Respostas a Perguntas Frequentes

A Plataforma de Proteção de Dados do EduQA é o ponto único de informação, transparência e exercício de direitos em matéria de tratamento de dados pessoais pelo Instituto de Educação, Qualidade e Avaliação, I. P., reunindo todas as políticas, fichas de informação, formulários e canais de contacto necessários ao cumprimento do princípio da transparência consagrado no artigo 5.º, n.º 1, alínea a), do RGPD.

Aceda à apresentação completa em eduqa.protecaodedados.pt/p/plataforma/.

O Responsável pelo Tratamento é o EduQA — Instituto de Educação, Qualidade e Avaliação, I. P., pessoa coletiva de direito público com o NIPC 519 102 622, criado pelo Decreto-Lei n.º 105/2025, de 12 de setembro, com sede no Edifício Rio, Av. 24 de Julho, 140, 1399-025 Lisboa.

O Instituto sucedeu ao extinto Instituto de Avaliação Educativa, I. P. (IAVE), assumindo competências alargadas em matéria de currículo, pedagogia, didática e avaliação externa das aprendizagens.

Sim. Nos termos do artigo 37.º, n.º 1, alínea a), do RGPD, o EduQA designou um Encarregado da Proteção de Dados (EPD), atendendo à sua natureza de organismo público e ao volume e sensibilidade dos tratamentos realizados.

O EPD do EduQA é o senhor Manuel Melo, que pode ser contactado através do correio eletrónico manuel.melo@dataprotectionofficer.pt ou da linha direta (+351) 911 879 229.

A ficha completa de contactos do EPD está disponível em eduqa.protecaodedados.pt/p/encarregado/.

Todas as Políticas em vigor no EduQA — Política Geral de Proteção de Dados Pessoais, Política de Cookies, Política Laboral, Política de Candidaturas e Política de Aprovisionamento — estão disponíveis em eduqa.protecaodedados.pt/p/politicas/.

As Fichas de Informação sobre Tratamento de Dados (FITD) são documentos que dão cumprimento ao dever de informação previsto nos artigos 12.º, 13.º e 14.º do RGPD, descrevendo, em linguagem clara e estruturada, cada operação de tratamento realizada pelo Instituto, designadamente as finalidades, os fundamentos de licitude, as categorias de dados, os destinatários, os prazos de conservação e os direitos dos titulares.

Consulte as Fichas em vigor em eduqa.protecaodedados.pt/p/informacao/.

O Encarregado da Proteção de Dados do EduQA pode ser contactado pelos seguintes meios:

• Correio eletrónico (EPD): manuel.melo@dataprotectionofficer.pt;
• Linha direta: (+351) 911 879 229;
• Telefone geral do EduQA: (+351) 213 934 500;
• Endereço postal: EduQA, I. P. — Ao cuidado do Encarregado da Proteção de Dados, Edifício Rio, Av. 24 de Julho, 140, 1399-025 Lisboa.

Consulte a ficha completa em eduqa.protecaodedados.pt/p/encarregado/.

O envio de mensagens por correio eletrónico encontra-se disponível 24 horas por dia, sendo as respostas processadas em dias úteis. A linha direta do EPD está operacional, em regra, em dias úteis, das 9h00 às 18h00 (hora de Lisboa). Em situações de emergência associadas a violações de dados pessoais, o canal de emergência está disponível 24 horas por dia, 7 dias por semana, no número (+351) 911 879 229.

Sim. Em caso de suspeita ou confirmação de violação de dados pessoais, deverá contactar de imediato o EPD através do número direto (+351) 911 879 229, em regime 24/7, ou enviar correio eletrónico para manuel.melo@dataprotectionofficer.pt com a indicação «URGENTE — Violação de Dados» no assunto, de forma a assegurar o cumprimento do prazo de 72 horas para notificação à CNPD, previsto no artigo 33.º, n.º 1, do RGPD.

Enquanto titular dos dados, assistem-lhe os direitos consagrados nos artigos 15.º a 22.º do RGPD, designadamente:

• Direito de acesso aos seus dados pessoais (artigo 15.º);
• Direito de retificação dos dados inexatos ou incompletos (artigo 16.º);
• Direito ao apagamento, vulgo «direito a ser esquecido» (artigo 17.º), nos limites legalmente admissíveis;
• Direito à limitação do tratamento (artigo 18.º);
• Direito à portabilidade dos dados (artigo 20.º);
• Direito de oposição ao tratamento (artigo 21.º);
• Direito a não ficar sujeito a decisões individuais automatizadas (artigo 22.º);
• Direito a retirar o consentimento, sem efeitos retroativos, sempre que o tratamento se fundamente nessa base (artigo 7.º, n.º 3).

Para exercer os seus direitos, pode utilizar o Formulário próprio disponível em eduqa.protecaodedados.pt/p/formularios/, enviar mensagem para o EPD em manuel.melo@dataprotectionofficer.pt ou dirigir-se a qualquer ponto de atendimento do EduQA.

O pedido deve identificar o requerente, descrever o direito a exercer e indicar um meio de contacto preferencial para a resposta. Sempre que necessário, o EPD pode solicitar informação adicional para confirmar a sua identidade, nos termos do artigo 12.º, n.º 6, do RGPD.

O EduQA compromete-se a acusar receção do pedido até cinco dias úteis e a responder, em substância, dentro do prazo geral de um mês previsto no artigo 12.º, n.º 3, do RGPD. Este prazo pode ser prorrogado, por mais dois meses, em casos de especial complexidade ou número elevado de pedidos, sendo o titular informado dessa prorrogação e das respetivas razões.

Em regra, o exercício de direitos é gratuito, em conformidade com o artigo 12.º, n.º 5, do RGPD. Nos termos da mesma disposição, sempre que os pedidos sejam manifestamente infundados ou excessivos, designadamente por terem caráter repetitivo, o EduQA pode exigir o pagamento de uma taxa razoável, calculada com base nos custos administrativos, ou, em alternativa, recusar dar seguimento ao pedido, demonstrando o seu caráter manifestamente infundado ou excessivo.

Caso considere que a resposta do EduQA não responde adequadamente ao seu pedido, pode solicitar reapreciação interna ao EPD ou apresentar reclamação à Comissão Nacional de Proteção de Dados (CNPD), nos termos do artigo 77.º do RGPD. Mantém ainda o direito de recurso aos tribunais competentes.

Nos termos do artigo 4.º, n.º 12, do RGPD, considera-se violação de dados pessoais uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento. Constituem exemplos a perda de um dispositivo com dados, o acesso indevido a sistemas, o envio de mensagem para destinatário errado ou um ataque informático que comprometa bases de dados.

A comunicação de incidentes pode ser efetuada através do Formulário de Comunicação de Incidentes disponível em eduqa.protecaodedados.pt/p/formularios/, por contacto direto com o EPD em manuel.melo@dataprotectionofficer.pt ou pela linha de emergência (+351) 911 879 229.

A comunicação deve ser efetuada com a maior brevidade possível, sem demora injustificada, atenta a obrigação legal do EduQA de notificar a CNPD no prazo máximo de 72 horas a contar do conhecimento da violação, conforme estabelecido no artigo 33.º, n.º 1, do RGPD. Os trabalhadores do Instituto estão obrigados, por norma interna, a notificar o EPD até 12 horas após terem conhecimento do incidente.

Após receção da comunicação, o EPD desencadeia o procedimento interno de gestão de incidentes, que inclui: a avaliação preliminar da violação e do risco para os direitos e liberdades dos titulares; a articulação com os serviços técnicos competentes para contenção e mitigação; a documentação interna do incidente, em cumprimento do artigo 33.º, n.º 5, do RGPD; quando aplicável, a notificação à CNPD no prazo de 72 horas; e, quando o risco para os direitos e liberdades for elevado, a comunicação direta aos titulares afetados, nos termos do artigo 34.º do RGPD.

No quadro das suas competências em matéria de avaliação externa das aprendizagens, o EduQA trata dados pessoais de alunos com a estrita necessidade exigida pelas finalidades, designadamente: dados de identificação (nome, código de aluno, data de nascimento), dados escolares (ano e ciclo de escolaridade, estabelecimento de ensino), respostas a provas e exames nacionais, classificações atribuídas e demais elementos necessários à organização, aplicação, classificação e validação das provas.

A informação detalhada sobre cada tratamento consta da Ficha Geral de Informação sobre Tratamento de Dados, acessível em eduqa.protecaodedados.pt/p/informacao/.

Não. Os dados pessoais dos alunos são tratados exclusivamente para as finalidades determinadas, explícitas e legítimas associadas às atribuições do EduQA, designadamente as relativas à avaliação externa das aprendizagens, ao apoio à melhoria contínua do sistema educativo e à produção de informação estatística (em regra com adoção de medidas de anonimização). Qualquer tratamento ulterior incompatível com estas finalidades é vedado, em cumprimento do princípio da limitação das finalidades consagrado no artigo 5.º, n.º 1, alínea b), do RGPD.

O EduQA adota salvaguardas reforçadas no tratamento de dados de menores, em cumprimento do artigo 8.º do RGPD e do artigo 16.º da Lei n.º 58/2019, de 8 de agosto, designadamente: limitação rigorosa da recolha ao estritamente necessário; utilização de linguagem clara, simples e adaptada ao destinatário; reforço das medidas técnicas e organizativas de segurança; aplicação rigorosa dos prazos legais de conservação; e formação específica dos colaboradores que tratam estes dados.

Sim. Os resultados de provas e exames nacionais são tratados em regime de confidencialidade, sendo disponibilizados apenas aos próprios alunos, aos respetivos encarregados de educação (quando o aluno for menor) e às entidades legalmente competentes, designadamente o estabelecimento de ensino, no quadro do processo de avaliação. Os trabalhadores e colaboradores do EduQA estão sujeitos a estrito dever de sigilo profissional.

O encarregado de educação pode, na qualidade de representante legal do aluno menor, exercer os direitos previstos nos artigos 15.º a 22.º do RGPD em nome do educando, através dos canais habituais, mediante demonstração da sua qualidade representativa. Para estabelecimentos de ensino, o canal preferencial será através da própria escola, que articula com o EduQA quando aplicável.

Sim. Os sítios eletrónicos do EduQA utilizam cookies técnicos estritamente necessários ao seu funcionamento e, sujeito ao consentimento prévio do utilizador, cookies analíticos e de personalização. A descrição detalhada consta da Política de Cookies, acessível em eduqa.protecaodedados.pt/p/politicas/, e da Ficha Especial de Informação sobre Tratamento de Dados — Cookies.

O utilizador pode, em qualquer momento, gerir as suas preferências através da ferramenta de gestão de consentimentos disponibilizada no sítio. Pode também configurar o seu navegador (browser) para bloquear, eliminar ou notificar a colocação de cookies. A Política de Cookies inclui ligações para as configurações dos principais navegadores.

O utilizador pode recusar livremente todos os cookies não estritamente necessários, sem qualquer consequência para o acesso à informação institucional. Os cookies técnicos estritamente necessários ao funcionamento do sítio são colocados ao abrigo do artigo 5.º, n.º 3, da Diretiva 2002/58/CE, transposta para a ordem jurídica nacional pela Lei n.º 41/2004, de 18 de agosto, não exigindo consentimento.

Os dados pessoais são conservados apenas pelo período necessário às finalidades que motivaram a sua recolha, com cumprimento dos prazos legais aplicáveis, designadamente os decorrentes da legislação de arquivo aplicável aos organismos do Ministério da Educação, Ciência e Inovação e da legislação setorial em matéria de avaliação das aprendizagens. Os prazos concretos constam da Ficha de Informação sobre Tratamento de Dados aplicável a cada operação.

Sim, no quadro dos pressupostos previstos no artigo 17.º do RGPD. O direito ao apagamento, vulgo «direito a ser esquecido», está, no entanto, sujeito a limites, designadamente quando o tratamento for necessário ao cumprimento de obrigação legal, ao exercício de funções de interesse público, à defesa de direitos em processo judicial ou ao exercício do direito de liberdade de expressão e informação. Cada pedido é analisado individualmente pelo EPD.

O EduQA apenas partilha dados com entidades terceiras quando: existe obrigação legal de comunicação; é necessário à execução de contratos celebrados; existe prossecução de interesse legítimo do Instituto ou de terceiro; ou foi obtido o consentimento expresso do titular. As entidades subcontratadas (designadamente prestadores de serviços tecnológicos) estão sujeitas a contrato escrito celebrado nos termos do artigo 28.º do RGPD.

Em regra, os dados pessoais tratados pelo EduQA não são objeto de transferência para países terceiros ou organizações internacionais. Quando, excecionalmente, tal se mostre necessário, a transferência é realizada com observância integral do capítulo V do RGPD, designadamente mediante decisão de adequação, cláusulas contratuais-tipo aprovadas pela Comissão Europeia ou outras garantias adequadas legalmente admissíveis.

Sim. Nos termos do artigo 77.º do RGPD, qualquer titular de dados tem o direito de apresentar reclamação à autoridade de controlo competente, em Portugal a Comissão Nacional de Proteção de Dados (CNPD), sempre que considere que o tratamento dos seus dados pessoais viola o RGPD ou a legislação nacional aplicável.

Os contactos da CNPD estão disponíveis em www.cnpd.pt.

O titular dos dados conserva, em qualquer momento, o direito de apresentar reclamação à CNPD, sem necessidade de exaurir previamente qualquer via interna. Não obstante, o EduQA incentiva a apresentação prévia de reclamação ao EPD, permitindo a resolução interna da questão em tempo útil e em diálogo direto com o Instituto.

O EduQA tem implementado um Canal de Denúncias, em conformidade com a Lei n.º 93/2021, de 20 de dezembro, que estabelece o regime geral de proteção de denunciantes de infrações. As denúncias podem ser apresentadas em eduqa.protecaodedados.pt/p/denuncias/, através do Formulário próprio ou pelos contactos institucionais aí indicados.

Sim. O EduQA garante a confidencialidade da identidade do denunciante e dos terceiros mencionados na denúncia, em cumprimento da Lei n.º 93/2021, de 20 de dezembro, e adota medidas técnicas e organizativas reforçadas para proteção destes dados. O denunciante goza ainda das medidas de proteção contra retaliações previstas no regime aplicável.

Sim. O canal de denúncias do EduQA admite a apresentação de denúncias anónimas, sem prejuízo de eventuais limitações à instrução do processo decorrentes da impossibilidade de complemento de informação por parte do denunciante anónimo.

O EduQA tem implementado um Programa de Cumprimento Normativo no âmbito da Prevenção da Corrupção, em coerência com o Decreto-Lei n.º 109-E/2021, de 9 de dezembro, que aprova o Regime Geral de Prevenção da Corrupção. A informação institucional sobre o programa e os respetivos canais está disponível em eduqa.protecaodedados.pt/p/denuncias/.

Os dados de candidatos a procedimentos de recrutamento, seleção ou bolsas de recrutamento (designadamente as relativas a examinadores e classificadores) são tratados em conformidade com a Política de Candidaturas e com a respetiva Ficha de Informação. Inclui-se aqui a identificação, contactos, dados curriculares, certificações, dados específicos do procedimento e dados de avaliação. Consulte mais informação em eduqa.protecaodedados.pt/p/politicas/.

O tratamento de dados pessoais em contexto laboral é regulado pela Política de Proteção de Dados em Contexto Laboral e pela respetiva Ficha de Informação. Abrange dados de identificação, contacto, profissionais, familiares, categorias especiais (filiação sindical, dados biométricos, dados de saúde, com fundamento nas exceções do artigo 9.º, n.º 2, do RGPD) e dados de tráfego e acesso. Toda a informação é mantida com adoção das medidas de segurança adequadas e dos prazos legais de conservação.

Os dados de representantes legais e colaboradores de fornecedores são tratados em conformidade com a Política de Aprovisionamento e com a respetiva Ficha de Informação, no âmbito de procedimentos de contratação pública e da execução dos contratos celebrados, em cumprimento do Código dos Contratos Públicos, aprovado pelo Decreto-Lei n.º 18/2008, de 29 de janeiro, na sua redação atual.

Os subcontratantes do EduQA, na aceção do artigo 28.º do RGPD, estão obrigados, por contrato escrito, a adotar medidas técnicas e organizativas adequadas, a tratar os dados exclusivamente para as finalidades determinadas pelo EduQA, a garantir a confidencialidade, a auxiliar o Instituto no cumprimento das suas obrigações de proteção de dados e a devolver ou apagar os dados ao termo do contrato.

Em regra, o EduQA não procede a decisões individuais exclusivamente automatizadas, na aceção do artigo 22.º do RGPD. Sempre que, em situações excecionais, tal venha a ocorrer, será assegurada a informação prévia ao titular sobre a lógica subjacente, a importância e as consequências previstas do tratamento, bem como o direito de obter intervenção humana, manifestar o seu ponto de vista e contestar a decisão.

Sim. Sempre que um novo tratamento, ou uma alteração relevante de um tratamento existente, seja suscetível de envolver elevado risco para os direitos e liberdades das pessoas singulares, o EduQA realiza Avaliação de Impacto sobre a Proteção de Dados (AIPD), nos termos do artigo 35.º do RGPD, com o aconselhamento do EPD e, quando aplicável, com consulta prévia à CNPD.

O princípio da responsabilidade, vulgo accountability, consagrado no artigo 5.º, n.º 2, do RGPD, obriga o Responsável pelo Tratamento não apenas a cumprir as restantes normas em matéria de proteção de dados, mas também a estar em condições de demonstrar esse cumprimento. É este princípio que justifica a existência da Plataforma de Proteção de Dados do EduQA, das suas Políticas, das Fichas de Informação, do registo de atividades de tratamento e dos demais elementos documentais que tornam visível e verificável a postura de conformidade do Instituto.

Para esclarecimentos adicionais, pode sempre contactar o EPD através dos meios já indicados. A Plataforma de Proteção de Dados disponibiliza, para consulta, todas as Políticas, Fichas de Informação, Formulários e demais documentação normativa em eduqa.protecaodedados.pt. Ações específicas de formação e sensibilização são, periodicamente, divulgadas nos canais institucionais.

Não. A presente lista, embora cobrindo os tópicos mais frequentemente colocados aos serviços do EduQA, não é exaustiva. É periodicamente atualizada em função das questões efetivamente colocadas pelos titulares dos dados, das alterações do quadro regulatório aplicável e das orientações emitidas pela CNPD ou pelo Comité Europeu para a Proteção de Dados. Sugestões de novas perguntas podem ser enviadas para o EPD através dos canais habituais.