Política de Privacidade e de Tratamento de Dados Pessoais

Artigo 1.º Objeto e âmbito

1 - A presente política define os princípios, regras e procedimentos aplicáveis ao tratamento de dados pessoais pela Secretaria-Geral do Governo (SGGov), por meios total ou parcialmente automatizados, bem como por meios não automatizados contidos em ficheiros ou a eles destinados.

2 - A política aplica-se a todos os tratamentos de dados pessoais realizados pela SGGov no exercício das suas atribuições e competências, abrangendo dirigentes, trabalhadores, colaboradores, prestadores de serviços, utilizadores do sítio eletrónico, participantes em eventos e quaisquer pessoas singulares cujos dados sejam tratados pela SGGov.

3 - A presente política será objeto de atualização após a aprovação dos demais instrumentos normativos internos da SGGov em matéria de ética, integridade e proteção de dados, designadamente o Código de Ética e de Conduta, a Política de Cookies, o Regulamento do Canal de Denúncias do Governo e o Regulamento de Ofertas e Convites, de modo a assegurar a plena articulação entre todos os instrumentos.

Artigo 2.º Enquadramento normativo

A SGGov assegura que o tratamento de dados pessoais é realizado em conformidade com o seguinte quadro normativo: 

• Artigo 35.º da Constituição da República Portuguesa;
• Regulamento (UE) 2016/679 (RGPD);
• Lei n.º 58/2019, de 8 de agosto (execução nacional do RGPD);
• Lei n.º 59/2019, de 8 de agosto (tratamento de dados para prevenção e repressão de infrações penais);
• Decreto-Lei n.º 43-B/2024, de 2 de julho (orgânica da SGGov);
• Portaria n.º 205-B/2025/1, de 30 de abril (estrutura nuclear da SGGov);
• Resolução do Conselho de Ministros n.º 102/2025, de 5 de junho (Plano de Prevenção de Riscos do Governo);
• Resolução do Conselho de Ministros n.º 103/2025 (Código de Conduta do XXV Governo Constitucional);
• Lei n.º 93/2021, de 20 de dezembro (Regime Geral de Proteção de Denunciantes);
• Lei n.º 52/2019, de 31 de julho (exercício de funções por titulares de cargos políticos).

Artigo 3.º Definições

Para efeitos da presente política, são adotadas as definições constantes do artigo 4.º do RGPD, com destaque para:

• «Dado pessoal»: toda a informação relativa a uma pessoa singular identificada ou identificável, direta ou indiretamente, incluindo por referência a um nome, número de identificação, dados de localização, identificadores eletrónicos ou a elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social;
• «Tratamento»: operação ou conjunto de operações efetuadas sobre dados pessoais, designadamente a recolha, o registo, a organização, a conservação, a consulta, a utilização, a divulgação, o apagamento ou a destruição;
• «Subcontratante»: pessoa singular ou coletiva que trata dados pessoais por conta do responsável pelo tratamento;
• «Violação de dados pessoais»: violação da segurança que provoque a destruição, perda, alteração, divulgação ou acesso não autorizados a dados pessoais.

Artigo 4.º Identificação do responsável pelo tratamento
1 - A SGGov é a entidade responsável pelo tratamento dos dados pessoais recolhidos e tratados no âmbito das suas atribuições, nos termos do artigo 4.º, n.º 7, do RGPD.

2 - A SGGov assegura a observância das melhores práticas de proteção de dados desde a conceção (Privacy by Design) e por defeito (Privacy by Default), garantindo que o tratamento é lícito, leal, transparente e limitado às finalidades devidamente autorizadas.
3 - A SGGov não procede a qualquer transmissão de dados pessoais para fins comerciais ou de publicidade.

Artigo 5.º Encarregado da Proteção de Dados
1 - Nos termos do artigo 37.º do RGPD, a função de Encarregado da Proteção de Dados (EPD) é desempenhada pela Unidade de Integridade e Transparência (UnIT), na qualidade de unidade orgânica com essa competência atribuída pela alínea h) do n.º 4 do artigo 3.º da Portaria n.º 205-B/2025/1, de 30 de abril, e pelo Despacho n.º 6738/2025, de 23 de junho.
2 - Compete ao EPD, entre outras funções, monitorizar a conformidade do tratamento de dados, servir de ponto de contacto para os titulares e para a CNPD, e prestar os esclarecimentos que lhe sejam solicitados. 

Artigo 6.º Finalidades do tratamento
A SGGov trata dados pessoais para as seguintes finalidades:

• Apoio técnico, administrativo e logístico ao Conselho de Ministros, ao Primeiro-Ministro e aos demais membros do Governo;
• Gestão de recursos humanos, incluindo recrutamento, processamento de vencimentos, obrigações contributivas e fiscais, formação profissional e medicina do trabalho;
• Gestão financeira, orçamental e contratual;
• Comunicação institucional, incluindo gestão do Portal do Governo, plataformas digitais, produção de conteúdos, captação de imagem e cobertura de eventos governativos;
• Gestão do Canal de Denúncias do Governo nos termos da Lei n.º 93/2021;
• Registo de ofertas, convites e hospitalidades nos termos da Lei n.º 52/2019;
• Implementação e monitorização de medidas de integridade, transparência e prevenção da corrupção;
• Segurança de pessoas, bens e instalações, incluindo videovigilância, controlo de acessos e credenciação de visitantes;
• Gestão do sítio eletrónico, incluindo formulários de contacto e cookies;
• Apoio técnico-jurídico, contencioso e resposta a pedidos de acesso à informação.

Artigo 7.º Categorias de dados pessoais
1 - No exercício das suas atribuições, a SGGov poderá tratar as seguintes categorias de dados pessoais: 

• Dados de identificação: nome, data de nascimento, número de documento de identificação, NIF, fotografia;
• Dados de contacto: morada, endereço de email, número de telefone;
• Dados profissionais: cargo, categoria, serviço, habilitações literárias, currículo;
• Dados contratuais e financeiros: dados bancários, dados relativos a contratos;
• Dados de navegação: endereço IP, tipo de navegador, páginas visitadas, cookies;
• Dados sensíveis (categorias especiais): saúde (medicina do trabalho), dados biométricos (controlo de acessos), tratados apenas quando estritamente necessário e com base legal específica.

2 - A SGGov aplica o princípio da minimização dos dados, recolhendo apenas os dados estritamente necessários à finalidade prosseguida.

Artigo 8.º Fundamentos de licitude
1 - O tratamento de dados pessoais pela SGGov é realizado com base nos seguintes fundamentos:

• Exercício de funções de interesse público (artigo 6.º, n.º 1, alínea e), do RGPD): fundamento principal para a grande maioria dos tratamentos realizados no âmbito das atribuições institucionais da SGGov;
• Cumprimento de obrigação jurídica (artigo 6.º, n.º 1, alínea c)): tratamentos impostos por lei, nomeadamente obrigações fiscais, laborais, de contratação pública e de reporte ao Tribunal de Contas;
• Execução de contrato (artigo 6.º, n.º 1, alínea b)): tratamentos necessários à celebração ou execução de contratos em que a SGGov seja parte, incluindo diligências pré-contratuais;
• Consentimento (artigo 6.º, n.º 1, alínea a)): em situações excecionais, nomeadamente para captação e utilização de imagem em eventos, podendo ser revogado a qualquer momento sem comprometer a licitude do tratamento anterior.

2 - Nos termos do artigo 6.º, n.º 1, segundo parágrafo, do RGPD, o fundamento de «interesse legítimo» (alínea f)) não é aplicável ao tratamento efetuado por autoridades públicas no exercício das suas atribuições por via eletrónica. A SGGov não invoca este fundamento para os tratamentos realizados no âmbito das suas competências públicas.
  

Artigo 9.º Princípios aplicáveis

A SGGov trata dados pessoais em conformidade com os princípios do artigo 5.º do RGPD, designadamente:

• Licitude, lealdade e transparência;
• Limitação das finalidades;
• Minimização dos dados;
• Exatidão;
• Limitação da conservação;
• Integridade e confidencialidade;
• Responsabilidade (accountability).

A SGGov impõe contratualmente o mesmo nível de proteção a todos os seus subcontratantes, nos termos do artigo 28.º do RGPD.

Artigo 10.º Destinatários

1 - Os dados pessoais poderão ser comunicados às seguintes categorias de destinatários, apenas na medida do estritamente necessário:

• Entidades da Administração Pública (secretarias-gerais setoriais, ESPAP, CGA, AT, Segurança Social);
• Autoridades judiciais e de controlo (Tribunal de Contas, Ministério Público, CNPD, MENAC, IGF);
• Subcontratantes (prestadores de serviços de TI, alojamento de dados, fotografia, design gráfico e comunicação);
• Plataformas de redes sociais (Meta/Facebook, LinkedIn, Twitter/X), no âmbito da divulgação de conteúdos institucionais;
• Entidades públicas no âmbito do Canal de Denúncias, nos termos da Lei n.º 93/2021, de 20 de dezembro.

2 - As entidades subcontratantes estão obrigadas a apresentar garantias suficientes de cumprimento da legislação em vigor, sendo vinculadas por contratos nos termos do artigo 28.º do RGPD.

Artigo 11.º Transferências internacionais de dados

1 - Em regra, o tratamento de dados pessoais pela SGGov é efetuado no território da União Europeia.

2 - Contudo, a publicação de imagens e conteúdos em plataformas de redes sociais (Meta/Facebook, LinkedIn, Twitter/X) implica transferências de dados pessoais para países terceiros, designadamente para os Estados Unidos da América. Estas transferências são realizadas ao abrigo das Cláusulas Contratuais-Tipo aprovadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914), com medidas técnicas e organizativas complementares.

3 - Caso se revelem necessárias transferências adicionais no âmbito de cooperação internacional, a SGGov assegurará as garantias previstas no Capítulo V do RGPD (artigos 44.º a 49.º).

4 - Os formulários de consentimento para captação de imagem identificam expressamente as plataformas envolvidas, as localizações dos servidores e as garantias adequadas.

Artigo 12.º Prazos de conservação

1 - Os dados pessoais são conservados apenas durante o período necessário às finalidades para que foram recolhidos, sem prejuízo dos prazos legais de conservação ou de prescrição aplicáveis.

2 - Findo o prazo, os dados são eliminados ou anonimizados de forma irreversível.

3 - Excecionalmente, imagens com valor histórico ou institucional relevante podem ser conservadas em arquivo permanente, nos termos do artigo 89.º do RGPD, mediante avaliação prévia e comunicação ao titular.

Artigo 13.º Medidas de segurança

1 - A SGGov implementa medidas técnicas e organizativas adequadas, em conformidade com o artigo 32.º do RGPD e com as normas do Centro Nacional de Cibersegurança (CNCS), incluindo:

• Controlo de acessos com base no princípio do menor privilégio e autenticação multifator;
• Cifragem de dados em trânsito e em repouso;
• Pseudonimização e anonimização sempre que possível;
• Segurança de rede e aplicacional, incluindo firewalls e sistemas de deteção de intrusão;
• Procedimentos de salvaguarda (backup), continuidade e recuperação de desastres;
• Testes periódicos de eficácia das medidas de segurança;
• Programa regular de formação e sensibilização dos trabalhadores em matéria de proteção de dados e segurança da informação.

2 - Todos os trabalhadores, dirigentes, colaboradores, prestadores de serviços e subcontratantes com acesso a dados pessoais encontram-se vinculados por obrigações de confidencialidade e sigilo profissional, devendo subscrever compromisso escrito nesse sentido.

3 - A SGGov impõe contratualmente o mesmo nível de proteção aos seus subcontratantes e revê continuamente as suas práticas de segurança.

Artigo 14.º Notificação de violações de dados pessoais

1 - Em caso de violação de dados pessoais suscetível de resultar em risco para os direitos e liberdades dos titulares, a SGGov notifica a CNPD, sempre que possível no prazo de 72 horas, nos termos do artigo 33.º do RGPD.

2 - Quando a violação implique elevado risco para os direitos e liberdades, os titulares são igualmente notificados sem demora injustificada, nos termos do artigo 34.º do RGPD.

3 - Os subcontratantes notificam a SGGov sem demora injustificada após tomarem conhecimento de uma violação.

4 - Os trabalhadores da SGGov devem reportar imediatamente à UnIT qualquer situação de violação de dados pessoais de que tenham conhecimento, documentando a situação, os factos, os efeitos e as medidas de reparação adotadas.

Artigo 15.º Direitos dos titulares

O titular de dados pessoais pode exercer, dentro dos limites da lei, os seguintes direitos:

• Direito à informação (artigos 13.º e 14.º do RGPD): ser informado sobre as condições do tratamento dos seus dados pessoais, nomeadamente a identidade do responsável, as finalidades, os fundamentos de licitude e os prazos de conservação;
• Direito de acesso (artigo 15.º do RGPD): obter confirmação e aceder aos dados, incluindo cópia dos mesmos;
• Direito de retificação (artigo 16.º): corrigir dados inexatos ou completar dados incompletos;
• Direito ao apagamento — «direito a ser esquecido» (artigo 17.º): obter a eliminação, sem prejuízo dos prazos de conservação legais;
• Direito à limitação do tratamento (artigo 18.º): obter a restrição do tratamento;
• Direito de portabilidade (artigo 20.º): receber os dados em formato estruturado, quando aplicável;
• Direito de oposição (artigo 21.º): opor-se ao tratamento por motivos da sua situação particular;
• Direito de não ficar sujeito a decisões automatizadas (artigo 22.º):  não ser sujeito a decisões tomadas exclusivamente com base em tratamento automatizado, incluindo a definição de perfis, que produzam efeitos jurídicos ou que o afetem significativamente de forma similar;
• Direito de retirar o consentimento: a qualquer momento, sem comprometer a licitude do tratamento anterior (artigo 7.º, n.º 3);
• Direito de reclamação (artigo 77.º): apresentar reclamação à CNPD.

Artigo 16.º Exercício de direitos

1 - Os pedidos devem ser dirigidos ao EPD através de:

• Email: transparencia@sggoverno.gov.pt
• Carta: Avenida João XXI, n.º 63, 1000-300 Lisboa
• Formulário de exercício de direitos disponível no sítio eletrónico institucional.

2 - A SGGov responde no prazo máximo de um mês, prorrogável por dois meses adicionais em casos de complexidade, nos termos do artigo 12.º, n.º 3, do RGPD.

Artigo 17.º Limitações ao exercício de direitos

Alguns direitos podem estar sujeitos a limitações quando o tratamento se baseie no cumprimento de obrigações legais ou no exercício de funções de interesse público, nos termos do artigo 23.º do RGPD.

Artigo 18.º Direito de reclamação

Sem prejuízo de notificação direta à SGGov, o titular pode apresentar reclamação à autoridade de controlo:

Artigo 19.º Decisões automatizadas e definição de perfis

1 - A SGGov não adota processos de tomada de decisão exclusivamente automatizada, incluindo a definição de perfis, que produzam efeitos jurídicos, nos termos do artigo 22.º do RGPD.

2 - A monitorização de conteúdos online para apoio à decisão governativa serve exclusivamente finalidades de interesse público, sendo vedada a utilização para fins partidários ou eleitorais ou para elaboração de perfis de cidadãos com base nas suas opiniões.

3 - Caso futuramente sejam implementados processos de decisão automatizada, nomeadamente com recurso a ferramentas de inteligência artificial, a presente política será atualizada e os titulares serão previamente informados, com indicação da base legal, lógica subjacente, importância e consequências previstas.

Artigo 20.º Cookies e tecnologias de rastreamento

1 - O sítio eletrónico da SGGov pode utilizar cookies para assegurar o funcionamento técnico e, quando autorizado, para fins analíticos.

2 - As categorias de cookies são as seguintes:

• Cookies estritamente necessários: não requerem consentimento;
• Cookies analíticos: requerem consentimento prévio, duração máxima de 13 meses;
• Cookies de funcionalidade: requerem consentimento prévio.

3 - O utilizador é informado através de um banner de consentimento, podendo aceitar, recusar ou personalizar as preferências. O consentimento pode ser revogado a qualquer momento. A política de cookies detalhada é publicada no sítio eletrónico.

Artigo 21.º Avaliações de impacto sobre a proteção de dados

A SGGov realiza AIPD previamente à implementação de tratamentos suscetíveis de implicar elevado risco para os direitos e liberdades das pessoas singulares, nos termos do artigo 35.º do RGPD, nomeadamente:

• Implementação ou alteração do Canal de Denúncias do Governo;
• Sistemas de videovigilância e controlo de acessos;
• Adoção de ferramentas de inteligência artificial;
• Tratamentos de dados em larga escala no contexto da ação governativa. 

Artigo 22.º Responsabilidades dos titulares

1 - Os titulares são responsáveis por prestar informações fidedignas e por utilizar os serviços da SGGov com respeito pelas regras de utilização e pelos direitos de terceiros.

2 - Os titulares são responsáveis pela utilização de credenciais de acesso, que são pessoais e intransmissíveis, devendo assegurar a sua confidencialidade.

Artigo 23.º Contactos

Artigo 24.º Revisão e atualização

1 - A presente política é revista periodicamente e sempre que alterações legislativas, organizacionais ou tecnológicas o justifiquem.

2 - As atualizações são publicadas no sítio eletrónico da SGGov, com indicação da data de entrada em vigor e das alterações introduzidas.

3 - Qualquer dos entendimentos acima sufragados poderá ser alterado em função da lei, decisão judicial ou recomendação da autoridade administrativa competente.

4 - A presente política será obrigatoriamente revista após a aprovação do Código de Ética e de Conduta da SGGov, da Política de Cookies, do Regulamento do Canal de Denúncias do Governo e do Regulamento de Ofertas e Convites, de modo a assegurar a articulação e remissão adequadas entre todos os instrumentos normativos internos.