Política de Privacidade

1. Enquadramento Geral

Os Serviços de Ação Social da Universidade de Lisboa, são uma pessoa coletiva de direito público, dotada de autonomia administrativa e financeira, nos termos da lei e dos Estatutos da Universidade de Lisboa.
No âmbito do exercício das suas funções, disponibilizam nesta plataforma um conjunto de informações relativamente às atividades desenvolvidas nas áreas de atuação, com o objetivo de as divulgar junto da comunidade universitária e demais envolvidos.
A privacidade e a proteção dos dados pessoais representam um firme compromisso para os Serviços de Ação Social da Universidade de Lisboa que atuam no cumprimento das suas obrigações legais, em particular as que resultam da aplicação do novo Regulamento Geral de Proteção de Dados (RGPD), Regulamento 2016/679, de 27 de abril de 2016 e da Lei de Proteção de Dados, Lei 58/2019, de 8 de agosto.
Neste sentido, os Serviços de Ação Social da Universidade de Lisboa têm vindo a implementar um conjunto de medidas de modo a reforçar a sua Política de Privacidade. Proteger os dados pessoais da comunidade universitária e de quem interage ou colabora connosco é nosso intento.

Os Serviços de Ação Social da Universidade de Lisboa, ao tratarem dados pessoais nas suas diferentes áreas de atuação, quer através dos seus múltiplos espaços físicos, quer através da sua plataforma online, garantem a proteção dos mesmos, sendo o tratamento efetuado ao abrigo da legislação aplicável, segundo a observância da presente Política de Privacidade.
No estrito cumprimento da lei, os Serviços de Ação Social da Universidade de Lisboa introduziram novas práticas de segurança e melhoraram os seus procedimentos internos com o objetivo, sempre presente, de garantir a segurança dos dados a que tem acesso, integrados numa política harmonizada de tratamento de dados com a Universidade de Lisboa e consequente implementação em rede de medidas conjuntas que permitam criar práticas comuns de tratamento, proteção e segurança de dados pessoais.

A proteção de dados pessoais é um direito fundamental, pelo que é crucial para os Serviços de Ação Social da Universidade de Lisboa preservarem a sua privacidade. Por isso, em relação aos dados pessoais que recolhemos, devemos esclarecer sempre qual a finalidade, os princípios que orientam cada utilização e quais os direitos que assistem aos titulares desses mesmos dados.

Enquanto entidade responsável pelo tratamento de dados pessoais é nosso propósito:
•    Assegurar que o tratamento dos Dados Pessoais seja efetuado, exclusivamente, no âmbito da(s) finalidade(s) para os quais os mesmos foram recolhidos ou para finalidades compatíveis com o(s) propósito(s) inicial(is) para que foram recolhidos;
•    Assumir o compromisso de implementar uma cultura de minimização de dados, em que apenas se recolhe, utiliza e conserva os dados pessoais estritamente necessários ao desenvolvimento da sua atividade e missão.

Em síntese, consideramos que a leitura deste documento seja recomendada a todos os nossos colaboradores e utentes para que possam tomar conhecimento das condições em que é feito o tratamento dos seus dados pessoais, assim como são salvaguardados os seus direitos, no âmbito da nossa política de privacidade.

2. Compromisso Serviços de Ação Social da Universidade de Lisboa: Proteger os seus dados pessoais

Através desta Política, os Serviços de Ação Social da Universidade de Lisboa reconhecem a importância da segurança dos dados pessoais que tratam e asseguram a proteção da privacidade dos respetivos titulares sem prejudicar o objeto e a concretização plena das diferentes áreas em que atuam.
Nesta Política, prestam ainda informação sobre as regras, os princípios e as boas práticas que observam no âmbito do tratamento dos dados pessoais que lhe são confiados, em conformidade com o RGPD e demais legislação aplicável, e sobre os meios que os titulares dos dados têm ao seu dispor para exercício dos respetivos direitos.

3. Responsável pelo tratamento de Dados

No âmbito da atividade que desenvolve nas suas diferentes áreas de atuação, os Serviços de Ação Social da Universidade de Lisboa são a entidade responsável pelo tratamento de dados pessoais, podendo ser contactados através do seguinte endereço de e-mail: rgpd@ulisboa.pt

4. Encarregado de Proteção de Dados

Atendendo à obrigação legal que resulta da alínea a) do n.º 1 do artigo 37.º do RGPD, a Universidade de Lisboa designou, um Encarregado de Proteção de Dados, responsável por garantir, entre outros aspetos, a conformidade das atividades de tratamento e proteção de dados pessoais sob a sua responsabilidade, de acordo com a legislação aplicável e com a presente Política.
Entre outras funções, é da sua responsabilidade:
•    Monitorizar a conformidade do tratamento de dados com as normas aplicáveis;
•    Servir de ponto de contacto para o esclarecimento de questões relativas ao tratamento de dados;
•    Cooperar com a Comissão Nacional de Proteção de Dados (CNPD), na sua qualidade de autoridade de controlo;
•    Prestar informação e aconselhar a Universidade de Lisboa, ou as entidades subcontratadas, sobre as suas obrigações no âmbito da privacidade e proteção de dados.
Assim, os titulares de dados pessoais, caso o pretendam, podem endereçar uma comunicação ao Encarregado da Proteção de Dados, relativamente a assuntos relacionados com o tratamento de dados pessoais, utilizando, para o efeito, o seguinte email: rgpd@ulisboa.pt

5. Alterações à Política de Privacidade

Os Serviços de Ação Social da Universidade de Lisboa reservam-se ao direito de proceder a alterações à presente Política de Privacidade, sendo essas alterações devidamente publicitadas no respetivo website e/ou noutros canais de comunicação que considerem adequados.

6. Política de cookies

No website institucional são utilizados cookies, com o objetivo de analisar padrões de tráfego na web ou para permitir identificar problemas e fornecer uma melhor experiência de navegação.
Todos os browsers permitem ao utilizador aceitar, recusar ou apagar cookies, nomeadamente através da seleção das definições apropriadas no respetivo navegador. Os cookies poderão ser configurados no menu "opções" ou "preferências" do browser do utilizador.
Note-se, no entanto, que, ao desativar cookies, o utilizador poderá impedir que alguns serviços da Internet funcionem corretamente, afetando, parcial ou totalmente, a navegação no website.
Para saber mais sobre os cookies incluindo a forma de ver que cookies foram criados e como os gerenciar ou excluir, visite: www.allaboutcookies.org que inclui informações sobre como gerir as suas configurações para os vários fornecedores de navegadores.

Para saber mais sobre a Política de cookies consulte o website institucional dos Serviços de Ação Social da Universidade de Lisboa.

Ao aceitar a Política de cookies no nosso sitio, significa que concorda, voluntaria e expressamente, com a recolha e uso das suas informações tal como estabelecido nessa mesma Política.

7. A Política de Privacidade 360.º dos Serviços de Ação Social da Universidade de Lisboa

Os Serviços de Ação Social da Universidade de Lisboa desenvolveram e implementaram uma Política de Privacidade 360.º que inclui um vasto conjunto de medidas para proteção dos seus dados pessoais. A implementação dessa política resultou da identificação dos dados pessoais da sua responsabilidade, da avaliação da qualidade dos dados, do desenvolvimento de um registo de tratamento de dados, da definição de controlos de segurança, da proteção e monitorização dos dados e, por último, da subsequente implementação de novos procedimentos, integrados num processo de melhoria contínua.
A presente informação, pretende de forma estruturada e simplificada apresentar a respetiva política de privacidade para uma maior transparência sobre como tratamos os dados pessoais.

8. Dados pessoais

Dados Pessoais são qualquer informação, de qualquer natureza e em qualquer suporte (ex: som ou imagem), relativa a uma pessoa singular identificada ou identificável (designado por “titular dos dados”). É considerada identificável a pessoa singular que possa ser identificada direta ou indiretamente, designadamente, através de um nome, de um número de identificação, de um dado de localização, de um identificador eletrónico ou de outros elementos específicos da sua identidade física, fisiológica, genética, mental, económica, cultural ou social.

9. Dados pessoais sensíveis

Dados sensíveis são todos os dados pessoais que estão sujeitos a condições de tratamento específicas. Enquadram-se neste universo:

• Os dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical;
• Os dados genéticos;
• Os dados biométricos tratados com o objetivo de identificar uma pessoa de forma inequívoca;
• Os dados relacionados com a saúde;
• Os dados relativos à vida sexual ou orientação sexual.

10. Titulares de dados

É titular de dados qualquer pessoa singular a quem os dados pessoais digam respeito. No contexto das atividades desenvolvidas pelos Serviços de Ação Social da Universidade de Lisboa, são titulares de dados:
Os membros dos órgãos universitários, os docentes, investigadores, estudantes, colaboradores, funcionários independentemente do seu vínculo contratual, e demais prestadores de serviços, os utentes do estádio universitário, os elementos que colaborem, direta ou indiretamente, com os Serviços de Ação Social da Universidade de Lisboa bem como todas as pessoas singulares que remetam os seus dados ou autorizem os Serviços de Ação Social da Universidade de Lisboa a utilizarem os mesmos.

11. Categorias de dados pessoais tratados

Os Serviços de Ação Social da Universidade de Lisboa tratam dados pessoais de diferente natureza e sensibilidade, como sejam, a título exemplificativo:

• Dados pessoais de identificação: nome, data de nascimento, local de nascimento, sexo, nacionalidade, morada, número de telefone, habilitações profissionais, e-mail, número de identificação civil e/ou passaporte, número de contribuinte, número de carta de condução e número de segurança social;
• Situação familiar: estado civil, nome do cônjuge, filhos ou pessoas dependentes e/ou qualquer outra informação necessária para determinar os complementos salariais;
• Atividade profissional: horário, local de trabalho, data de admissão, cargo, categoria profissional e duração da experiência na categoria, nível salarial, tipologia do vínculo contratual e certificado(s) de qualificação profissional;
• Informações financeiras: remuneração, remunerações suplementares, variáveis ou montantes fixos, subsídios, férias, assiduidade, licenças, ou outras informações relacionadas com remunerações suplementares, montante ou taxas de contribuições obrigatórias ou facultativas, métodos de pagamento, nome do banco e número da conta bancária (NIB ou IBAN), declaração de compatibilidade de funções (quando aplicável);
• Categorias especiais de dados pessoais: Grau de incapacidade do funcionário e/ou de qualquer membro do seu agregado familiar, possível incapacidade temporária como resultado de acidentes de trabalho ou doenças profissionais e baixas por doença, outras categorias de dados sensíveis que sejam determinantes para a atribuição de apoios sociais diretos ou indiretos.

12.    Registo de tratamento de dados

Os Serviços de Ação Social da Universidade de Lisboa possuem o registo de tratamento de dados, nos termos do artigo 30.º do RGPD, no qual estão identificados:

• O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;
• As finalidades do tratamento dos dados;
• A descrição das categorias de titulares de dados e das categorias de dados pessoais;
• Os prazos previstos para o apagamento das diferentes categorias de dados;
• As medidas técnicas e organizativas no domínio da segurança implementada para assegurar pseudonimização e a cifragem dos dados pessoais, bem como a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento.

13.    Princípios no âmbito do tratamento de dados pessoais

No âmbito do tratamento de dados pessoais, os Serviços de Ação Social da Universidade de Lisboa observam os seguintes princípios fundamentais:

• Princípio da lealdade, licitude e transparência: os dados pessoais são objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
• Princípio da limitação das finalidades: os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas, não sendo tratados posteriormente de uma forma incompatível com essas finalidades;
• Princípio da minimização dos dados: os dados pessoais serão adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
• Princípio da exatidão: os dados pessoais serão exatos e atualizados sempre que necessário, sendo adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;
• Princípio da limitação da conservação: os dados pessoais serão conservados de uma forma que permite a identificação dos titulares apenas durante o período necessário para as finalidades para as quais os dados são tratados;
• Princípio da integridade e confidencialidade: os dados pessoais serão tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, sendo adotadas as medidas técnicas ou organizativas adequadas.

Enquanto responsável pelo tratamento, os Serviços de Ação Social da Universidade de Lisboa comprometem-se a assegurar que o tratamento dos dados dos titulares é feito no estrito cumprimento dos princípios mencionados, e que tem condições para poder comprovar o cumprimento dos mesmos.

14. Fundamentação para tratamento de dados pessoais

Os Serviços de Ação Social da Universidade de Lisboa apenas tratam dados pessoais desde que se verifique, pelo menos, uma das seguintes situações:

1. Consentimento do titular: quando o titular dos dados tiver dado o seu consentimento expresso para o tratamento dos seus dados pessoais, para uma ou mais finalidades específicas, através de um manifestação de vontade livre, específica, informada e inequívoca. O consentimento poderá ser obtido por quaisquer meios (incluindo eletrónico), conservando os Serviços de Ação Social da Universidade de Lisboa um registo do mesmo, como forma de poder comprovar que o titular deu o seu consentimento para o tratamento dos seus dados pessoais.
   O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, sendo que a retirada desse consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado.
2. Execução de contrato ou diligências pré-contratuais: quando o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular.
   Nesta situação, enquadram-se, a título exemplificativo, o tratamento de dados pessoais dos docentes e estudantes no âmbito dos processos de atribuição de apoios sociais diretos ou indiretos, dos colaboradores e prestadores de serviços no âmbito da gestão da relação laboral estabelecida ou dos respetivos prestadores de serviços, no âmbito da relação contratual.
3. Cumprimento de obrigação legal: quando o tratamento for necessário para o cumprimento de uma obrigação jurídica/legal. Nesta situação, enquadra-se, por exemplo, o tratamento de dados pessoais para cumprimento de obrigações legais que decorram de obrigações declarativas à Segurança Social, Administração Fiscal ou outras Autoridades Administrativas, incluindo o Ministério da Tutela.
4. Interesses vitais: quando o tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular, como, por exemplo, no caso de emergências médicas.
5. Interesse público/autoridade pública: quando o tratamento for necessário ao exercício de funções de interesse público, como por exemplo, no caso da necessidade de alertas junto da Direção Geral de Saúde. Os Serviços de Ação Social da Universidade de Lisboa são uma entidade pública e a sua atividade é conduzida pelo interesse público, pelo que grande parte da atividade tem essa fundamentação ainda que deva ser avaliada em cada processo de tratamento.
6. Interesse legítimo: quando o tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo Serviços de Ação Social da Universidade de Lisboa ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

15. Dados sensíveis

Os Serviços de Ação Social da Universidade de Lisboa podem tratar dados sensíveis nas seguintes condições:

• Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais, para uma ou mais finalidades específicas;
• Quando, nos termos da legislação da União Europeia, da legislação nacional ou de uma convenção coletiva, o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos dos Serviços de Ação Social da Universidade de Lisboa ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social;
• Quando o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso de o titular dos dados estar física ou legalmente incapacitado para dar o seu consentimento;
• Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;
• Se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício da sua função jurisdicional;
• Se o tratamento for necessário por motivos de interesse público relevante, com base no direito da União Europeia ou no direito nacional;
• Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados, tratamentos de saúde ou de ação social, a gestão de sistemas e serviços de saúde ou de ação social, com base no direito da União Europeia, no direito nacional ou por força de um contrato com um profissional de saúde;
• Se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, com base no direito da União Europeia ou no direito nacional;
• Se o tratamento for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, com base no direito da União Europeia ou no direito nacional.

16. Finalidades de tratamento dos dados pessoais

Considerando a diversidade das suas áreas de atuação, os Serviços de Ação Social da Universidade de Lisboa tratam dados pessoais para as seguintes finalidades:

• Dados financeiros – Para pagamento de remuneração dos seus colaboradores e aquisição de serviços; gestão de pagamentos; receção e tratamento de propostas apresentadas em procedimentos aquisitivos; execução de contratos estabelecidos com fornecedores, análise de pedidos de atribuição de apoios sociais diretos e indiretos.
• Procedimentos contratuais – Elaboração de contratos, instruindo e praticando os inerentes procedimentos técnicos, receção e tratamento de pedidos de suporte informático, desenvolvimento de novas soluções informáticas para a comunidade académica;
• Recursos Humanos - Gestão de recursos humanos (assiduidade e gestão de horários); processamento salarial; avaliação de desempenho; promoção da segurança, higiene e saúde no trabalho; atribuição de benefícios sociais aos trabalhadores;
• Atividades desenvolvidas – Organização de eventos no âmbito dos seus princípios e estatutos, avaliação da qualidade dos serviços prestados, realização de seguros de eventos junto de entidades seguradoras, participação em eventos internacionais, cooperação com outras entidades homólogas.

17. Período de conservação dos dados pessoais

Os dados pessoais são conservados apenas durante o período de tempo necessário para a realização das finalidades para as quais são tratados.
Os Serviços de Ação Social da Universidade de Lisboa cumprem os prazos máximos de conservação legalmente estabelecidos. No entanto, os dados poderão ser conservados por períodos mais longos, para fins de interesse público, cumprimento de finalidades distintas que possam subsistir, como, por exemplo, o exercício de um direito num processo judicial, fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos, aplicando nesse caso todas as medidas técnicas e organizativas adequadas para a salvaguarda dos dados pessoais.
Essas garantias implicam a adoção de medidas técnicas e organizativas que visem assegurar, nomeadamente, o respeito pelo princípio da minimização dos dados e pela pseudonimização dos mesmos.

18. De que forma são recolhidos os dados pessoais?

Os Serviços de Ação Social da Universidade de Lisboa podem recolher dados de forma direta (i.e., diretamente junto do titular dos dados) ou de forma indireta (i.e., através de terceiros). A recolha pode ser feita através dos seguintes canais:

• Recolha direta: presencialmente, por telefone, por e-mail, através das suas plataformas (exemplo: site institucional);
• Recolha indireta: através dos seus parceiros (exemplo: Entidades Estatais, Universidades ou Escolas).

19. Direitos dos titulares

Os Serviços de Ação Social da Universidade de Lisboa asseguram aos titulares dos dados o exercício dos respetivos direitos, nos termos da legislação aplicável no âmbito da proteção de dados pessoais, nomeadamente:

• Direito de acesso: o titular tem o direito de obter a confirmação de que os dados pessoais que lhe dizem respeito são ou não objeto de tratamento e, sendo o caso, o direito de aceder aos mesmos.
• Direito de retificação: o titular tem o direito de solicitar, a qualquer momento, a retificação dos seus dados pessoais e, bem assim, o direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.
• Direito ao apagamento: o titular tem o direito ao apagamento dos seus dados quando se aplique um dos seguintes motivos: (i) os dados do titular deixarem de ser necessários para a finalidade que motivou a sua recolha ou tratamento; (ii) o titular retirar o consentimento em que se baseia o tratamento dos dados e não existir outro fundamento jurídico para o referido tratamento; (iii) o titular opor-se ao tratamento ao abrigo do direito de oposição e não existirem interesses legítimos prevalecentes que justifiquem o mesmo; (iv) caso os dados do titular sejam tratados ilicitamente; (v) caso os dados do titular tiverem de ser apagados para o cumprimento de uma obrigação jurídica a que os Serviços de Ação Social da Universidade de Lisboa ou subcontratante estejam sujeitos. Nos termos legais aplicáveis, os Serviços de Ação Social da Universidade de Lisboa não têm a obrigação de apagar os dados do titular sempre que o tratamento se revele necessário ao cumprimento de uma obrigação legal a que esteja sujeita ou para efeitos de declaração, exercício ou defesa de um direito em processo judicial.
• Direito à limitação: o titular tem o direito de obter a limitação do tratamento dos seus dados se se aplicar uma das seguintes situações: (i) se contestar a exatidão dos dados pessoais, durante um período que permita verificar a sua exatidão; (ii) se o tratamento for ilícito e o titular se opuser ao apagamento dos dados, solicitando, em contrapartida, a limitação da sua utilização; (iii) se os Serviços de Ação Social da Universidade de Lisboa já não precisarem dos dados do titular para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
• Direito de portabilidade: o titular tem o direito de receber os dados pessoais que lhe digam respeito, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento, se: (i) o tratamento se basear no consentimento ou num contrato de que o titular é parte e (ii) o tratamento for realizado por meios automatizados.
• Direito de oposição: o titular tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, desde que assente no exercício de interesses legítimos prosseguidos ou quando o tratamento for efetuado para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos.
  Dispõe ainda do direito de apresentar reclamação junto da Comissão Nacional de Proteção de Dados.

20. Exercício de direitos pelo titular

O exercício dos direitos pelo titular pode ser exercido pelo mesmo, mediante contacto com os Serviços de Ação Social da Universidade de Lisboa, através dos seguintes meios:

• • Correio ou presencial, no seguinte endereço:
    Serviços de Ação Social da Universidade de Lisboa
    Edifício Cantina Velha – Cidade Universitária
    Av. Professor Gama Pinto
    1600-192 Lisboa
• Através de e-mail: rgpd@ulisboa.pt

Os Serviços de ação Social da Universidade de Lisboa deverão dar uma resposta por escrito (incluindo por meios eletrónicos) no prazo máximo de um mês a contar da receção do pedido, salvo em casos de especial complexidade e elevado número de pedidos, em que esse prazo pode ser prorrogado até dois meses. 

21. Apresentação de reclamação à CNPD

O titular dos dados pode reclamar diretamente à Autoridade Nacional de Controlo de Dados Pessoais, a Comissão Nacional de Proteção de Dados, utilizando os contactos disponibilizados por esta entidade para o efeito (em www.cnpd.pt).

22. Medidas de segurança

Tendo em conta o princípio da proporcionalidade e adequabilidade, da segurança, os custos de aplicação, a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos de probabilidade, os Serviços de Ação Social da Universidade de Lisboa aplicam medidas de segurança, técnicas e organizativas, adequadas, para assegurar um nível de segurança dos dados pessoais em consonância com o risco, como, por exemplo:

• Utilização de firewall e sistemas de deteção de intrusão nos seus sistemas de informação;
• Aplicação de procedimentos de controlo de acessos, com recurso a perfis de acesso diferenciados e com base no princípio da necessidade de saber;
• Registo de ações efetuadas sobre os sistemas de informação que contenham dados pessoais (login);
• Execução de um plano de backups;
• Proteção antisspam de receção e envio de emails corporativos;
• Instalação, manutenção e gestão dos sistemas de antivírus e de firewall nos computadores da Universidade;
• Pseudonimização e encriptação de dados pessoais;
• Controlo de acessos às instalações físicas;
• Sistema de deteção automática de incêndio e de deteção de intrusão;
• Cumprimento dos normativos legais em matéria de segurança, nomeadamente a Resolução do Conselho de Ministros nº 41/2018.

23. Transferência de dados a terceiros: Subcontratantes e terceiros

Subcontratantes: os Serviços de Ação Social da Universidade de Lisboa poderão recorrer a outras entidades por si contratadas (subcontratantes), para que em nome dos serviços, e de acordo com as instruções dadas por estes, procedam ao tratamento dos dados do titular, em estrito cumprimento do disposto no RGPD, na legislação nacional em matéria de proteção de dados pessoais e na presente Política.

Os subcontratantes não poderão transmitir os dados do titular a outras entidades sem que os Serviços de Ação Social da Universidade de Lisboa tenham dado, previamente e por escrito, autorização para tal, estando também impedidos de contratar outras entidades sem autorização prévia.

Os Serviços de Ação Social da Universidade de Lisboa comprometem-se a assegurar que estes subcontratantes são entidades que apresentem garantias suficientes de execução das medidas técnicas e organizativas adequadas, de forma a assegurar a privacidade dos dados dos titulares e a defesa dos seus direitos.

Todos os subcontratantes ficam vinculados aos Serviços de Ação Social da Universidade de Lisboa através de um contrato escrito que inclui, o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais, as categorias dos titulares dos dados, os direitos e obrigações das partes, incluindo o dever de confidencialidade, e as medidas de segurança a implementar.

Terceiros: os Serviços de Ação Social da Universidade de Lisboa estão vinculados à Lei e ao cumprimento dos procedimentos administrativos e, nessa medida, obrigados a transmitir dados, incluindo dados pessoais a outras entidades, nomeadamente, entre outros, a:

• Tribunal de Contas;
• Autoridade Tributária;
• Segurança Social e/ou Caixa Geral de Aposentações;
• Embaixadas;
• Entidades profissionais;
• Instituições de pesquisa;
• Companhias de seguros;
• Outras instituições públicas;
• Organismos de acreditação do Ensino Superior;
• Organizações no quadro da Ação Social no Ensino Superior;
• Universidades parceiras para fins do programa Erasmus, ou equiparados;
• Agências de Financiamento / Instituições Parceiras que submetem candidaturas a financiamentos nacionais ou comunitários.

Sempre que ocorra a partilha de informações pessoais com uma destas entidades, os Serviços de Ação Social da Universidade de Lisboa avaliarão a necessidade de obtenção, quando necessário, do respetivo consentimento e tomarão todas as medidas e/ou ações necessárias, para confirmar que estas executarão as suas funções de acordo com os princípios do RGPD.

24. Violação de dados

Em caso de violação de dados pessoais, e na medida em que tal violação seja suscetível de resultar num risco elevado para os direitos e liberdades do titular, o Encarregado de Proteção de Dados notificará a autoridade de controlo nacional dessa violação, bem como comunicará a violação ao titular dos dados, até 72 horas após ter tido conhecimento da mesma.
Nos termos do RGPD, a comunicação ao titular não é exigida nos seguintes casos:

• Caso os Serviços de Ação Social da Universidade de Lisboa tenham aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tenham sido aplicadas aos dados pessoais afetados pela violação, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder aos mesmos, tais como a cifragem;
• Caso os Serviços de Ação Social da Universidade de Lisboa tenham tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades do titular já não é suscetível de se concretizar;
• Se a comunicação ao titular implicar um esforço desproporcionado para os Serviços, caso em que estes farão uma comunicação pública ou tomarão uma medida semelhante através da qual o titular será informado.

Qualquer violação de dados pessoais, cujo tratamento seja da responsabilidade dos Serviços de Ação Social da Universidade de Lisboa, poderá ser reportada através de email a remeter para: rgpd@ulisboa.pt

25. Nota final

Recomendamos que consulte periodicamente a nossa Política de Privacidade para se manter informado sobre o modo como os Serviços de Ação Social da Universidade de Lisboa protegem os seus dados pessoais e a manter-se atualizado sobre as informações e direitos que lhe assistem.