Proteção de Dados Pessoais

em contexto de Bibliotecas Escolares

ORIENTAÇÕES

maio de 2018

1
 O Regulamento Geral sobre a Proteção de Dados 2016/679 da Uniãoo
Europeia, de 27 de abril, define o novo regime jurídico de proteção de dados pessoais,
criando novas obrigações e responsabilidades para todas as entidades públicas e
privadas, incluindo escolas ou agrupamentos de escolas e bibliotecas escolares.1

Tendo entrado em vigor a 25 de maio de 2016 e, sendo aplicável a partir de 25

de maio de 2018, o Regulamento requer aos profissionais das bibliotecas escolares
uma política de rigor e de transparência de atuação no tratamento de dados de caráter
pessoal. Impõe, ainda, o cumprimento de normas profissionais compatíveis com a
plena proteção dos direitos, liberdades e garantias que esta legislação consagra aos
titulares dos dados ou seus representantes legais, os encarregados de educação (no
caso de crianças2 e alunos menores de idade em contexto escolar), nas seguintes
dimensões:

Segurança
Informação
Anonimato
Confidencialidade
Sigilo
Acesso
Retificação
Oposição
Notificação
Portabilidade

1
Outra legislação:
- Convenção Europeia dos Direitos do Homem contendo as modificações introduzidas pelo Protocolo n.º
14 (STCE n.º 194), entrada em vigor a 01/06/2010 e conforme aprovada pelo Tribunal Europeu dos
Direitos do Homem;
- Carta dos Direitos Fundamentais da União Europeia de 18/12/2000;
- Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12/07/2002 – Diretiva relativa à
privacidade e às comunicações eletrónicas;
- Diário da República n.º 86/1976, Série I de 1976/04/10, Constituição da República Portuguesa;
- Lei n.º 67/98,de 26 de outubro - Lei da Proteção de Dados Pessoais que transpõe para a ordem jurídica
portuguesa a Diretiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995,
relativa à proteção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre
circulação desses dados;
- Lei n.º 103/2015, de 24 de agosto - Trigésima nona alteração ao Código Penal, aprovado pelo Decreto-
Lei n.º 400/82, de 23 de setembro, transpondo a Diretiva 2011/93/UE, do Parlamento Europeu e do
Conselho, de 13 de dezembro de 2011.
2
De acordo com os documentos internacionais mais relevantes, é considerada criança quem tiver idade
inferior a 18 anos, exceto se tiver adquirido a maioridade legal antes dessa idade (Convenção da Nações
Unidas sobre os Direitos da Criança, de 20 de novembro de 1989, artigo 1.º).

2
 De forma a promover o entendimento e a execução do Regulamento e, sem
prejuízo do dever de cumprimento dos procedimentos inerentes à política de gestão e
tratamento de dados da escola ou agrupamento, vem o presente documento prestar
alguns esclarecimentos e orientações:

1. Entende-se por dados pessoais toda a informação, de qualquer natureza e

disponível em qualquer suporte, baseada numa pessoa identificada ou
identificável, o sujeito titular dos dados. Referimo-nos a qualquer elemento
alfanumérico, gráfico, fotográfico, acústico ou de qualquer outro tipo específico
da identidade física, psicológica, social, económica, religiosa, cultural ou outra,
de qualquer pessoa física singular – e.g. uma fotografia, um filme ou um
programa de rádio que contenha imagem ou voz dos próprios alunos.
2. Entende-se por tratamento de dados pessoais todas as operações efetuadas
sobre dados pessoais, tais como: registar, consultar, arquivar/guardar,
transferir, alterar/adaptar, comparar/interconectar, organizar, difundir ou outra
qualquer forma de habilitação de acesso, bloquear ou outra qualquer forma de
limitação de acesso.
3. Sempre que, no contexto de uma atividade da biblioteca, se pondere o
tratamento de dados de voz, imagem ou outros dados pessoais de pessoas
identificadas ou identificáveis, considera-se imprescindível que os seus
responsáveis solicitem, aos titulares dos dados ou encarregados de educação,
o prévio consentimento escrito da aceitação de tratamento destes dados,
sem prejuízo da consulta prévia das próprias crianças e alunos menores de
idade.
4. O consentimento deverá ser conservado junto do processo da criança ou aluno
e obedecer aos seguintes requisitos:

A. Representar uma manifestação de vontade livre, específica e informada por parte do titular dos dados
ou encarregado de educação;
3
B. Constituir uma declaração escrita clara e afirmativa;
C. Usar termos simples, precisos e sucintos;
D. Explicitar a natureza e o tipo de dados que serão tratados, o período de tempo em que decorrerá este
tratamento, a obrigatoriedade ou não da recolha e suas consequências, o âmbito, o contexto, a
finalidade, os destinatários, a tecnologia e as operações que serão utilizadas especificamente neste
tratamento, os riscos implicados, para além dos direitos do seu titular e da identidade e contacto do
responsável pelo tratamento/escola.

3
No âmbito da legislação em vigor não é suficiente cumprir os requisitos do Regulamento; é também
necessário – perante os interessados e as autoridades – demonstrar a conformidade e eficácia de todo o
processo de tratamento de dados, documentando-o com este consentimento. É neste procedimento que
se baseia o princípio da responsabilidade demonstrada do Regulamento.

3
 5. Este consentimento deverá ser exigido sempre que se pondere a divulgação
deste tipo de dados ou de outros dados pessoais em exposição e arquivo
dentro do espaço escolar ou na internet.
6. No caso dos dados pessoais dizerem respeito a mais do que um titular (e.g.
fotografia ou filme de grupo), o interesse de tratamento de qualquer um deles
não deve prejudicar os direitos e liberdades dos restantes titulares de dados
(Razão 68 do Regulamento).
7. No caso do tratamento de imagem ser feito sem pedido prévio de
consentimento dos seus titulares ou responsáveis legais, é lícita a sua
publicação na internet se, privilegiadamente, for captada de longe e a partir
de ângulos em que não sejam facilmente identificáveis, conforme os
termos da Comissão Nacional de Proteção de Dados.4 Nestas circunstâncias
acresce ainda a condição de que se a fotografia, filme ou retrato incidir sobre
um grupo de pessoas no qual há uma que, pela sua condição física, é
identificada ou identificável, então esta deverá ser retirada do tratamento ou
então deverá ser-lhe solicitado consentimento escrito nos termos supra
definidos (ponto 4).
8. No caso de não haver consentimento, o Regulamento prevê ainda o uso das
operações de segurança de pseudonimização e anonimização.
Entende-se por pseudonimização a substituição de todos os identificadores
pessoais por pseudónimos: palavras ou códigos gerados artificialmente que
mascaram os dados originais. Entende-se por anonimização a eliminação ou
modificação - e.g. ofuscação – total ou parcial dos dados pessoais.
9. O tratamento de dados pessoais deve ser lícito, transparente, equitativo e ter
garantias de não discriminação.
10. É necessária a aplicação das normas supra referidas a partir de 25 de maio de
2016 (Razão 171 do Regulamento).

Na nossa vida diária importa ainda adotar uma atitude ética e proativa sobre o
ciclo de vida dos dados e o modo como se gere e comunica a informação para que se
desenvolva uma efetiva cultura de proteção de dados, previna a ocorrência de quebras
de segurança e garanta a proteção da identidade, da vida privada e, em geral, dos
direitos e das liberdades das pessoas.

4
Deliberação n.º 1495/2016 - Disponibilização de dados pessoais de alunos no sítio da Internet dos
estabelecimentos de educação e ensino.