Saltar para Conteúdo
A IGF–Autoridade de Auditoria valoriza a privacidade e a proteção de dados pessoais, dispondo de práticas e instrumentos no domínio da segurança e da proteção de dados pessoais. A IGF–Autoridade de Auditoria respeita os princípios aplicáveis à proteção de dados, bem como assegura o estrito cumprimento do disposto no artigo 35.º da Constituição da República Portuguesa, no Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados - Regulamento Geral sobre a Proteção de Dados (RGPD) - e na Lei n.º 58/2019, de 8 de agosto, que assegura a execução na ordem jurídica nacional do RGPD. A IGF-Autoridade de Auditoria aplica medidas de segurança (técnicas e organizativas) adequadas para garantir que o tratamento dos dados pessoais é lícito, leal, transparente e limitado às finalidades autorizadas e para assegurar um nível de segurança dos dados pessoais adequado ao risco, em cumprimento do RGPD. As referidas medidas de segurança estão enquadradas na política de segurança da informação e contemplam:

  1. A organização da segurança da informação, incluindo a infraestrutura de segurança e identificação dos riscos e gestão da segurança de acesso de partes externas à IGF-Autoridade de Auditoria;
  2. A classificação e controlo dos recursos informáticos, nomeadamente o inventário de ativos e a classificação da informação;
  3. Os procedimentos de segurança a adotar aquando da contratação e do fim da relação contratual dos recursos humanos;
  4. A segurança do ambiente físico, nomeadamente a definição das zonas de segurança e a proteção do equipamento informático;
  5. A segurança das comunicações e operações, as quais definem:
    • Procedimentos e responsabilidades operacionais;
    • Procedimentos de manutenção dos sistemas;
    • Procedimentos de gestão de incidentes;
    • Procedimentos de recuperação;
    • Controlos para a proteção contra código malicioso;
    • Procedimentos de gestão de rede;
    • Procedimentos de segurança no tratamento dos dispositivos de armazenamento da informação; e
    • Procedimentos para o intercâmbio de informação e software, incluindo o correio eletrónico.
  6. Os procedimentos de controlo de acessos aos sistemas, nomeadamente:
    • Requisitos para a sua concessão;
    • Gestão dos acessos dos utilizadores;
    • Responsabilidade dos utilizadores na proteção dos acessos e das credenciais que lhes são atribuídas;
    • Controlos de acesso aos serviços de rede, incluindo ligações VPN a redes externas;
    • Controlo do direcionamento do tráfego de rede;
    • Controlos de acessos às aplicações;
    • Sistema de monitorização de eventos e de deteção de intrusões.
  7. Procedimentos para a computação móvel e teletrabalho;
  8. Procedimentos para a aquisição, desenvolvimento e manutenção de aplicações, os quais incluem:
    • Requisitos de segurança de sistemas aplicacionais;
    • Controlos de gestão de alterações;
    • Procedimentos para a segregação entre a infraestrutura de suporte ao desenvolvimento e a infraestrutura de produção;
    • Procedimentos para o planeamento de capacidades e aceitação dos sistemas; e
    • Proteção do processo de desenvolvimento e manutenção.
  9. Procedimentos para continuidade da atividade e recuperação em caso de desastre;
  10. Controlos de conformidade e observância dos requisitos legais.
Para a implementação destas medidas de segurança, além dos procedimentos enunciados, estão instaladas e em funcionamento diversas ferramentas, mecanismos e sistemas que asseguram uma adequada proteção da informação mantida nos sistemas e em trânsito nas comunicações, como, a título de exemplo, antivírus, cifra de discos, cifra de comunicações, Firewalls, Antisspam, IDS (Intrusion Detection System) e IPS (Intrusion Protection System).

1. Tratamento de dados pessoais

Constitui dado pessoal a informação, em qualquer suporte (físico ou tecnológico), relativa a uma pessoa singular identificada ou identificável (titular dos dados), incluindo o nome, número de identificação civil e fiscal, dados de localização ou outros elementos que permitam chegar à identificação dessa pessoa singular.

Enquanto responsável pelo tratamento de dados pessoais, à IGF-Autoridade de Auditoria compete a decisão sobre quais os dados recolhidos, meios de tratamento e finalidades para que os dados são tratados, podendo na prossecução das suas atribuições legais recorrer a subcontratantes para tratar os mesmos por sua conta e sob sua responsabilidade.

2. Categoria de dados pessoais tratados

Para prossecução da sua missão, a IGF-Autoridade de Auditoria trata os dados pessoais estritamente necessários e limitados em função da finalidade associada ao tratamento desses dados. São exemplo de categorias de dados pessoais tratados pela IGF-Autoridade de Auditoria as seguintes:

  1. Dados de identificação civil e fiscal;
  2. Dados de domicílio e contacto;
  3. Dados bancários, financeiros e fiscais;
  4. Dados de formação e profissionais;
  5. Dados familiares;
  6. Dados de menores;
  7. Dados especiais ou de natureza altamente pessoal;
  8. Dados de condenações penais e infrações;
  9. Dados de saúde;
  10. Dados biométricos.
A IGF-Autoridade de Auditoria pode tratar categorias especiais de dados pessoais para prossecução da finalidade associada ao tratamento, designadamente quando o tratamento seja necessário em matéria de legislação laboral, segurança social, por motivos relativos ao exercício ou à defesa de um direito num processo judicial, para efeitos de medicina no trabalho ou para fins estatísticos, aplicando esta autoridade, nestes casos, medidas técnicas e organizativas adequadas.

3. Fundamento para o tratamento de dados pessoais

A IGF-Autoridade de Auditoria só tratará dos dados, se se verificar, pelo menos uma das situações abaixo indicadas:

  1. Obrigação legal – Quando o tratamento for necessário para cumprimento de uma obrigação legal que lhe está cometida, designadamente prevista no seu diploma orgânico (atualmente, o Decreto-Lei n.º 96/2012, de 23 de abril) ou decorrente de ato normativo que lhe atribua outras competências em domínios específicos (cuja identificação será objeto de publicação no sítio institucional na Internet);
  2. Exercício de autoridade pública - Quando o tratamento for necessário ao exercício de funções de autoridade pública;
  3. Interesse público - Quando o tratamento for necessário ao exercício de funções de interesse público;
  4. Interesse legítimo - Quando o tratamento for necessário para cumprimento de interesse legítimo prosseguido pela IGF-Autoridade de Auditoria;
  5. Interesse vital - Quando o tratamento for necessário para cumprimento do interesse vital do titular dos dados;
  6. Execução do contrato – Quando o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
  7. Consentimento – Quando o tratamento depender do consentimento do titular dos dados. Neste caso, o titular tem o direito de retirar a todo o tempo o consentimento prestado, sem comprometer a licitude do tratamento que tenha sido efetuado com base nesse consentimento, mediante pedido escrito dirigido à IGF-Autoridade de Auditoria para o endereço de correio eletrónico epd@igf.gov.pt.

4. Finalidades de tratamento

A IGF-Autoridade de Auditoria trata os dados pessoais, com as seguintes finalidades:

  1. Recursos Humanos: recrutamento e seleção de recursos humanos; gestão de recursos humanos (assiduidade, gestão de horários, etc.); processamento salarial; avaliação de desempenho; promoção da segurança e saúde no trabalho; atribuição de benefícios sociais aos trabalhadores;
  2. Aprovisionamento: receção e tratamento de propostas apresentadas em procedimentos aquisitivos; execução de contratos estabelecidos com fornecedores;
  3. Recursos Financeiros: gestão de faturação/cobranças; autorizações de despesas e pagamentos;
  4. Comunicação: divulgação de comunicações internas e externas;
  5. Tecnologias de informação: receção e tratamento de pedidos de suporte informático; monitorização dos sistemas informáticos; implementação de redes e sistemas tecnológicos;
  6. Segurança física: controlo biométrico de acessos; videovigilância de acesso às instalações;
  7. Processos associados ao cumprimento da missão: realização de auditorias, inspeções e fiscalizações; monitorização sistemática da conformidade (concessão e parcerias-público privadas, subvenções públicas, parecer prévio, análise de instrumentos de gestão, cumprimento de obrigações legais dos gestores públicos, reporte dos ROC/SROC, programas e intervenções públicas); supervisão de sociedades gestoras de participações sociais; realização de inquéritos, sindicâncias e procedimentos disciplinares; processamento de contraordenações; processamento de petições, reclamações e sugestões (participações cívicas e queixas e análise de denúncias e assédio laboral);
  8. Processos de apoio ao cumprimento da missão: estudos, planeamento e apoio à gestão (tratamento estatístico de dados para monitorização da atividade); edição e publicação de conteúdos; processamento de pedidos de informação e de esclarecimento.

 

Finalidade

Fundamento

Recursos Humanos

Cumprimento de obrigação legal e regulamentar

Execução de contrato e diligências pré-contratuais

Aprovisionamento

Cumprimento de obrigação legal e regulamentar

Execução de contrato e diligências pré-contratuais

Recursos Financeiros

Cumprimento de obrigação legal e regulamentar

Execução de contrato e diligências pré-contratuais

Comunicação - internas e externas

Cumprimento de obrigação legal e regulamentar

Execução de contrato e diligências pré-contratuais

Tecnologias de informação

Interesse legítimo do responsável pelo tratamento

Cumprimento de obrigação legal e regulamentar

Execução de contrato e diligências pré-contratuais

Segurança física

Interesse legítimo do responsável pelo tratamento

Execução de contrato e diligências pré-contratuais

Processos associados à missão

Cumprimento de obrigação legal e regulamentar

Exercício de autoridade pública ou interesse público

Defesa do interesse vital do titular dos dados

Consentimento do titular dos dados

Processos de apoio associados à missão

Cumprimento de obrigação legal e regulamentar

Execução de contrato e diligências pré-contratuais

 

 

Os dados pessoais são unicamente transmitidos pela IGF-Autoridade de Auditoria (vd. a entidades públicas nacionais ou comunitárias), para efeitos da finalidade do seu tratamento e no exercício das suas atribuições legais. Esclarece-se que esta autoridade não partilha os dados pessoais com entidades externas, exceto se a isso for obrigada por lei ou decisão judicial. Pode, no entanto, comunicar informação que contenha dados pessoais a interessado que se encontre munido de autorização escrita do titular dos dados, explícita e específica quanto à finalidade e tipo de dados, ou que demonstre possuir um interesse legítimo, pessoal e direto, constitucionalmente protegido e suficientemente relevante que justifique o acesso pretendido, nos termos da Lei de Acesso aos Documentos Administrativos – LADA (atualmente, a Lei n.º 26/2016, de 22 de agosto).

5. Formas de recolha de dados pessoais

A IGF-Autoridade de Auditoria recolhe dados de forma direta, dos titulares dos dados, e ainda de fontes públicas e privadas, incluindo entidades oficiais.

A IGF-Autoridade de Auditoria pode ainda comunicar ou permitir o acesso aos dados pessoais a entidades terceiras, como sejam consultores externos, ou subcontratantes, garantindo que cada uma destas entidades terceiras e subcontratantes assegura a confidencialidade dos dados pessoais, celebrando acordos de confidencialidade com as referidas entidades e obtendo declarações de confidencialidade dos colaboradores.

6. Prazos de conservação

Os dados pessoais tratados pela IGF-Autoridade de Auditoria destinam-se, no estritamente necessário, ao cumprimento da missão e suas atribuições legais. Informa-se que os trabalhadores desta autoridade de auditoria estão obrigados ao dever de sigilo e que esses dados são mantidos em condições de segurança durante o período necessário à prossecução da finalidade de tratamento e enquanto durar o prazo de conservação dos mesmos, fixados no Regulamento Arquivístico da IGF-Autoridade de Auditoria (atualmente aprovado pela Portaria n.º 525/2002, de 3 de maio) e ainda pela Macroestrutura funcional (MEF) e Lista consolidada (LC), referencial construído pela Direção-Geral do Livro, dos Arquivos e das Bibliotecas (DGLAB).

Decorridos os prazos legais de preservação, os dados pessoais são eliminados em todos os suportes, sem prejuízo de alguns desses dados poderem ser conservados, por períodos mais longos, designadamente, para o exercício de um direito em processo judicial, para fins de investigação científica ou histórica, ou para fins estatísticos, aplicando a esta autoridade, nestes casos, medidas técnicas e organizativas adequadas.

7. Avaliação de impacto

A Avaliação de Impacto sobre a Proteção de Dados (AIPD) consiste num processo concebido para descrever as operações de tratamento e as finalidades das mesmas, avaliar a necessidade e proporcionalidade desse tratamento em função dos objetivos, e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais de que são titulares.

Este é um método que visa sobretudo a identificação e mitigação dos riscos inerentes ao tratamento de dados pessoais, mediante a adoção de medidas que permitam atenuar o impacto negativo que aquele tratamento possa ter para os titulares.

Sempre que a IGF-Autoridade de Auditoria pretenda levar a cabo operações de tratamento de dados pessoais que sejam suscetíveis de implicar um elevado risco para os direitos e liberdades das pessoas singulares deverá realizar uma Avaliação de Impacto antes de iniciar o tratamento.

Com efeito, a IGF-Autoridade de Auditoria compromete-se a conduzir tal avaliação sempre que trate categorias especiais de dados (origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa), dados pessoais relacionados com condenações penais e infrações, ou dados de natureza altamente pessoal. Incluem-se as situações em que estes dados sejam tratados para finalidade de arquivo de interesse público, investigação científica e histórica ou fins estatísticos (exceto se os tratamentos previstos e regulados por lei apresentem garantias adequadas dos direitos dos titulares) e se esses dados forem tratados com utilização de novas tecnologias ou nova utilização de tecnologias já existentes.

A IGF-Autoridade de Auditoria servir-se-á destas avaliações para demonstrar o bom cumprimento do seu dever de proteção de dados pessoais, obrigando-se a solicitar a opinião dos titulares dos dados pessoais ou o parecer da Comissão Nacional de Proteção de Dados (CNPD), sempre que necessário.

8. Direitos dos titulares

Nos termos da legislação aplicável e, em especial, do disposto nos artigos 13.º a 15.º do RGPD, a IGF-Autoridade de Auditoria assegura o direito dos titulares à informação sobre o tratamento dos seus dados pessoais, sendo, ainda, permitido, a todo o tempo, ao titular dos dados, o acesso, retificação, limitação, oposição e não sujeição a decisões individuais automatizadas, portabilidade e apagamento dos seus dados pessoais, podendo também opor-se ao seu tratamento, mediante pedido escrito dirigido a esta autoridade para o endereço de correio eletrónico epd@igf.gov.pt.

Quando a IGF-Autoridade de Auditoria tiver razoável dúvida quanto à identidade da pessoa singular que apresenta o pedido, pode solicitar que lhe seja prestada informação adicional para confirmar a identidade do titular dos dados.

As informações são fornecidas pela IGF-Autoridade de Auditoria a título gratuito, exceto quando os pedidos apresentados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu carácter repetitivo, caso em que esta autoridade de auditoria se reserva o direito de exigir o pagamento de uma taxa, ou de recusa a dar seguimento aos pedidos, cabendo-lhe demonstrar o carácter manifestamente infundado ou excessivo dos pedidos.

Sempre que no exercício de atribuições legais a IGF-Autoridade de Auditoria entender que carece de consentimento expresso do titular dos dados pessoais (vd. no âmbito da prevenção e combate da prática de assédio em contexto laboral no setor público - artigo 4.º da Lei n.º 73/2017, de 16 de agosto, conjugado com o artigo 4.º da Lei Geral do Trabalho em Funções Públicas, aprovada pela Lei n.º 35/2014, de 20 de junho), o titular tem o direito de retirar a todo o tempo o consentimento prestado, sem comprometer a licitude do tratamento que tenha sido efetuado com base nesse consentimento, mediante pedido escrito dirigido à IGF-Autoridade de Auditoria para o endereço de correio eletrónico epd@igf.gov.pt.

Sem prejuízo do exercício dos direitos anteriormente referidos, o titular pode reclamar diretamente à CNPD, utilizando os contactos referidos no sítio https://www.cnpd.pt.

Os dados pessoais estão protegidos tendo em conta a sua natureza, o âmbito, o contexto, as finalidades do tratamento, os riscos, e as técnicas mais avançadas. Para tal são utilizadas as medidas de segurança adequadas.

No caso de violação dos dados e se a violação resultar num risco elevado para os direitos e liberdades do titular dos dados, a IGF-Autoridade de Auditoria notificará a CNPD da violação, assim como o titular dos dados, nos termos do disposto nos artigos 33º e 34º do RGPD.

9. Encarregada da Proteção de Dados

A IGF-Autoridade de Auditoria designou uma Encarregada da Proteção de Dados (EPD), nos termos da alínea a) do n.º 1 e dos n.ºs 5 e 6 do artigo 37.º do RGPD, por Despacho n.º 5615/2018, do Inspetor-Geral de Finanças (publicado no Diário da República, 2.ª série, n.º 109, de 7 de junho de 2018), que os titulares de dados pessoais podem contactar relativamente a assuntos relacionados com o tratamento de dados pessoais, utilizando para o efeito comunicação escrita dirigida à EPD para um dos seguintes contactos:

  • Endereço de correio eletrónico: epd@igf.gov.pt
  • Endereço profissional: Rua Angelina Vidal, n.º 41, 1199-005, Lisboa
Em situação de conflito/dúvida não resolvido pela EPD, a autoridade competente é a Comissão Nacional de Proteção de Dados (CNPD), com o endereço de correio eletrónico geral@cnpd.pt e portal em https://www.cnpd.pt.

10. Política de cookies

A IGF-Autoridade de Auditoria gere este Portal com o objetivo de aumentar a transparência e de melhorar o acesso do público à informação. Esclarece-se que a mera consulta ao sítio eletrónico da IGF-Autoridade de Auditoria não implica a necessidade de registo de qualquer informação pessoal que identifique o utilizador e que esta autoridade dispõe de tecnologia para a utilização de comunicações seguras, bem como de controlos adequados, mediante a realização de testes de intrusão e análises de monitorização.

Os cookies utilizados no site da IGF-Autoridade de Auditoria são os descritos na tabela abaixo:


 

Tipo de cookie

Descrição da sua utilização

__utma, __utmb, __utmc, __utmt, __utmz

Cookies começados por "__utm" permitem a análise estatística da utilização do site utilizando o software da google (analytics). Este software regista informações anónimas sobre os visitantes do site, como browsers utilizados, página visitada, visitantes de retorno.

__atuvc

Cookie criado e lido pelo JavaScript do site permitindo a partilha do conteúdo visualizado em redes sociais utilizando o componente "AddThis".

i18next

Cookie utilizado pelo componente de escolha do idioma do site permitindo navegar para os conteúdos no idioma escolhido.

ASP.NET_SessionId, USER_LOGGED_IN, MLK_LOGIN_PERSIST, ASPSESSINID«seq aleatória caracteres»

Cookies utilizados para identificação e gestão da sessão do utilizador que está a navegar no site.

Origem, Saida, StartTime, mlkid

Cookies utilizados pelo módulo de estatísticas da plataforma Masterlink.

 

 
11. Alterações à Política de Privacidade

A IGF-Autoridade de Auditoria reserva-se o direito de, a qualquer altura, proceder a reajustamentos ou alterações à presente Política de Privacidade, sendo essas alterações devidamente publicitadas no seu website em http://www.igf.gov.pt e/ou noutros canais que se considere adequados.


Data da última atualização da Política de Privacidade
Março de 2020