No acompanhamento ao desempenho das unidades funcionais e unidades orgânicas do IPV, verificando o cumprimento das suas atribuições e responsabilidades, assegurando a supervisão da gestão do risco;
• Na realização e dinamização de auditorias internas em matéria de proteção de dados pessoais e segurança da informação em conformidade com as leis, políticas e regulamentos, princípios e padrões de procedimento;
• Na promoção e realização de auditorias a subcontratantes em matéria de dados pessoais, quando aplicável;
• Alertar sobre inconformidades, vulnerabilidades e riscos encontrados em matéria de privacidade e proteção de dados;
• Acompanhar e pronunciar-se sobre a elaboração / atualização de políticas, procedimentos e consistência dos formulários de recolha de informação em matéria de privacidade e proteção de dados;
• Acompanhar o planeamento de trabalhos e o acesso a dados pessoais de auditores externos;

Em estreita articulação com a Unidade Operacional para a Privacidade e Proteção de Dados(UOPPD), a Área Jurídica deve colaborar no processo de implementação no IPV de um sistema de “compliance” com o RGPD, designadamente:

• Acompanhar a evolução da legislação relacionada com a privacidade e proteção de dados, bem como legislação sectorial com implicações em matéria de privacidade e proteção de dados, participando na sistematização e divulgação da mesma internamente;
• Prestar assessoria jurídica e intervir quando a lei o permita e lhe seja solicitado, no que diz respeito a obrigações legais, preparação, elaboração e análise de políticas, procedimentos, regulamentos, contratos, despachos e outros documentos em matéria de privacidade e proteção de dados;
• Elaborar pareceres e informações sobre matérias de privacidade e proteção de dados, quando lhe seja solicitado;
• Colaborar e auxiliar na preparação de processos contratuais em matéria de gestão do risco de terceiros.

Em estreita articulação com a Unidade Operacional para a Privacidade e Proteção de Dados(UOPPD), a Área de Planeamento e Gestão Administrativa e Financeira, deve colaborar no processo de implementação no IPV de um sistema de compliance com o RGPD, designadamente:

• Diagnosticar, planear, propor e coordenar ações de formação e consciencialização de trabalhadores e colaboradores, envolvidos em matérias de tratamento de dados pessoais e segurança da informação;
• Assegurar a Gestão do Risco de Terceiros garantindo a implementação de medidas para mitigar esses riscos, nomeadamente, acautelando que os contratos que envolvam tratamento de dados por subcontratantes, contenham regras especificas em matéria de proteção de dados pessoais a que se refere o RGPD;
• Proceder a ações de avaliação de risco, de forma a garantir que o subcontratante apresenta garantias suficientes para a aplicação de medidas técnicas e organizativas destinadas a assegurar que o tratamento cumpre com as obrigações impostas pelo RGPD, e garante a proteção dos direitos das pessoas;
• SRH
  • Efetuar a gestão corrente de ativos humanos, pessoal docente e não docente (nomeadamente recrutamento, contratação e mobilidade) garantindo que os contratos de trabalho realizados entre o IPV e os seus trabalhadores e colaboradores asseguram as matérias referentes à privacidade e proteção de dados;
  • Promover a conformidade com o RGPD e as boas práticas em matéria de proteção de dados, junto dos trabalhadores e colaboradores do IPV implementando os procedimentos adequados;
• SF:
  • Proceder ao registo de todos os contratos celebrados pelo IPV, especificando as finalidades e dados pessoais objeto de subcontratação.

Em estreita articulação com a Unidade Operacional para a Privacidade e Proteção de Dados(UOPPD), deve especificamente o Departamento Técnico (nomeadamente na área de contratação pública), o Departamento de Comunicação, Cultura e Relações Externas (mais concretamente na área de mobilidade e relações internacionais), bem como as diversas Unidades Orgânicas ( SAS, ESAV, ESEV, ESSV, ESTGL, ESTGV), a par das demais atribuições gerais em matéria de proteção de dados pessoais, colaborar no processo de implementação no IPV de um sistema de “compliance” com o RGPD, designadamente:

• Assegurar a Gestão do Risco de Terceiros garantindo a implementação de medidas para mitigar esses riscos, nomeadamente, acautelando que os contratos que envolvam tratamento de dados por subcontratantes, contenham regras específicas em matéria de proteção de dados pessoais a que se refere o RGPD;
• Proceder a ações de avaliação de risco de forma a garantir que o subcontratante apresenta garantias suficientes para a aplicação de medidas técnicas e organizativas, destinadas a assegurar que o tratamento cumpre com as obrigações impostas pelo RGPD e garante a proteção dos direitos das pessoas.