1. Informações essenciais:
a) Quem é responsável pelo tratamento, i.e., a instituição que determina a finalidade e os meios do tratamento desses dados, sendo, geralmente, a instituição onde o projeto está sediado; ou, no caso de responsabilidade conjunta, quem são os responsáveis pelo tratamento. E ainda, breve identificação do projeto de investigação, identificação do investigador e os seus contactos institucionais.
b) Os contactos do Encarregado de Proteção de Dados da instituição.
c) A base legal do tratamento dos dados, especificando que se trata do consentimento do participante, nos termos do artigo 6.º, n.º 1, alínea a) do RGPD; no caso de categorias especiais de dados (dados sensíveis), deve referir-se ainda o artigo 9.º, n.º 2, alínea a).
d) A finalidade da recolha, ou seja, para que fins os dados vão ser utilizados; essa finalidade deve ser específica, explícita e legítima. Em projetos exploratórios, onde não se mostra possível definir de antemão uma finalidade específica, a finalidade pode ser definida de forma mais ampla. Em qualquer caso, devem ser respeitados os padrões éticos reconhecidos pela comunidade científica, mantendo os participantes informados à medida que a finalidade da investigação se clarifica. Sempre que houver alterações relevantes, os participantes devem receber informação atualizada para poderem exercer, de forma informada, os seus direitos.
e) Os destinatários, isto é, se os dados serão partilhados com outras entidades ou categorias de entidades, designadamente a subcontratantes (prestadores de serviços) ou a quaisquer outras entidades, e com que finalidade;
f) Se houver recolha de dados fora do Espaço Económico Europeu (EEE), ou transferência para fora do EEE, deve ser indicado o país e/ou organização de origem ou destino, e se existe ou não uma “decisão de adequação” da Comissão Europeia. Caso não exista uma decisão de adequação, deve ser verificada a existência de garantias adequadas, designadamente: cláusulas contratuais-tipo de proteção de dados ou outros mecanismos previstos no art. 46.º RGPD. Nesse caso o consentimento deve fazer referência às garantias adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas. Na ausência de garantias adequadas, o consentimento deve ser explícito e informar o participante dos riscos dessas transferências, devido à falta de decisão de adequação e garantias adequadas, conforme indicado no Nó Transferências Internacionais.
g) Os direitos do participante, e os meios para o seu exercício — normalmente exercidos através de um endereço de email criado pela equipa do projeto. Estes incluem o direito de acesso, retificação, apagamento, retirada do consentimento a qualquer momento, limitação do tratamento e o direito a apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD); se os dados forem recolhidos por meios automatizados (e.g., através de um formulário online), o participante tem ainda o direito de portabilidade dos dados;
h) Se existirem decisões tomadas exclusivamente de forma automatizada, sem intervenção humana significativa (isto é, com recurso a algoritmos ou sistemas de computador), deve ser indicado:
- que essas decisões existem e em que situações são aplicadas;
- a lógica subjacente, entendida como a explicação dos critérios ou fatores principais que influenciam a decisão exclusivamente automatizada, de forma inteligível para o participante, ainda que sem necessidade de divulgar código-fonte, fórmulas complexas ou informação proprietária;
- a importância e as consequências previstas de tal tratamento para o titular dos dados.
i) O prazo de conservação dos dados ou, se não for possível, os critérios usados para defini-lo, e o destino após esse período (eliminação ou anonimização irreversível).
j) Se além dos dados a recolher junto do participante, vão ser recolhidos informações pessoais acessíveis publicamente (como redes sociais)
k) Quaisquer outros riscos associados ao tratamento, descritos de forma clara e compreensível.
2. Informação e consentimento para reutilização dos dados
Quando, num determinado projeto, são recolhidos dados com base em consentimento e se prevê a sua utilização noutro projeto distinto deve existir um consentimento específico para cada um dos projetos.
O formulário de consentimento pode adotar duas abordagens.
Na primeira, o participante decide, no momento da recolha dos dados, se autoriza ou não o tratamento no âmbito de cada um dos projetos. Para tal, o formulário deve:
• Detalhar as informações relativas à utilização dos dados correspondentes às alíneas a)–k), para cada um dos projetos, ou sempre que estas diferirem do projeto original;
• Identificar claramente ambos os projetos e as equipas envolvidas;
• Fazer constar o consentimento específico para o outro projeto em caixa de seleção autónoma, permitindo que o participante aceite colaborar no projeto inicial, mas possa recusar a utilização dos seus dados no outro projeto.
3 Informação e consentimento para depósito de dados no âmbito da ciência aberta
A possibilidade de depósito em acesso aberto, inclusive após um eventual período de acesso embargado, só é admissível para dados irreversivelmente anonimizados e que, antes da anonimização, tenham obtido consentimento específico para a sua divulgação pública. O consentimento deve constar em caixa de seleção autónoma, permitindo que o participante possa participar no estudo inicial, mas decidir se autoriza ou não o depósito dos seus dados em regime de acesso aberto. Todavia, uma vez que os dados disponibilizados publicamente já não constituem dados pessoais, não se aplicam as informações a facultar previstas nas alíneas a)–k).
b) Os contactos do Encarregado de Proteção de Dados da instituição.
c) A base legal do tratamento dos dados, especificando que se trata do consentimento do participante, nos termos do artigo 6.º, n.º 1, alínea a) do RGPD; no caso de categorias especiais de dados (dados sensíveis), deve referir-se ainda o artigo 9.º, n.º 2, alínea a).
d) A finalidade da recolha, ou seja, para que fins os dados vão ser utilizados; essa finalidade deve ser específica, explícita e legítima. Em projetos exploratórios, onde não se mostra possível definir de antemão uma finalidade específica, a finalidade pode ser definida de forma mais ampla. Em qualquer caso, devem ser respeitados os padrões éticos reconhecidos pela comunidade científica, mantendo os participantes informados à medida que a finalidade da investigação se clarifica. Sempre que houver alterações relevantes, os participantes devem receber informação atualizada para poderem exercer, de forma informada, os seus direitos.
e) Os destinatários, isto é, se os dados serão partilhados com outras entidades ou categorias de entidades, designadamente a subcontratantes (prestadores de serviços) ou a quaisquer outras entidades, e com que finalidade;
f) Se houver recolha de dados fora do Espaço Económico Europeu (EEE), ou transferência para fora do EEE, deve ser indicado o país e/ou organização de origem ou destino, e se existe ou não uma “decisão de adequação” da Comissão Europeia. Caso não exista uma decisão de adequação, deve ser verificada a existência de garantias adequadas, designadamente: cláusulas contratuais-tipo de proteção de dados ou outros mecanismos previstos no art. 46.º RGPD. Nesse caso o consentimento deve fazer referência às garantias adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas. Na ausência de garantias adequadas, o consentimento deve ser explícito e informar o participante dos riscos dessas transferências, devido à falta de decisão de adequação e garantias adequadas, conforme indicado no Nó Transferências Internacionais.
g) Os direitos do participante, e os meios para o seu exercício — normalmente exercidos através de um endereço de email criado pela equipa do projeto. Estes incluem o direito de acesso, retificação, apagamento, retirada do consentimento a qualquer momento, limitação do tratamento e o direito a apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD); se os dados forem recolhidos por meios automatizados (e.g., através de um formulário online), o participante tem ainda o direito de portabilidade dos dados;
h) Se existirem decisões tomadas exclusivamente de forma automatizada, sem intervenção humana significativa (isto é, com recurso a algoritmos ou sistemas de computador), deve ser indicado:
- que essas decisões existem e em que situações são aplicadas;
- a lógica subjacente, entendida como a explicação dos critérios ou fatores principais que influenciam a decisão exclusivamente automatizada, de forma inteligível para o participante, ainda que sem necessidade de divulgar código-fonte, fórmulas complexas ou informação proprietária;
- a importância e as consequências previstas de tal tratamento para o titular dos dados.
i) O prazo de conservação dos dados ou, se não for possível, os critérios usados para defini-lo, e o destino após esse período (eliminação ou anonimização irreversível).
j) Se além dos dados a recolher junto do participante, vão ser recolhidos informações pessoais acessíveis publicamente (como redes sociais)
k) Quaisquer outros riscos associados ao tratamento, descritos de forma clara e compreensível.
2. Informação e consentimento para reutilização dos dados
Quando, num determinado projeto, são recolhidos dados com base em consentimento e se prevê a sua utilização noutro projeto distinto deve existir um consentimento específico para cada um dos projetos.
O formulário de consentimento pode adotar duas abordagens.
Na primeira, o participante decide, no momento da recolha dos dados, se autoriza ou não o tratamento no âmbito de cada um dos projetos. Para tal, o formulário deve:
• Detalhar as informações relativas à utilização dos dados correspondentes às alíneas a)–k), para cada um dos projetos, ou sempre que estas diferirem do projeto original;
• Identificar claramente ambos os projetos e as equipas envolvidas;
• Fazer constar o consentimento específico para o outro projeto em caixa de seleção autónoma, permitindo que o participante aceite colaborar no projeto inicial, mas possa recusar a utilização dos seus dados no outro projeto.
Em alternativa, pode ser adotado o modelo de consentimento dinâmico, no qual o participante é convidado a consentir previamente a ser novamente contactado. Deste modo, será informado sobre cada nova reutilização, caso a caso, e poderá consentir ou não na reutilização dos seus dados. Caso os dados destinados a esse efeito sejam conservados em repositório institucional, este deve ser claramente identificado. As informações relativas às alíneas a)–k) devem, tanto quanto possível, ser fornecidas no formulário de consentimento inicial, e complementadas caso a caso com a totalidade da informação exigida quando é solicitada a decisão de consentir ou recusar o novo tratamento.
3 Informação e consentimento para depósito de dados no âmbito da ciência aberta
A possibilidade de depósito em acesso aberto, inclusive após um eventual período de acesso embargado, só é admissível para dados irreversivelmente anonimizados e que, antes da anonimização, tenham obtido consentimento específico para a sua divulgação pública. O consentimento deve constar em caixa de seleção autónoma, permitindo que o participante possa participar no estudo inicial, mas decidir se autoriza ou não o depósito dos seus dados em regime de acesso aberto. Todavia, uma vez que os dados disponibilizados publicamente já não constituem dados pessoais, não se aplicam as informações a facultar previstas nas alíneas a)–k).