POLÍTICA DE PROTECÇÃO

DE DADOS

Classificação do Documento: Protegido

Versão: 1
Data: 11 de Agosto de 2018
Autor: Encarregado Protecção de Dados
Detentor: Sindicato dos Trabalhadores em Funções Públicas e Sociais do Norte
 POLÍTICA DE PROTECÇÃO DE DADOS

Versão: Data: Autor da Revisão: Sumário de Alterações:

1 11/08/2018

Aprovação: Cargo: Assinatura: Data:

Coordenação Coordenador 27/07/2018

2
 POLÍTICA DE PROTECÇÃO DE DADOS

Secção I – Dos Princípios e Objectivos Gerais

1. Finalidade

À Direcção do Sindicato dos Trabalhadores em Funções Públicas e Sociais do Norte

(STFPSN), incumbe a responsabilidade de formular a estratégia e aprovar as políticas
corporativas, assim como organizar sistema de controlo internos. No exercício dessas
responsabilidades, a Direcção deste Sindicato estabeleceu os princípios gerais pelos
quais se deve reger todo o tratamento de dados pessoais, no sentido de cumprir o
estabelecido pela lei.

A Política de Protecção de Dados estabelece os princípios e o quadro comum de

actuação, que deverá reger este Sindicato em matéria de protecção de dados pessoais,
garantindo o cumprimento da legislação aplicável. Especificamente, esta política tem
como função garantir o direito à protecção, relativamente aos riscos de eventuais
violações que possam ocorrer, dos dados de todas as pessoas singulares que se
relacionem consigo, assegurando o respeito pelo tratamento das diferentes categorias,
procedentes de diferentes fontes e com fins diversos, sejam associados, fornecedores,
trabalhadores, prestadores de serviços ou usuários do website.

2. - Disposições Gerais
2.1 - Enquadramento Legal
1. O presente documento enquadra‐se no âmbito do Regulamento Geral de Proteção de
Dados da União Europeia 2016/679 do Parlamento Europeu e do Conselho, de 27 de
abril de 2016 publicado no Jornal Oficial da União Europeia a 4 de maio de 2016.
2. O presente documento considera, além da legislação em vigor, os Estatutos do
STFPSN, publicados no BTE nº 40, de 29 de outubro de 2013.
2.2 - Âmbito de aplicação

1. O presente regulamento é diretamente aplicável a todas as operações desenvolvidas

no âmbito das atividades prosseguidas pelo Sindicato dos Trabalhadores em Funções
Públicas e Sociais do Norte (STFPSN) assegurando que os titulares dos dados pessoais
têm conhecimento da finalidade e dos procedimentos inerentes ao tratamento de
dados.

2. O presente regulamento aplica‐se ao tratamento dos dados pessoais dos sócios ativos
e não ativos.
3. O presente regulamento aplica‐se ao tratamento dos dados pessoais dos
trabalhadores e prestadores de serviços.

3
 POLÍTICA DE PROTECÇÃO DE DADOS

3 - Definições

Sem prejuízo das restantes definições constantes do Regulamento Geral de Proteção de

Dados (RGPD), entende‐se por:
1. Dados pessoais, informação relativa a uma pessoa singular (titular dos dados)
identificada ou identificável; é considerada identificável uma pessoa singular que possa
ser identificada, direta ou indiretamente, em especial por referência a um identificador,
como por exemplo um nome, um número de identificação, dados de localização,
identificadores por via eletrónica ou a um ou mais elementos específicos da identidade
física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;
2. Tratamento dos dados pessoais, qualquer operação ou um conjunto de operações
efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha,
o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a
recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer
outra forma de disponibilização, a comparação ou interconexão, a limitação, o
apagamento ou a destruição;
3. Consentimento do titular dos dados, manifestação de vontade, livre, específica,
informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato
positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de
tratamento;

4. Minimização dos dados, princípio que impõe que os dados pessoais recolhidos devem
ser limitados ao que é necessário relativamente às finalidades para os quais são
tratados;

5. Violação de dados pessoais, uma violação da segurança que provoque, de modo

acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não
autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro
tipo de tratamento;
6. Ficheiro, qualquer conjunto estruturado de dados pessoais, acessível segundo
critérios específicos, quer seja centralizado, descentralizado ou repartido de modo
funcional ou geográfico;
7. Definição de perfis, qualquer forma de tratamento automatizado de dados pessoais
que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de
uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com
o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais,
interesses, fiabilidade, comportamento, localização ou deslocações;
8. Dados biométricos, dados pessoais resultantes de um tratamento técnico específico
relativo às características físicas, fisiológicas ou comportamentais de uma pessoa
singular que permitam ou confirmem a identificação única dessa pessoa singular,
nomeadamente imagens faciais ou dados dactiloscópicos;

4
 POLÍTICA DE PROTECÇÃO DE DADOS

9. Responsável pelo tratamento, pessoa singular ou coletiva, a autoridade pública, a

agência ou outro organismo que, individualmente ou em conjunto com outras,
determina as finalidades e os meios de tratamento de dados pessoais;
10. Representante, uma pessoa singular ou coletiva estabelecida na União que,
designada por escrito pelo responsável pelo tratamento ou subcontratante, representa
o responsável pelo tratamento ou o subcontratante no que se refere às suas obrigações
respetivas nos termos do regulamento;

11. Encarregado de Proteção de Dados (EPD), pessoa singular designada pela

organização que estará envolvida em todas as questões relacionadas com a proteção de
dados pessoais e cujas principais funções envolvem informar e aconselhar a empresa
sobre a conformidade da proteção de dados, aconselhar sobre a avaliação do impacto
da proteção de dados, monitorizar a conformidade da proteção de dados que inclui, por
exemplo, formar a equipa e realizar auditorias relacionadas com esta área e cooperar e
atuar como ponto de contacto com as autoridades de proteção de dados;

12. Subcontratante, uma pessoa singular ou coletiva, a autoridade pública, agência ou

outro organismo que trate os dados pessoais por conta do responsável pelo tratamento
destes;

4 – Princípios do tratamento dos dados pessoais

4.1 Os dados pessoais são:

a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados

(«licitude, lealdade e transparência»);

b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser

tratados posteriormente de uma forma incompatível com essas finalidades; o
tratamento posterior para fins de arquivo de interesse público, ou para fins de
investigação científica ou histórica ou para fins estatísticos, não é considerado
incompatível com as finalidades iniciais, em conformidade com o artigo 89º, nº 1
(«limitação das finalidades»);
c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades
para as quais são tratados («minimização dos dados»);
d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas
adequadas para que os dados inexatos, tendo em conta as finalidades para que são
tratados, sejam apagados ou retificados sem demora («exatidão»);
e) Conservados de uma forma que permita a identificação dos titulares dos dados
apenas durante o período necessário para as finalidades para as quais são tratados; os
dados pessoais podem ser conservados durante períodos mais longos, desde que sejam
tratados exclusivamente para fins de arquivo de interesse público, ou para fins de
investigação científica ou histórica ou para fins estatísticos, em conformidade com o

5
 POLÍTICA DE PROTECÇÃO DE DADOS

artigo 89º, nº 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas

exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do
titular dos dados («limitação da conservação»);
f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o
seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação
acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e
confidencialidade»);

4.2 O responsável pelo tratamento é responsável pelo cumprimento do disposto no nº

1 e tem de poder comprová-lo («responsabilidade»).
4.3 O Sindicato assegura que cumpre todos estes princípios, tanto no tratamento dos
dados que processa como em todas as tecnologias de informação que venha a adoptar
para o referido tratamento, designadamente qualquer sistema de gestão de segurança
da informação respeitará a ISO/27001.

5 - Direitos dos titulares dos dados

5.1 Direito de Informação e de Acesso aos seus dados e saber se estão a ser tratados, ou
não, se foram transmitidos a outra entidade; qual o destino que lhes foi dado;

5.2 Direito de Retificação dos dados pessoais que estejam desatualizados, incorretos ou
incompletos;
5.3 Direito de Apagamento dos dados (ou direito ao esquecimento) desde que:
a) os dados se revelem desnecessários para os fins para que foram recolhidos ou
tratados;
b) o titular retire o seu consentimento;
c) o titular se oponha ao tratamento automatizado e/ou profiling;
d) os dados pessoais tenham sido tratados de forma ilícita.
5.4 Direito à limitação do tratamento, nas seguintes situações:
a) Contestação da exatidão dos dados pessoais;
b) Por oposição ao apagamento e, em contrapartida, limitar a sua utilização;
c) O responsável pelo tratamento deixa de precisar dos dados pessoais;
d) Oposição ao tratamento.
5.5 Direito à Portabilidade dos dados.

6
 POLÍTICA DE PROTECÇÃO DE DADOS

6. – Riscos inerentes ao tratamento de dados

6.1 A presente política de protecção de dados ajuda o STFPSN a prevenir-se de uma série
de riscos de violações de segurança, tais como quebras de confidencialidade por falta
de acesso, perda ou destruição de dados.

6.1 Visa-se evitar, para além das violações de privacidade acima referidas, os riscos
relacionados com eventuais danos reputacionais que o acesso a informações sensíveis
poderá acarretar.

7. – Modelo de protecção de dados

O STFPSN adoptou, como princípio base para o seu programa de protecção de dados,
uma implementação por concepção – privacy by design – assegurando que a definição
e planeamento de todos os novos sistemas ou alterações que recolham ou processem
dados pessoais, esteja sujeito ao escrutínio dos princípios base plasmados neste
documento, incluindo, se necessário, a realização de avaliações de impacto, conforme
consta da secção II do presente regulamento interno.

8. - Responsável e Representante pelo tratamento de dados

1. O responsável pelo tratamento dos dados pessoais é o STFPSN, com sede na Rua de
Vasco Lobeira, 47/51 4249‐009 PORTO, com contactos disponíveis em www.stfpsn.pt.
2. Compete ao responsável pelo tratamento dos dados pessoais promover a aplicação
de todos os meios técnicos e organizativos adequados para assegurar e comprovar que
o tratamento de dados é realizado em conformidade com o enquadramento legal e a
presente política interna.
3. O representante é o Coordenador do STFPSN.

9. - Encarregado de Proteção de Dados (EPD)

9.1 - O Encarregado de Proteção de Dados (EPD) é contratado, pelo STFPSN, em regime
de prestação de serviços de forma a garantir a independência no exercício das suas
funções e evitar o conflito de interesses, nomeadamente, quando exerce outras funções
ou atribuições.

9.2 - O EPD deverá evidenciar competências profissionais entre as quais um adequado

conhecimento da legislação e práticas de proteção de dados, conhecimento das
operações de processamento realizadas e conhecimento das tecnologias de informação
e de segurança dos dados.

7
 POLÍTICA DE PROTECÇÃO DE DADOS

9.3 - O contrato de prestação de serviços deverá salvaguardar, entre outros, o dever de

confidencialidade no exercício de funções, bem como considerar os direitos e deveres
das partes e funções do EPD previstos nas cláusulas 38º e 39º do RGPD.
9.4 - O STFPSN deverá garantir a publicação de contacto do EPD que, desde já, se define
ser o seguinte: protecaodedados@stfpsn.pt, bem como, a comunicá‐lo à autoridade de
controlo.

10. – Notificações de violação de dados

10.1 – É princípio do STFPSN ser leal, probo e proporcional, no que concerne as medidas
que possam ser necessárias tomar para informar as partes afetadas, aquando de uma
eventual violação de dados pessoais.

11.2 – Para cumprimentos do RGPD, sempre que uma violação de dados ocorra, e desde
que coloque em risco os direitos e liberdades individuais, a Comissão Nacional de
Protecção de Dados (CNPD), deverá ser informada, no prazo máximo de 72 horas., da
mesma forma, caso o risco seja elevado, deverão, necessariamente, ser informados os
titulares dos dados afectados.

11. - Recolha dos dados pessoais

11.1 - O STFPSN decide quais os dados pessoais recolhidos, os meios de tratamento, o
período de conservação e as finalidades para que são utilizados.
11.2 - O STFPSN recolhe dados pessoais presencialmente, por telefone, por escrito ou
através de sistemas informáticos. Os dados pessoais recolhidos são tratados, quer por
meios não automatizados, quer informaticamente e no estrito cumprimento da
legislação da proteção de dados pessoais.

Secção II ‐ Das políticas e procedimentos de segurança de dados

12. - Proteção e Segurança de dados

12.1 - O STFPSN procura proteger os dados pessoais através de diversas medidas
técnicas e organizativas utilizando mecanismos com o objetivo de garantir a
confidencialidade e a integridade dos dados pessoais.
12.2 - Com vista a garantir a segurança dos dados pessoais estão implementadas as
seguintes medidas:
a) A capacidade para autenticar e autorizar os utilizadores e dispositivos, incluindo o
acesso a sistemas e aplicações;

8
 POLÍTICA DE PROTECÇÃO DE DADOS

b) A atribuição de direitos de acesso e privilégios de forma restrita e controlada;

c) A restrição de acesso à informação baseada no princípio da necessidade de conhecer

(criação de perfis);
d) A monitorização, registo e análise de toda a atividade de acessos de modo a procurar
ameaças prováveis;
e) Os sistemas de armazenamento que garantem a redundância e disponibilidade não
existindo nenhum single point of failure.
f) O STFPSN, disponibilizará a todos os trabalhadores e colaboradores formação, de
forma a que percebam as suas responsabilidades, na circunstância de efectuarem
operações de tratamento de dados.
g) Em particular os trabalhadores adstritos a funções com tratamento de dados deverão
actuar de forma sensata, tomando todas as precauções tais como:
aa) – Uso de passwords fortes e jamais proceder à sua partilha;
bb) – Os dados pessoais tratados não poderão ser revelados a pessoal não autorizado,
quer interno quer alheio ao STFPSN;

cc) – Todos os trabalhadores deverão solicitar informação do encarregado de protecção

de dados ou do coordenador, caso tenham alguma dúvida sobre o tratamento de dados.
h) Armazenagem de informação:
aa) – Caso a informação seja guardada em papel, deverá ser mantida em local seguro,
como arquivo de gavetas com segredo ou fechadura;
bb) – Caso a informação seja guardada electronicamente, deverá estar protegida de
acessos não autorizados, destruição acidental ou tentativas de hacking malicioso,
conforme especificado nos itens infra;

13 - Sistema de Gestão de Sócios

13.1 - O Sistema de Gestão de Sócios consiste num sistema de informação integrado
assente em bases de dados e com interface web com caraterísticas de back office. O
sistema é propriedade do STFPSN e está em produção desde novembro de 2005.
13.2 - A lista de dados contida no Sistema Gestão de Sócios é a constante no capítulo I
do documento Mapeamento dos Dados Pessoais.

14. - Alterações a Dados Pessoais

14.1 - As alterações aos dados pessoais são registadas da seguinte forma:

9
 POLÍTICA DE PROTECÇÃO DE DADOS

a) Eventos – regista as alterações realizadas pelos utilizadores de acordo com a seguinte

informação:
aa) – Nº de sócio: Sócio do qual é feita alteração de dados
bb) – Utilizador: Utilizador responsável pela alteração
cc) – Data de alteração: Data e hora em que foi realizada a alteração
dd) – Descrição: Descrição da alteração realizada (campo alterado e novo valor)
b) Histórico – regista as alterações nos dados dos Sócios delimitadas por períodos de
tempo. O Sistema de Gestão de Sócios mantém três históricos: situações com o STFPSN;
situações profissionais; funções sindicais.

15. - Confidencialidade dos dados

A confidencialidade dos dados pessoais dos Sócios é assegurada por dois mecanismos
distintos: o acesso ao Sistema de Gestão de Sócios e o acesso remoto à rede do STFPSN.
a) Acesso ao Sistema de Gestão de Sócios: O acesso dos utilizadores ao Sistema de
Gestão de Sócios é controlado através de um par utilizador/password. Estas credenciais
são atribuídas pelo Responsável da Informática, por indicação do Coordenador, aos
utilizadores e estes são instruídos à não divulgação a terceiros. De acordo com o perfil
do utilizador este terá acesso a diferentes módulos. Todos os utilizadores têm acesso
aos dados pessoais dos Sócios.
b) Acesso remoto à rede do STFPSN: Por indicação do Coordenador, alguns utilizadores
dispõem da possibilidade de aceder ao Sistema de Gestão de Sócios remotamente. Esse
acesso é assegurado através de uma VPN (Virtual Private Network) e tem credenciais
próprias e distintas do Sistema de Gestão de Sócios fornecidas pelo Responsável da
Informática.

16. - Integridade dos dados

16.1 - A integridade dos dados envolve a definição de uma política de realização de
backups em caso de falha da base de dados de forma a restaurar a mesma. Os dados do
Sistema de Gestão de Sócios estão replicados em duas instâncias de forma a que o
desenvolvimento não interfira com o ambiente de produção e, por outro, que uma
segunda instância de produção possa assumir o papel da primeira em caso de falha.

17. - Acesso à Base de Dados do Sistema Gestão de Sócios

O Sistema de Gestão de Sócios é operacionalizado por uma interface web assente numa
base de dados MySQL. Apesar de ser um Sistema de Gestão de Base Dados (SGBD)
gratuito, este inclui todas as principais caraterísticas exigidas a este tipo de sistemas. A
10
 POLÍTICA DE PROTECÇÃO DE DADOS

base de dados consiste num conjunto de ficheiros fisicamente alojado num servidor
aplicacional. Contudo, o acesso a esses ficheiros não é suficiente para consultar ou
manipular os dados, sendo necessário um utilizador e password (diferentes dos do
Sistema de Gestão de Sócios e da VPN). O acesso direto à base de dados é realizado
unicamente pelo Responsável da Informática, o Administrador do Sistema de Gestão de
Sócios e o Administrador de Sistemas. Os restantes utilizadores têm acesso à base de
dados apenas a nível aplicacional (por intermédio do Sistema de Gestão de Sócios).

18. - Registo da Atividade na Base de Dados do Sistema Gestão de Sócios

A base de dados do Sistema de Gestão de Sócios tem implementado um mecanismo que
regista e armazena as transações à base de dados, designado de journaling. Consiste
em, a cada tabela da base de dados, estar associada uma outra tabela (a tabela de jornal)
que regista toda a atividade de todas as ações que um utilizador efetue sobre os dados
pessoais, independentemente do seu perfil e função.

19. - Backups da Base de Dados do Sistema Gestão de Sócios

A fim de garantir a preservação dos dados é realizado diariamente um backup da base
de dados do Sistema de Gestão de Sócios fora do horário normal de trabalho. Este
procedimento é automático, contudo, monitorizado diariamente pelo Responsável da
Informática e mensalmente pelo Administrador do Sistema. Os backups diários são
mantidos durante um mês e, após esse período, é conservado um dia por cada mês. Em
caso de falha da base de dados, é possível restaurá‐la à data associada a um backup.
Também é possível consultar um backup sempre que necessário para aceder a
informação que possa ter sido, entretanto, alterada ou apagada.

20. - Instâncias do Sistema Gestão de Sócios

O Sistema de Gestão de Sócios é operacionalizado num ambiente de produção,
designado de instância de Produção do sistema e da qual é realizado o backup diário da
base de dados. Está localizado na sede do STFPSN, no Porto. Adicionalmente, existe uma
segunda instância do Sistema de Gestão de Sócios, designada de Réplica que está
localizada fisicamente na delegação do STFPSN, de Braga. Esta instância recebe
diariamente a cópia do backup da base de dados localizada no Porto. Em caso de
indisponibilidade da instância de produção, a réplica assume o seu papel de forma quase
impercetível para o utilizador. Após a resolução do problema que levou à
indisponibilidade, esta retoma o seu papel de instância de produção voltando a instância
de Braga a ser a réplica. Finalmente, existe uma terceira instância, designada de
Desenvolvimento em que o Administrador do Sistema de Gestão de Sócios realiza novos
desenvolvimentos, corrige erros e realiza testes. O objetivo desta instância é realizar

11
 POLÍTICA DE PROTECÇÃO DE DADOS

trabalho sem perturbar o normal funcionamento da instância de produção e interferir

na integridade e qualidade de dados.

21. - Sistema de Gestão Administrativa e Financeira

O sistema aplicacional Infologia é realizado através de autenticação do
utilizador/password e atribuído tendo em conta as funções detidas pelos funcionários
ao nível da Contabilidade, Salários, Imobilizado e Análise Financeira. Este acesso permite
a inserção, a alteração e a eliminação de dados. Para assegurar a preservação dos dados
é realizado diariamente um backup da base de dados do Sistema de Contabilidade e
Salários, fora do horário de normal de trabalho, que fica guardado num dos servidores
existentes na Sede. Este procedimento é automático, contudo, monitorizado
diariamente pelo Responsável da Informática. No final de cada semana é efetuada uma
cópia da informação presente no servidor para um disco externo por forma a duplicar a
salvaguarda dos dados. Em caso de falha da base de dados, é possível restaurá‐la à data
associada ao último backup ou consultar o backup da última semana sempre que
necessário para aceder a informação que possa ter sido, entretanto, alterada ou
eliminada.

22. - Sistema de controlo assiduidade e pontualidade

O sistema aplicacional InnuxTime é realizado através de autenticação do
utilizador/password e atribuído tendo em conta as funções detidas pelos funcionários
ao nível da Gestão de Recursos Humanos com base no princípio da necessidade de
conhecer. Este acesso permite a inserção, a alteração e a eliminação de dados.

23.- Implementação, controlo e avaliação

23.1 - Conforme disposto no presente regulamento, esta política de protecção de dados

pessoais, será aplicada, desenvolvida e continuamente actualizada pelo STFPSN, e
vinculará toda a sua estrutura organizativa.

23.2 – O STFPSN, através do encarregado de protecção de dados ou do coordenador,

deverá supervisionar o cumprimento do disposto nesta política, devendo, para tanto, e
periodicamente, efectuar auditorias internas.
23.3 – Pelo menos, uma vez por ano, o cumprimento e eficácia da presente política,
deverá ser avaliada e as suas conclusões deverão ser comunicadas à direcção do STFPSN,
para que, em consequência, possa corrigir as fragilidades, do projecto de protecção de
dados, que forem identificadas, num processo contínuo de melhoramento.

12
 POLÍTICA DE PROTECÇÃO DE DADOS

A presente política de proteção de dados é aprovada em reunião de Direção do STFPSN,

de 6 de agosto de 2018 e de acordo com o Regulamento da União Europeia 2016/679
do Parlamento Europeu do Conselho de 27 de abril de 2016 e demais legislação em vigor
sobre a matéria.

13