Passar para o conteúdo principal

Política de Privacidade

A Inspeção-Geral de Finanças–Autoridade de Auditoria (IGF) valoriza a privacidade e a proteção de dados pessoais, dispondo de práticas e instrumentos no domínio da segurança e da proteção de dados pessoais. A IGF respeita os princípios aplicáveis à proteção de dados, bem como assegura o estrito cumprimento do disposto no artigo 35.º da Constituição da República Portuguesa, no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados - Regulamento Geral sobre a Proteção de Dados (RGPD) - e na Lei n.º 58/2019, de 8 de agosto, que assegura a execução na ordem jurídica nacional do RGPD. A IGF aplica medidas de segurança técnicas e organizativas adequadas para garantir que o tratamento dos dados pessoais é lícito, leal, transparente e limitado às finalidades autorizadas e para assegurar um nível de segurança dos dados pessoais adequado ao risco, em cumprimento do RGPD. As referidas medidas de segurança estão enquadradas na política de segurança da informação e contemplam:

  1. A organização da segurança da informação, incluindo a infraestrutura de segurança e identificação dos riscos e gestão da segurança de acesso de partes externas à IGF;
  2. A classificação e controlo dos recursos informáticos, nomeadamente o inventário de ativos e a classificação da informação;
  3. Os procedimentos de segurança a adotar aquando da contratação e do fim da relação contratual dos recursos humanos;
  4. A segurança do ambiente físico, nomeadamente a definição das zonas de segurança e a proteção do equipamento informático;
  5. A segurança das comunicações e operações, as quais definem:
    • Procedimentos e responsabilidades operacionais;
    • Procedimentos de manutenção dos sistemas;
    • Procedimentos de gestão de incidentes;
    • Procedimentos de recuperação;
    • Controlos para a proteção contra código malicioso;
    • Procedimentos de gestão de rede;
    • Procedimentos de segurança no tratamento dos dispositivos de armazenamento da informação; e
    • Procedimentos para o intercâmbio de informação e software, incluindo o correio eletrónico.
  6. Os procedimentos de controlo de acessos aos sistemas, nomeadamente:
    • Requisitos para a sua concessão;
    • Gestão dos acessos dos utilizadores;
    • Responsabilidade dos utilizadores na proteção dos acessos e das credenciais que lhes são atribuídas;
    • Controlos de acesso aos serviços de rede, incluindo ligações VPN a redes externas;
    • Controlo do direcionamento do tráfego de rede;
    • Controlos de acesso às aplicações;
    • Sistema de monitorização de eventos e de deteção de intrusões.
  7. Procedimentos para a computação móvel e teletrabalho;
  8. Procedimentos para a aquisição, desenvolvimento e manutenção de aplicações, os quais incluem:
    • Requisitos de segurança de sistemas aplicacionais;
    • Controlos de gestão de alterações;
    • Procedimentos para a segregação entre a infraestrutura de suporte ao desenvolvimento e a infraestrutura de produção;
    • Procedimentos para o planeamento de capacidades e aceitação dos sistemas; e
    • Proteção do processo de desenvolvimento e manutenção.
  9. Procedimentos para a continuidade da atividade e recuperação em caso de desastre;
  10. Controlos de conformidade e observância dos requisitos legais.

Para a implementação destas medidas de segurança, além dos procedimentos enunciados, estão instaladas e em funcionamento diversas ferramentas, mecanismos e sistemas que asseguram uma adequada proteção da informação mantida nos sistemas e em trânsito nas comunicações, como, a título de exemplo, antivírus, cifra de discos, cifra de comunicações, Firewalls, Antisspam, IDS (Intrusion Detection System) e IPS (Intrusion Protection System).

1. Tratamento de dados pessoais

Constitui dado pessoal a informação, em qualquer suporte (físico ou tecnológico), relativa a uma pessoa singular identificada ou identificável (titular dos dados), incluindo o nome, número de identificação civil e fiscal, dados de localização ou outros elementos que permitam chegar à identificação dessa pessoa singular.

Enquanto responsável pelo tratamento de dados pessoais, à IGF compete a decisão sobre quais os dados recolhidos, meios de tratamento e finalidades para as quais os dados são tratados, podendo na prossecução das suas atribuições legais recorrer a subcontratantes para tratar os mesmos por sua conta e sob sua responsabilidade.

2. Categorias de dados pessoais tratados

Para prossecução da sua missão, a IGF trata os dados pessoais estritamente necessários e limitados em função da finalidade associada ao tratamento desses dados. São exemplo de categorias de dados pessoais tratados pela IGF:

  1. Dados de identificação civil e fiscal;
  2. Dados de domicílio e contacto;
  3. Dados bancários, financeiros e fiscais;
  4. Dados de formação e profissionais;
  5. Dados familiares;
  6. Dados de menores;
  7. Dados especiais ou de natureza altamente pessoal;
  8. Dados de condenações penais e infrações;
  9. Dados de saúde;
  10. Dados biométricos.

A IGF pode tratar categorias especiais de dados pessoais para prossecução da finalidade associada ao tratamento, designadamente quando o tratamento seja necessário em matéria de legislação laboral, segurança social, por motivos relativos ao exercício ou à defesa de um direito num processo judicial, para efeitos de medicina no trabalho ou para fins estatísticos, aplicando nestes casos medidas técnicas e organizativas adequadas.

3. Fundamento para o tratamento de dados pessoais

A IGF só tratará os dados quando se verifique pelo menos uma das situações abaixo indicadas: 

  1. Obrigação legal – Quando o tratamento for necessário para cumprimento de uma obrigação legal que lhe está cometida, designadamente prevista no seu diploma orgânico (Decreto-Lei n.º 96/2012, de 23 de abril) ou decorrente de ato normativo que lhe atribua outras competências em domínios específicos (cuja identificação será objeto de publicação no sítio institucional na Internet);
  2. Exercício de autoridade pública - Quando o tratamento for necessário ao exercício de funções de autoridade pública;
  3. Interesse público - Quando o tratamento for necessário ao exercício de funções de interesse público;
  4. Interesse legítimo - Quando o tratamento for necessário para cumprimento de interesse legítimo prosseguido pela IGF;
  5. Interesse vital - Quando o tratamento for necessário para cumprimento do interesse vital do titular dos dados;
  6. Execução do contrato – Quando o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
  7. Consentimento – Quando o tratamento depender do consentimento do titular dos dados. Neste caso, o titular tem o direito de retirar a todo o tempo o consentimento prestado, sem comprometer a licitude do tratamento que tenha sido efetuado com base nesse consentimento, mediante pedido escrito dirigido à IGF para o endereço de correio eletrónico epd@igf.gov.pt .

4. Finalidades de tratamento

A IGF trata os dados pessoais, designadamente, com as seguintes finalidades:

  1. Recursos Humanos: recrutamento e seleção de recursos humanos; gestão de recursos humanos (assiduidade, gestão de horários, etc.); processamento salarial; avaliação de desempenho; promoção da segurança e saúde no trabalho; atribuição de benefícios sociais aos trabalhadores;
  2. Aprovisionamento: receção e tratamento de propostas apresentadas em procedimentos aquisitivos; execução de contratos estabelecidos com fornecedores;
  3. Recursos Financeiros: gestão de faturação/cobranças; autorizações de despesas e pagamentos;
  4. Comunicação: divulgação de comunicações internas e externas;
  5. Tecnologias de informação: receção e tratamento de pedidos de suporte informático; monitorização dos sistemas informáticos; implementação de redes e sistemas tecnológicos;
  6. Segurança física: controlo biométrico de acessos; videovigilância de acesso às instalações;
  7. Processos associados ao cumprimento da missão: realização de auditorias, inspeções e fiscalizações; monitorização sistemática da conformidade (concessão e parcerias-público privadas, subvenções públicas, parecer prévio, análise de instrumentos de gestão, cumprimento de obrigações legais dos gestores públicos, reporte dos ROC/SROC, programas e intervenções públicas); supervisão de sociedades gestoras de participações sociais; realização de inquéritos, sindicâncias e procedimentos disciplinares; processamento de contraordenações; processamento de petições, reclamações e sugestões (participações cívicas, queixas, análise de denúncias e assédio laboral);
  8. Processos de apoio ao cumprimento da missão: estudos, planeamento e apoio à gestão (tratamento estatístico de dados para monitorização da atividade); edição e publicação de conteúdos; processamento de pedidos de informação e de esclarecimento.
FinalidadeFundamento
Recursos Humanos

Cumprimento de obrigação legal e regulamentar

Execução de contrato e diligências pré-contratuais

Aprovisionamento

Cumprimento de obrigação legal e regulamentar

Execução de contrato e diligências pré-contratuais

Recursos Financeiros

Cumprimento de obrigação legal e regulamentar

Execução de contrato e diligências pré-contratuais

Comunicação - internas e externas

Cumprimento de obrigação legal e regulamentar

Execução de contrato e diligências pré-contratuais

Tecnologias de informação

Interesse legítimo do responsável pelo tratamento

Cumprimento de obrigação legal e regulamentar

Execução de contrato e diligências pré-contratuais

Segurança física

Interesse legítimo do responsável pelo tratamento

Execução de contrato e diligências pré-contratuais

Processos associados à missão

Cumprimento de obrigação legal e regulamentar

Exercício de autoridade pública ou interesse público

Defesa do interesse vital do titular dos dados

Consentimento do titular dos dados

Processos de apoio associados à missão

Cumprimento de obrigação legal e regulamentar

Execução de contrato e diligências pré-contratuais

O tratamento de dados pessoais pela IGF tem por fundamentos de licitude, o cumprimento de obrigações legais, a prossecução de interesse público, a execução de contratos ou de diligências pré-contratuais, a consecução de interesse legítimo ou a defesa de interesses vitais dos titulares dos dados, bem como, o consentimento livre e expresso dos titulares dos dados, nos casos em que o mesmo seja necessário e aplicável, finalidades essas prosseguidas nos termos e condições previstos nos artigos 5.º e 6.º do RGPD. Ademais, poderão ser tratados dados em contexto de arquivo de interesse público, de investigação científica, histórica, ou para fins estatísticos, com observância dos direitos dos titulares de dados, consagrados nos artigos 15.º a 22.º do RGPD, nos termos aí vertidos.

Os dados pessoais são unicamente transmitidos pela IGF (vd. a entidades públicas nacionais ou comunitárias), de acordo com o indicado no parágrafo anterior. Esclarece-se que a IGF pode ainda partilhar dados pessoais com entidades externas, se a isso for obrigada por lei ou decisão judicial. Pode, também, comunicar informação que contenha dados pessoais a interessado que se encontre munido de autorização escrita do titular dos dados, explícita e específica quanto à finalidade e tipo de dados, ou que demonstre possuir um interesse legítimo, pessoal e direto, constitucionalmente protegido e suficientemente relevante que justifique o acesso pretendido, nos termos da Lei de Acesso aos Documentos Administrativos – LADA (Lei n.º 26/2016, de 22 de agosto).

5. Formas de recolha de dados pessoais

A IGF recolhe dados de forma direta, dos titulares dos dados, e ainda de fontes públicas e privadas, incluindo entidades oficiais.

A IGF pode ainda comunicar ou permitir o acesso aos dados pessoais a entidades terceiras, como sejam consultores externos, ou subcontratantes, garantindo que cada uma destas entidades terceiras e subcontratantes assegura a confidencialidade dos dados pessoais, celebrando acordos de confidencialidade com as referidas entidades e obtendo declarações de confidencialidade dos respetivos colaboradores.

6. Prazos de conservação

A IGF trata dados pessoais, na medida do estritamente necessário, para o cumprimento da missão e suas atribuições legais. Informa-se que os trabalhadores da IGF estão obrigados ao dever de sigilo e que esses dados são mantidos em condições de segurança durante o período necessário à prossecução da finalidade de tratamento e enquanto durar o prazo de conservação dos mesmos, fixados no Regulamento Arquivístico da IGF (Portaria n.º 525/2002, de 3 de maio) e ainda pela Macroestrutura funcional (MEF) e Lista consolidada (LC), referencial construído pela Direção-Geral do Livro, dos Arquivos e das Bibliotecas (DGLAB).

Decorridos os prazos legais de preservação, os dados pessoais são eliminados em todos os suportes, sem prejuízo de alguns desses dados poderem ser conservados, por períodos mais longos, designadamente, para o exercício de um direito em processo judicial, para fins de investigação científica ou histórica, ou para fins estatísticos, aplicando a IGF, nestes casos, medidas técnicas e organizativas adequadas.

7. Avaliação de impacto

A Avaliação de Impacto sobre a Proteção de Dados (AIPD) consiste num processo concebido para descrever as operações de tratamento e as finalidades das mesmas, avaliar a necessidade e proporcionalidade desse tratamento em função dos objetivos, e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais de que são titulares.

Este é um método que visa sobretudo a identificação e mitigação dos riscos inerentes ao tratamento de dados pessoais, mediante a adoção de medidas que permitam atenuar o impacto negativo que aquele tratamento possa ter para os titulares.

Sempre que a IGF pretenda levar a cabo operações de tratamento de dados pessoais que sejam suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas singulares deverá realizar uma Avaliação de Impacto antes de iniciar o tratamento.

Com efeito, a IGF compromete-se a conduzir tal avaliação sempre que trate categorias especiais de dados (origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa), dados pessoais relacionados com condenações penais e infrações, ou dados de natureza altamente pessoal. Incluem-se as situações em que estes dados sejam tratados para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos (exceto se os tratamentos previstos e regulados por lei apresentem garantias adequadas dos direitos dos titulares) e se esses dados forem tratados com utilização de novas tecnologias ou nova utilização de tecnologias já existentes.

A IGF servir-se-á destas avaliações para demonstrar o bom cumprimento do seu dever de proteção de dados pessoais, obrigando-se a solicitar a opinião dos titulares dos dados pessoais ou o parecer da Comissão Nacional de Proteção de Dados (CNPD), sempre que a lei assim o preveja.

8. Direitos dos titulares

Nos termos da legislação aplicável e, em especial, do disposto nos artigos 13.º a 15.º do RGPD, a IGF assegura o direito dos titulares à informação sobre o tratamento dos seus dados pessoais, sendo, ainda, permitido, a todo o tempo, ao titular dos dados, o acesso, retificação, limitação, oposição e não sujeição a decisões individuais automatizadas, portabilidade e apagamento dos seus dados pessoais, podendo também opor-se ao seu tratamento, mediante pedido escrito dirigido à IGF para o endereço de correio eletrónico epd@igf.gov.pt.

Quando a IGF tiver razoável dúvida quanto à identidade da pessoa singular que apresenta o pedido, pode solicitar que lhe seja prestada informação adicional para confirmar a identidade do titular dos dados.

As informações são fornecidas pela IGF a título gratuito, exceto quando os pedidos apresentados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu carácter repetitivo, caso em que se reserva o direito de exigir o pagamento de uma taxa, ou de recusa a dar seguimento aos pedidos.

Sempre que no exercício de atribuições legais a IGF entender que carece de consentimento expresso do titular dos dados pessoais (vd. no âmbito da prevenção e combate da prática de assédio em contexto laboral no setor público - artigo 4.º da Lei n.º 73/2017, de 16 de agosto, conjugado com o artigo 4.º da Lei Geral do Trabalho em Funções Públicas, aprovada pela Lei n.º 35/2014, de 20 de junho), o titular tem o direito de retirar a todo o tempo o consentimento prestado, sem comprometer a licitude do tratamento que tenha sido efetuado com base nesse consentimento, mediante pedido escrito dirigido à IGF para o endereço de correio eletrónico epd@igf.gov.pt.

Sem prejuízo do exercício dos direitos anteriormente referidos, o titular pode reclamar diretamente à CNPD, utilizando os contactos referidos no sítio https://www.cnpd.pt.

Os dados pessoais estão protegidos tendo em conta a sua natureza, o âmbito, o contexto, as finalidades de tratamento, os riscos, e as técnicas mais avançadas. Para tal são utilizadas as medidas de segurança técnicas e organizativas adequadas.

No caso de violação dos dados e se a violação resultar num risco elevado para os direitos e liberdades do titular dos dados, a IGF notificará a CNPD, assim como o titular dos dados, nos termos do disposto nos artigos 33.º e 34.º do RGPD.

9. Encarregada da Proteção de Dados

Através do Despacho n.º 8449/2022, de 11 de julho, de Sua Excelência o Secretário de Estado dos Assuntos Fiscais, foi designada, como encarregada da proteção de dados da IGF (EPD), a chefe de equipa multidisciplinar, Dra. Custódia Maria Redondo Martins.

Para assuntos relacionados com o tratamento de dados pessoais, deve ser dirigida comunicação escrita à EPD para um dos seguintes contactos:

  • Endereço de correio eletrónico: epd@igf.gov.pt
  • Endereço profissional: Rua Angelina Vidal, n.º 41, 1199-005, Lisboa

Em situação de conflito ou dúvida não resolvida pela EPD, informa-se que a autoridade competente é a Comissão Nacional de Proteção de Dados (CNPD), com o endereço de correio eletrónico geral@cnpd.pt e portal em https://www.cnpd.pt.

10. Política de cookies

A IGF gere este Portal com o objetivo de aumentar a transparência e de melhorar o acesso do público à informação. Esclarece-se que a mera consulta do sítio eletrónico não implica a necessidade de registo de qualquer informação pessoal que identifique o utilizador e que a IGF dispõe de tecnologia para a utilização de comunicações seguras, bem como de controlos adequados, mediante a realização de testes de intrusão e análises de monitorização.

Os utiizadores que apenas consultam informação no site não sujeitos ao registo de qualquer cookie.

Os utilizadores que pretendam efetuar login, farão o registo de 4 cookies para controlo da Sessão e poder utilizar o Portal com acesso a áreas reservadas.

11. Alterações à Política de Privacidade

A IGF reserva-se o direito de proceder, em qualquer altura, a reajustamentos ou alterações à presente Política de Privacidade, sendo essas alterações devidamente publicitadas no seu website em http://www.igf.gov.pt e/ou noutros canais que se considere adequados.

Data da última atualização da Política de Privacidade
fevereiro de 2023

Atualizado em