Politica de Privacidade

Última Atualização: 31 de março de 2023

A Entidade Certificadora Comum do Estado – ECCE (referida nesta Política como “ECCE” ou “nós”) é um Trust Service Provider (TSP), inserido no Sistema de Certificação Eletrónica do Estado (SCEE), com a missão de fornecer aos organismos da Administração Pública Direta, Indireta e Autónoma do Estado diversos serviços de certificação eletrónica.

No estrito cumprimento do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, atualmente em vigor, e sabendo que se preocupa com os dados pessoais que fornece e o modo como os mesmos são tratados, queremos que confie na ECCE para a recolha e tratamento dos seus dados pessoais que se destinem à eficaz prestação de serviços de confiança do nosso Catálogo.

A presente Política de Privacidade foi concebida da forma mais simples possível, tendo em vista uma explicação clara e concisa relativamente aos dados pessoais que recolhemos, qual a razão para os recolhermos e qual o tratamento de dados pessoais que fazemos.

Na eventualidade de não estar familiarizado(a) com os termos utilizados ou considerar necessário qualquer esclarecimento adicional, por favor não hesite em entrar em contacto com a ECCE para a clarificação de todas as questões necessárias.

Na presente Política de Privacidade são abordados os pontos seguintes:

  1. O que são dados pessoais?
  2. Porque é que a ECCE necessita de recolher e armazenar dados pessoais?
  3. Onde e de que forma é recolhida a minha informação?
  4. Que dados pessoais são recolhidos, porquê e qual o seu tratamento?
  5. Durante quanto tempo guardamos os seus dados pessoais?
  6. A ECCE partilha os meus dados pessoais com outras entidades?
  7. Como protegemos os seus dados pessoais?
  8. Direitos dos titulares de dados pessoais
  9. Deveres da ECCE
  10. Termos ou Políticas adicionais de proteção de dados
  11. Dúvidas e reclamações

 

 1.       O que são dados pessoais?

O Regulamento Geral sobre a Proteção de Dados – RGPD (Regulamento UE 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016), define dados pessoais como: “qualquerinformação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular“. Esta é o conceito utilizado na presente Política de Privacidade.

 

2.       Porque é que a ECCE necessita de recolher e armazenar dados pessoais?

Para lhe podermos fornecer os serviços de certificação eletrónica, necessitamos de validar os seus dados pessoais por forma a atestar a conformidade dos mesmos e complementar o pedido efetuado, como é caso por exemplo do serviço de emissão de certificados de assinatura qualificada com dados profissionais.

A ECCE garante que a informação recolhida e processada é a estritamente apropriada para estes fins e que tal não constituirá uma invasão da sua privacidade.

Eventuais tratamentos de dados secundários adicionais apenas são realizados se forem:

  • Compatíveis com as finalidades autorizadas e comunicadas aos titulares;
  • Objeto de consentimento específico e explícito dos titulares dos dados.

 

3.       Onde e de que forma é recolhida a minha informação?

A forma privilegiada de acesso aos serviços disponíveis pela ECCE é o Portal Cliente da ECCE acessível através do sítio institucional da ECCE (ou através do link: https://portalcliente.ecce.gov.pt). Ainda assim, em virtude de existirem diversos canais disponíveis ao utilizador para suporte administrativo e técnico, poderão existir também outras vias que utilizam dados pessoais, são elas:

  • O Portal Cliente da ECCE;
  • Formulários auxiliares, em formato PDF, para recolha de pedidos de emissão de certificados eletrónicos e integração no Portal Cliente;
  • Formulário de Contacto disponível no sítio da ECCE;
  • Service Desk do CEGER, para colocação de pedidos de suporte técnico;
  • E-mail, para colocação de pedidos de suporte de carácter administrativo e/ou técnico.

Sendo o Portal Cliente da ECCE o veículo privilegiado de contacto com o utilizador e com a respetiva entidade, e que agrega toda a informação relativa a pedidos de serviços, serviços disponibilizados, histórico de pedidos e faturação, descreve-se em seguida resumidamente o seu funcionamento.

Dado que os serviços de confiança da ECCE apenas podem ser disponibilizados a entidades da Administração pública Direta, Indireta e Autónoma do Estado e respetivos colaboradores, o acesso ao Portal Cliente da ECCE é controlado e sujeito a registo prévio.

O registo prévio tem o objetivo de validar se quem se está a tentar registar é elegível como utilizador do Portal, após o que receberá notificação do registo para efetuar um primeiro login, mediante os dados que introduziu.

O acesso ao Portal pode ser efetuado por um dos dois métodos seguintes:

  • Utilizador e password, acrescido de um código temporário (como segundo fator de autenticação);
  • Autenticação.GOV.

A entrada no Portal permite o acesso direto a uma área pessoal do utilizador que permitirá:

  • Acesso aos seus dados pessoais existentes no Portal;
  • Alteração/inserção de dados;
  • Download de uma cópia dos dados pessoais existentes no Portal;
  • Colocação de pedidos de emissão, renovação, suspensão ou revogação dos seus certificados, bem como a subscrição de outros serviços;
  • Download de certificados, nos casos em que se aplique;
  • Consulta do histórico de pedidos;
  • Conta corrente (caso existam saldos disponíveis para consumo).

Em função da dimensão da entidade e/ou número de pedidos, o Portal funciona gerindo dois tipos de Protocolos:

  • Protocolo informal, que é estabelecido após a receção de um primeiro pedido relacionado com uma determinada entidade, que pela sua reduzida dimensão ou número baixo de necessidades não exige um maior nível de formalização, precisando apenas de atender ao pedido do colaborador que solicita o(s) serviço(s);
  • Protocolo formal, assinado entre o Diretor do CEGER e o representante da entidade em causa, que poderá envolver um maior número de pedidos e abranger necessidades de todos ou de um grande número dos seus colaboradores.

O Protocolo formal poderá envolver colaboradores de mais do que uma entidade e pode também contemplar saldos de serviços (certificados de assinatura eletrónica, selos temporais) a consumir durante o período de vigência do mesmo (em regra 1 ano).

Para a melhor gestão deste tipo de Protocolos existe a figura de administrador do Protocolo que consiste num ou mais utilizadores que, mandatados pela entidade protocolada, são responsáveis pela:

  • Validação dos diversos pedidos de serviço colocados pelos seus colaboradores (e/ou colaboradores de outras entidades abrangidas no âmbito do Protocolo em causa);
  • Manutenção e gestão do Protocolo (atualizam dados de faturação, números de compromisso, definem ciclos de faturação, conferem faturação, saldos e contas correntes).

Este perfil de utilizadores, para além do acesso à área pessoal (como qualquer outro utilizador), permite também acesso aos dados dos pedidos colocados no âmbito do Protocolo, bem como aos dados de gestão do Protocolo em causa.

 

4.       Que dados pessoais são recolhidos, porquê e qual o seu tratamento?

Recolhemos informação relativamente à forma como utiliza o nosso sítio e acerca do dispositivo que utiliza para o acesso. Esta informação refere-se aos dados identificadores do dispositivo móvel ou o endereço de rede do dispositivo utilizado (IP), que são dados que podem identificar univocamente um computador específico ou qualquer outro dispositivo de rede na internet. Estes dados estão relacionados com um cookie, que recebemos e processamos.

O Regulamento Geral de Proteção de Dados aplica-se ao tratamento de dados por meios:

  • Total ou parcialmente automatizados;
  • Não automatizados de dados pessoais contidos em ficheiros.

O tratamento de dados pessoais abrange uma série de operações efetuadas sobre os mesmos, de forma manual ou automatizada, que poderão incluir:

  • A sua recolha;
  • O registo;
  • Organização e estruturação;
  • Comparação ou interconexão;
  • Adaptação ou alteração efetuada ou solicitada pelo titular;
  • Difusão, disponibilização ou transmissão por qualquer meio ao titular;
  • Utilização e consulta;
  • Tarefas de conservação;
  • Limitação por mecanismos de encriptação e/ou anonimização;
  • Apagamento ou a sua destruição.

Assim, os tratamentos de dados pessoais são efetuados nos três âmbitos seguintes:

        I.            Cumprimento e execução de Protocolos

Neste âmbito, quer se trate de Protocolos formais ou informais, o tratamento de dados pessoais tem diretamente a ver com os as áreas seguintes:

Área de utilizador no Portal de Serviços Online

Recolha e registo de dados pessoais e documentos comprovativos dos dados recolhidos;

Gestão de produtos e serviços

Recolha de dados tendo em vista a disponibilização de produtos e serviços disponíveis no Catálogo de Serviços da ECCE;

Prestação de informação ao utilizador

Envio de informação relevante e notificações referentes a:

  • Produtos e serviços prestados pela ECCE;
  • Alterações significativas à presente Política de Privacidade;
  • Serviços prestados ou a prestar pela ECCE.

Esta informação poderá ser remetida através de e-mail, SMS ou carta;

Gestão de pedidos de informação e reclamações

Receção, análise e resposta a pedidos de informação e reclamação por parte dos utentes ou potenciais subscritores de certificados. Os pedidos de informação ou de reclamação podem chegar através dos dois canais seguintes:

  • Digital (e-mail ou através do sítio institucional);
  • Via carta.

Gestão documental

Recolha e armazenamento de documentos em formato digital na área pessoal do utilizador, ao nível do Portal Cliente da ECCE;

Contabilidade e faturação

Registo contabilístico e lançamento de faturação eletrónica através da entidade da AP a que pertence o titular dos certificados ou o responsável técnico pelo pedido;

 

      II.            Interesse legítimo no âmbito da atividade da ECCE

Para além do tratamento de dados pessoais efetuado no estrito âmbito da prestação dos serviços de confiança, em termos da relação com o utilizador, a ECCE poderá ainda proceder ao tratamento dos dados para garantir:

  • Aferição da qualidade e nível de satisfação com os serviços que presta;
  • Produção de informação de controlo e de gestão;
  • A segurança da rede e da informação nos seus sistemas informáticos.

Neste âmbito, o tratamento de dados pessoais refere-se a:

Avaliação da satisfação e qualidade do serviço

São realizados periodicamente questionários de satisfação para aferir o grau de satisfação relativamente ao atendimento prestado e expectativa dos utilizadores, bem como a qualidade dos produtos e serviços subscritos;

Tarefas de Gestão

Produção de informação para controlo e de gestão da ECCE (listagens de controlo e relatórios);

Gestão da segurança da informação

A ECCE utiliza para a prestação de serviços de confiança uma Entidade Certificadora, uma Entidade de Registo, um sítio institucional, um portal de serviços online, um sistema de BackOffice, entre vários outros. Tendo em vista a disponibilidade dos serviços e a sua segurança, é efetuada a monitorização constante dos serviços, redes, sistemas e bases de dados que compões a ECCE, tendo em vista a deteção e resolução de vulnerabilidades e incidentes de segurança da informação.

 

    III.            Cumprimento de obrigações legais e regulamentares

Neste âmbito, o tratamento de dados pessoais refere-se a:

Auditorias internas e externas

A ECCE é submetida a ciclos anuais de auditoria externa, através de uma das entidades acreditadas para o efeito pelo Instituto Português de Acreditação (IPAC). A entidade que for anualmente contratada para o efeito assinará um Acordo de Confidencialidade e Medidas de Segurança, de forma a garantir a confidencialidade e segurança de toda a informação a que tiver acesso (incluindo dados pessoais). A aferição de conformidade com os normativos exigidos para a atividade da ECCE é ainda efetuada através auditorias internas, realizadas com uma periodicidade mensal pelo Departamento de Segurança e Certificação Eletrónica do CEGER. A recolha ou consulta de dados pessoais neste âmbito destinam-se exclusivamente a evidenciar a referida conformidade e a qualidade dos serviços prestados.

Prestação de informações e resposta a ordens judiciais

Prestação de informação obrigatória, sempre que se justificar, às seguintes entidades publicas:

  • Gabinete Nacional de Segurança (GNS), como Autoridade Supervisora e de fiscalização de entidades que atuem no âmbito do Sistema de Certificação Eletrónica do Estado (SCEE), como é o caso da ECCE;
  • Comissão Nacional de Proteção de Dados (CNPD), como Autoridade Nacional de Controlo de Dados Pessoais;
  • Resposta a Ordens Judiciais.

Gestão de Risco

Análise de cenários e de critérios de ponderação de níveis de risco, nomeadamente em termos de disponibilidade ao nível da infraestrutura, tendo em vista a garantia da capacidade suficiente para o fornecimento dos serviços em níveis considerados aceitáveis.

Nos quadros seguintes são apresentados todos os dados pessoais, dados da entidade e documentação que poderá ser solicitada no âmbito de prestação de serviços de confiança.

DADOS PESSOAIS SOLICITADOS

DADOS

NECESSÁRIO PARA A

PRESTAÇÃO DO SERVIÇO?

PROCESSOS

ASSOCIADOS

OBJETIVO

NOME

SIM

  • Registo Utilizador no Portal;
  • Emissão de certificados pessoais;
  • Emissão de certificados SSL e/ou outros serviços - responsável técnico;
  • Alertas e notificações;
  • Suporte técnico;
  • Gestão de contactos e informações;

Pela natureza dos serviços prestados, a ECCE tem de ser capaz de identificar o titular dos certificados (civil e profissionalmente). Este dado que consta nos certificados digitais emitidos nos cartões de certificação;

Na emissão de certificados SSL, a ECCE não aceita pedidos em que não seja indicado um responsável da entidade pelo pedido nem um contacto técnico (caso não seja o mesmo), dado ser este o interlocutor para questões relacionadas com o pedido e o recetor do certificados emitidos;

N.º DOC. IDENTIFICAÇÃO

SIM

  • Registo Utilizador no Portal;
  • Emissão de certificados pessoais;
  • Emissão de certificados SSL e/ou outros serviços - responsável técnico;

Pela natureza dos serviços prestados, a ECCE tem de ser capaz de identificar o titular dos certificados (civil e profissionalmente) dado ser responsável pela criação de identidade digital do respetivo titular;

TIPO DE DOC. IDENTIFICAÇÃO

(CC/BI/Cartão Militar/Passaporte)

SIM

  • Registo Utilizador no Portal;
  • Emissão de certificados pessoais;
  • Emissão de certificados SSL e/ou outros serviços - responsável técnico;

Dado associado ao número de documento de identificação, que atesta a sua tipologia;

VALIDADE DOC. IDENTIFICAÇÃO

SIM

  • Registo Utilizador no Portal;
  • Emissão de certificados pessoais;
  • Emissão de certificados SSL e/ou outros serviços - responsável técnico;

Dado associado ao número de documento de identificação, que atesta a sua validade;

NIF

SIM

  • Identificação unívoca no sistema;

Dado imprescindível para o fornecimento de serviços de confiança, sendo o número que identifica univocamente o utilizador em todos os sistemas de suporte da PKI da ECCE.

CARGO PROFISSIONAL

SIM

  • Registo Utilizador no Portal;
  • Emissão de certificados pessoais;
  • Emissão de certificados SSL e/ou outros serviços - responsável técnico;
  • Suporte técnico;
  • Gestão de contactos e informações;

Dado que atesta a elegibilidade da pessoa como utilizador e colaborador de um entidade da AP a quem os serviços da ECCE estão acessíveis;

E-MAIL INSTITUCIONAL

SIM

  • Registo Utilizador no Portal;
  • Emissão de certificados pessoais;
  • Emissão de certificados SSL e/ou outros serviços - responsável técnico;
  • Alertas e notificações;
  • Suporte técnico;
    • Gestão de contactos e informações.

Dado que tem de constar nos certificados de assinatura, autenticação e encriptação, emitidos sempre que é solicitada a emissão de cartões de certificação digital;

Este é o dado para contacto preferencial com o utilizador, principalmente se não for facultado um número de telemóvel ou contacto de serviço;

MORADA PESSOAL COMPLETA

NÃO

  • Registo Utilizador no Portal;
  • Emissão de certificados pessoais;
  • Gestão de contactos e informações.

Dado utilizado para o envio da carta PIN na emissão de certificados de assinatura qualificada; caso não seja facultado, o titular dos certificados terá de se deslocar ao CEGER para levantamento da mesma;

TELEMÓVEL

SIM

  • Registo Utilizador no Portal;
  • Emissão de certificados pessoais;
  • Emissão de certificados SSL e/ou outros serviços - responsável técnico;
  • Alertas e notificações;
  • Suporte técnico;
  • Gestão de contactos e informações.

Embora não seja um dado imprescindível para a prestação de serviços de confiança, sem ele não será possível o acesso a determinadas funcionalidades como por exemplo os alertas e notificações por SMS;

CONTACTO DE SERVIÇO

SIM

  • Emissão de certificados pessoais;
  • Emissão de certificados SSL e/ou outros serviços - responsável técnico;
  • Alertas e notificações;
  • Suporte técnico;
  • Gestão de contactos e informações.

Embora não seja um dado imprescindível para a prestação de serviços de confiança, onúmero de telemóvel do técnico é obrigatório para prestação dos serviços de SSL, Selo Eletrónico e time stamping.

 

DADOS DA ENTIDADE SOLICITADOS

DADOS

REQUERIDO PARA A

PRESTAÇÃO DO SERVIÇO?

PROCESSOS

ASSOCIADOS

OBJETIVO

NOME ENTIDADE

SIM

  • Registo Utilizador no Portal;
  • Emissão de certificados pessoais;
  • Emissão de certificados SSL e/ou outros serviços - responsável técnico;
  • Faturação.

Dado de faturação obrigatório;

Requerido para a emissão de certificados de qualquer tipologia.

NIPC

SIM

  • Registo Utilizador no Portal;
  • Emissão de certificados pessoais;
  • Emissão de certificados SSL e/ou outros serviços - responsável técnico;
  • Faturação.

Dado de faturação obrigatório;

Requerido para a emissão de certificados SSL e selos eletrónicos (este dado consta nos certificados).

UNIDADE ORGÂNICA DO COLABORADOR

SIM

  • Registo Utilizador no Portal;
  • Emissão de certificados pessoais;
  • Emissão de certificados SSL e/ou outros serviços - responsável técnico.

Requerido para a emissão de certificados de qualquer tipologia, em virtude de ser um dado que consta nos certificados;

E-MAIL INSTITUCIONAL

SIM

  • Emissão de selos eletrónicos;
  • Alertas e notificações;
  • Suporte técnico;
  • Gestão de contactos e informações.

Campo obrigatório para a emissão de selos eletrónicos, dado que tem de constar nos certificados;

Este é o dado para contacto preferencial com o “titular” dos certificados emitidos que com ele estão relacionados.

MORADA COMPLETA

SIM

  • Registo Utilizador no Portal;
  • Emissão de certificados pessoais;
  • Emissão de certificados SSL e/ou outros serviços - responsável técnico;
  • Faturação.

Dado de faturação obrigatório;

MOTIVO DA SOLICITAÇÃO DE ACESSO

SIM

  • Registo Utilizador no Portal.

Dado que atesta a elegibilidade da pessoa e respetivo pedido como utilizador e colaborador de um entidade da AP a quem os serviços da ECCE estão acessíveis;

NÚMERO DE COMPROMISSO

SIM

  • Faturação.

Dado de faturação obrigatório apenas para os Protocolos faturados;

 

Em função do serviço requisitado pelo utilizador/organismo, a Entidade de Registo da ECCE solicita documentação que tem de constar no processo do respetivo pedido.

A referida documentação, sistematizada na tabela seguinte, assume as tipologias/formas distintas seguintes:

  • Declaração ou documento oficial, que atesta a situação profissional de utilizadores e de domínios;
  • Declaração de autorização de solicitação de acesso e pedido para terceiros, no caso de pessoa destacada para centralizar todos os pedidos de emissão de certificados qualificados de assinatura eletrónica;
  • Lista de técnicos autorizados pela entidade a solicitar certificados de autenticação de sítios web (SSL) e Selos Temporais;
  • Documentos gerados de forma automática no Portal Cliente da ECCE, que dizem respeito à aceitação dos serviços prestados, termos e condições dos mesmos e autorizações diversas, incluindo o consentimento expresso para o processamento de dados pessoais.

 DOCUMENTAÇÃO

SERVIÇO

DESCRIÇÃO

CETIFICADOS PESSOAIS (QCert for eSig)

  • Documento comprovativo da titularidade do cargo de dirigente da respetiva entidade, ou extrato da publicação do Despacho no DRE;
  • Declaração do responsável do serviço que autorize e justifique a necessidade de certificados solicitados;
  • Auto de entrega e aceitação dos certificados;
  • Declaração de revogação de certificados;
  • Declaração de autorização de solicitação de acesso e pedido para terceiros;
  • Declaração de compromisso (para os protocolos a faturar).

CETIFICADOS DE AUTENTICAÇÃO DE SÍTIOS WEB (QWAC)

  • Declaração assinada pelo responsável máximo da entidade, que ateste a titularidade dos domínios (do seu registo DNS) que venham a ser incluídos no SSL;
  • Lista de técnicos autorizados pela entidade a solicitar certificados;
  • Ficheiro de CSR;
  •  Declaração de compromisso (para os protocolos a faturar).

SELOS ELETRÓNICOS (eSeal)

  • Documento comprovativo da titularidade do cargo de dirigente da respetiva entidade, ou extrato da publicação do Despacho no DRE;
  • Termo de aceitação do Certificado;
  • Lista de técnicos autorizados pela entidade a solicitar certificados;
  •  Declaração de compromisso (para os protocolos a faturar).

SELOS TEMPORAIS (eTimestamp)

  • Lista de técnicos autorizados pela entidade a solicitar certificados;
  • Declaração de compromisso (para os protocolos a faturar).

 

5.       Durante quanto tempo guardamos os seus dados pessoais?

Nos termos da alínea r) do Artigo 24.ª do Decreto-Lei n.º 88/2009, de 9 de abril, a ECCE está obrigada, no exercício da sua atividade, a conservar os certificados que emitir, por um período não inferior a 20 anos. Neste sentido, a ECCE reserva-se ao direito de manter os dados pessoais referentes à emissão de certificados digitais qualificados pelo referido período.

A ECCE revê todos os dados pessoais que armazena em base de dados, procedendo periodicamente ao seu apagamento de modo seguro sempre que terminar o seu ciclo de retenção, ou à sua anonimização quando cessar a obrigação legal indicada acima, ou ainda por indicação do utilizador utente de serviços de certificação eletrónica.

 

6.       A ECCE partilha os meus dados pessoais com outras entidades?

A ECCE não partilha qualquer informação pessoal. Se necessitarmos de remeter os seus dados pessoais a outra entidade só o faremos após o seu consentimento explicito, a menos que sejamos legalmente obrigados perante uma ordem judicial que exija o tratamento dos seus dados pessoais para uma finalidade específica.

 

7.       Como protegemos os seus dados pessoais?

O CEGER, enquanto entidade gestora da ECCE, toma todas as medidas e esforços possíveis para garantir a proteção dos seus dados pessoais contra utilização indevida, acesso não autorizado, perda, modificação ou divulgação indevida.

Neste sentido, estão implementados procedimentos que pretendem garantir:

  • O controlo de acesso aos dados e áreas de processamento de dados pessoais;
  • A monitorização e deteção e resolução de vulnerabilidades e incidentes de segurança da informação;
  • Proteção física e lógica da infraestrutura e sistemas informáticos de suporte à ECCE;
  • Utilização de técnicas de encriptação e anonimização sempre que possível e/ou quando requerido pelo respetivo titular dos dados.

O acesso aos seus dados pessoais só é internamente permitido aos colaboradores do CEGER em função da necessidade de conhecimento para a realização das tarefas de processamento de dados no estrito âmbito da prestação de serviços subscritos no Portal Cliente da ECCE.

 

8.       Direitos dos titulares de dados pessoais

O titular de dados pessoais tem o direito à proteção e atualização dos seus dados pela ECCE, quando tiver sido esta entidade a recolher/tratar esses mesmos dados, de acordo com a legislação europeia em vigor.

De acordo com a legislação em vigor em termos de dados pessoais, os titulares de dados pessoais têm os seguintes direitos:

Direito de informação – O titular dos dados pessoais tem o direito de receber informações sobre os termos do tratamento de dados pessoais aquando da sua recolha;

Direito de acesso – O titular dos dados pessoais tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento, e se for o caso, o direito de aceder ou obter uma cópia dos seus dados pessoais.

Direito de retificação - o titular dos dados tem o direito de obter, sem demora injustificada a retificação ou atualização dos dados pessoais inexatos.

Direito ao Esquecimento – O titular dos dados pessoais tem o direito de obter do responsável pelo tratamento a eliminação dos seus dados pessoais, sem demora injustificada, dentro dos limites legalmente previstos.

  • O direito ao esquecimento é aplicável quando se verifique:
    • Que os dados já não são necessários para a finalidade que motivou a sua recolha;
    • O titular tiver retirado o seu consentimento explícito;
    • O titular tiver exercido o seu direito à oposição;
    • Os dados tiverem sido obtidos e/ou tratados ilicitamente;
    • Os dados tiverem de ser apagados por imposição jurídica.
    • O direito ao esquecimento não é aplicável quando o tratamento de dados pessoais se revele necessário ao cumprimento de uma obrigação legal.

Direito à limitação do tratamento – o titular dos dados pessoais tem o direito de obter do responsável pelo tratamento a limitação do tratamento, quando tiver contestado a exatidão dos dados, ou quando o tratamento tiver sido limitado por um dos casos previstos no direito à limitação do tratamento.

Direito à portabilidade – o titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido num formato estruturado, de uso corrente e de leitura automática.

Direito de oposição – o titular dos dados tem o direito de se opor, a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito.

 

9.       Deveres da ECCE

A ECCE protege os direitos dos titulares, e atualiza os dados, que foram recolhidos/processados por si, de acordo com a legislação europeia em vigor. A ECCE tem os deveres seguintes:

Dever de Informar: A ECCE tem o dever de informar o titular de dados, previamente à recolha/tratamento dos mesmos, com a informação referente às finalidades de tratamento, eventuais transferências de informação que possam ocorrer.

Dever de Notificação: A ECCE comunica a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer retificação ou eliminação dos dados pessoais ou limitação do tratamento a que se tenha procedido em conformidade com os direitos de retificação, esquecimento ou limitação do tratamento, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcional. Se o titular dos dados o solicitar, o responsável pelo tratamento fornece-lhe informações sobre os referidos destinatários.

Dever de Portabilidade e Transferência de Dados Pessoais: A ECCE tem o dever de, quando solicitado pelo titular dos dados pessoais, transmitir a este último os seus dados pessoais, num ficheiro em formato estruturado, de uso corrente e leitura automática. Quando solicitado pelo titular de dados e quando tecnicamente possível, o responsável pelo tratamento procede à transferência do ficheiro com os dados pessoais para uma terceira entidade designada pelo titular dos dados.

Dever de Limitação da Finalidade: A ECCE apenas recolhe os dados pessoais adequados, pertinentes e estritamente necessários à execução das finalidades para as quais são tratados (ver ponto 4 da presente Política).

 

10.   Termos ou Políticas adicionais de proteção de dados

A ECCE, no âmbito da execução da sua atividade, rege-se por regras, normas e procedimentos sistematizados em documentos orientadores que envolvem também procedimentos relacionados com a recolha e tratamento de dados pessoais.

Neste sentido, recomenda-se a leitura da documentação seguinte a todos os titulares de certificados da ECCE, tendo em vista o conhecimento da atividade da ECCE em termos de emissão de certificados digitais e da gestão do seu ciclo de vida:

Políticas de Certificados e Requisitos Mínimos de Segurança

Documento que regulamenta toda a atividade de certificação do Sistema de Certificação Eletrónica do Estado - SCEE. Todas as Entidades Certificadoras do Estado têm de seguir rigorosamente todas as políticas e regras estabelecidas neste documento.

Declaração de Práticas de Certificação

Documento baseado no documento de Políticas de Certificados, onde está materializada toda a atividade de certificação desempenhada pela ECCE. Estão descritos neste documento todos os procedimentos e especificações de segurança, bem como a declaração do tipo de certificados disponibilizados.

Declaração de Privacidade

A ECCE assume o compromisso em relação a todos os serviços de certificação prestados. Este documento identifica as práticas de privacidade seguidas pela Entidade Certificadora Comum do Estado.

Toda esta documentação está também acessível na área de repositório do nosso sítio de internet.

 

11.   Dúvidas e reclamações

Qualquer questão relacionada com a presente Política de Privacidade poderá ser colocada diretamente à ECCE através dos contactos seguintes:

  • Por e-mail: certificacao@ecce.gov.pt
  • Telefonicamente: (+351) 213 923 466/00
  • Através da morada:
    CEGER - Centro de Gestão da Rede Informática do Governo
    Campus APP - Avenida João XXI, nº 63
    1000-300 Lisboa

Todas as dúvidas e reclamações poderão ainda ser colocadas ao Encarregado de Proteção de Dados ou à entidade de controlo de proteção de dados, que em Portugal é a Comissão Nacional de Proteção de Dados. Indicam-se em seguida os detalhes dos contactos das entidades referidas:

Detalhes de contacto do Encarregado da Proteção de Dados:

Foi designado, por Despacho n.º 1933-A/2023, de 8 de fevereiro (publicado no Diário da República n.º 28/2023, 1.º Suplemento, 2.ª Série, de 8 de fevereiro), José Manuel dos Santos Carrascozinho Bonito Viegas, técnico superior jurista do quadro de pessoal da Secretaria -Geral da Presidência do Conselho de Ministros (SGPCM), como Encarregado de Proteção de Dados.

Para exercer os seus direitos, o titular dos dados deve enviar um pedido para o Encarregado da Proteção de Dados através dos seguintes contactos:

 

 Detalhes do contacto da Autoridade Nacional de Controlo de Dados Pessoais:

Poderá ainda apresentar qualquer dúvida ou participação de violação de dados pessoais à Comissão Nacional de Proteção de Dados (CNPD), através de formulário próprio para o efeito, existente  no respetivo sítio da internet (https://www.cnpd.pt), disponível no endereço https://www.cnpd.pt/cidadaos/participacoes/.

Banner Portal Cliente

A ECCE tem à sua disposição um novo Portal para requisição dos seus certificados digitais.Com o novo Portal Cliente da ECCE pode aceder aos seus pedidos de certificados e cartões e efetuar a sua gestão de forma mais prática, célere e simples. Tudo num único local. Aceda já ao Portal Cliente da ECCE.

Sistema de Certificação Electrónica do Estado

Sistema de Certificação Electrónica do Estado (SCEE)

O Sistema de Certificação Electrónica do Estado  (SCEE) foi criado com o objetivo de assegurar a unidade, a integração e a eficácia dos sistemas de autenticação digital forte das transações eletrónicas entre os diversos serviços e organismos da Administração Pública e entre o Estado e os cidadãos e as empresas.