Contrato de Prestação de Serviços n.º 22/IFAP/021

NÍVEL DE SEGURANÇA: INFORMAÇÃO PÚBLICA

Contrato de Prestação de Serviços n.º 22/IFAP/021

Entre:

IFAP,IP – INSTITUTO DE FINANCIAMENTO DA AGRICULTURA E PESCAS, I.P., com sede

na Xxx Xxxxxxxx, x.x 00/00, 0000-000 Xxxxxx, pessoa coletiva n.º 508136644, neste ato representado pelo Presidente do Conselho Diretivo, Xxxx Xxxxxx Xxxxx Xxxxxx, cargo para o qual foi nomeado pelo Despacho n.º 446/2021, de 23 de dezembro, publicado no Diário da República (DR), 2ª série, n.º 8, de 13 de janeiro de 2021, como Primeiro outorgante;

E

DELOITTE TECHONOLOGY, S.A. com o número único de matrícula no Registo Comercial de Lisboa e de identificação de pessoa coletiva 502310090, com sede Na Xx.x Xxx.x Xxxxxx Xxxxxxx, 0, 0000-000 Xxxxxx, neste ato representada por Xxxxxx xx Xxxxx Xxx, na qualidade de Administrador, o qual tem poderes para outorgar o presente contrato, conforme documento comprovativo que exibiu, como Segunda outorgante;

E CONSIDERANDO QUE:

a) A decisão de contratar relativa ao objeto do presente contrato foi tomada pelo Conselho Diretivo do IFAP,IP, por Deliberação n.º 206/2022, de 06 de janeiro, nos termos dos artigos 1.º e 5.º da Portaria n.º 6-A/2022, de 29 de dezembro, publicada no DR, 2.ª série, n.º 3, de 05-01-2022, e ao abrigo da competência delegada no seu artigo 6.º e será suportada pela dotação orçamental inscrita no orçamento de funcionamento, para 2022, na atividade 254, na fonte de financiamento 483 e na rubrica de classificação económica 00.00.00.00.00, tendo sido objeto do cabimento n.º 1058 e do compromisso n.º 1071;

b) O presente contrato foi precedido de um procedimento de concurso limitado por prévia qualificação (CLPQ) n.º 01/IFAP/2022, com publicação no Jornal Oficial da União Europeia (JOUE), nos termos da alínea a) do n.º 1 do artigo 20.º e dos artigos 162.º e seguintes do Código dos Contratos Públicos (CCP);

c) A prestação de serviços foi adjudicada pelo Conselho Diretivo do IFAP,IP, por Deliberação n.º 3205, de 07 de julho, no uso da competência delegada no artigo 6.º da Portaria n.º 6-A/2022, de 29 de dezembro, publicada no DR, 2.ª série, n.º 3, de 05- 01- 2022;

d) Foi prestada caução pela segunda outorgante no valor de € 49.922,60 (quarenta e nove mil novecentos e vinte e dois euros e sessenta cêntimos), correspondente a 5% do valor contratual; e,

e) A minuta do presente contrato foi aprovada pela Deliberação do Conselho Diretivo do IFAP,IP referida na alínea c) do presente considerando e no uso da competência nela referida.

É celebrado e reciprocamente aceite o presente contrato, o qual se rege pelas seguintes cláusulas:

Cláusula 1.ª

Objeto

O presente contrato tem por objeto a aquisição dos serviços de consultoria para a identificação e definição da Plataforma Tecnológica e projectos associados de Segurança e Cloud do Ministério da Agricultura no âmbito do Plano de Recuperação e Resiliência (PRR), que integram o LOTE 2 do CLPQ n.º 01/IFAP/2022, para os anos de 2022 a 2025, nos termos e de acordo com as características, as especificações e os requisitos técnicos definidos no ANEXO I ao contrato, do qual faz parte integrante.

Cláusula 2.ª

Local da prestação dos serviços

1. Os serviços objeto do contrato serão prestados nas instalações do Primeiro outorgante sitas em Xxxxxx, Xxx Xxxxxxxx Xxxxxx Xxxxxxx, 0 A e/ou na Xxx Xxxxxxxx 00/00, sem prejuízo do disposto no número seguinte.

2. A prestação dos serviços poderá, sempre que necessário, ter de ser efetuada através de deslocações da Segunda outorgante aos diferentes serviços dos organismos e entidades referidas nos pontos 1, 2 e 3 da alinea c) do número II e VII do Anexo I do presente contrato.

Cláusula 3.ª

Prazo da prestação dos serviços

1. O contrato inicia a respetiva produção de efeitos, materiais e financeiros, após a fiscalização prévia do Tribunal de Contas e cessa a sua vigência, sem prejuízo das obrigações acessórias que devam perdurar para além da cessação, a 30 de setembro de 2025.

2. Todos os sub projectos que não tenham dependências, deverão iniciar-se no prazo máximo de 60 (sessenta) dias após o início da produção de efeitos do contrato.

3. O Cronograma da execução dos trabalhos detalhado por sub projetos apresentado pela Segunda outorgante poderá ser redefinido em sede de Kick-off.

Cláusula 4.ª

Partes integrantes do contrato

1. O presente contrato é constituído pelos seus anexos e integra ainda:

a) Os suprimentos dos erros e omissões do caderno de encargos, identificados pelos concorrentes e expressamente aceites pela entidade adjudicante, nos termos previstos no artigo 61.º do CPP;

b) Os esclarecimentos e as retificações das peças do procedimento;

c) O caderno de encargos;

d) A proposta adjudicada.

2. Em caso de divergência entre os documentos referidos no número anterior, a prevalência é determinada pela ordem pela qual estão indicados.

3. Em caso de divergência entre os documentos referidos no n.º 1 e o clausulado dos contratos e seus anexos, prevalecem os primeiros, salvo quanto aos ajustamentos propostos de acordo com o artigo 99.º do CCP e aceites pelo adjudicatário nos termos do disposto no artigo 101.º do mesmo Código.

Clausula 5.ª

Preço

1. Pela prestação dos serviços objeto do presente contrato, o Primeiro outorgante pagará à Segunda outorgante o montante máximo de € 998 452,00 (novecentos e noventa e oito mil quatrocentos e cinquenta e dois euros), acrescido do imposto sobre o valor acrescentado (IVA) à taxa legal em vigor

2. O preço referido no número anterior inclui todos os custos, encargos e despesas cuja responsabilidade não esteja expressamente atribuída ao Primeiro outorgante.

Cláusula 6.ª

Condições de pagamento e faturação

1. O pagamento dos serviços prestados é efetuado da seguinte forma:

a) Sub projeto “Governance do programa de acompanhamento estratégico e melhoria continua para a transformação do Ministério da Agricultura” - valor proposto no Anexo V do Programa de Procedimento com a aceitação dos entregáveis pelo contraente público;

b) Sub projeto “Programa de acompanhamento estratégico e melhoria continua” - valor proposto, no Anexo V do Programa de Procedimento, em prestações mensais equitativas e cujo período decorrerá desde a aceitação dos entregáveis do subprojecto “Governance do programa de acompanhamento estratégico e melhoria

continua para a transformação do Ministério da Agricultura” ao fim do 3º trimestre de 2025.

2. As faturas com valores apurados nos termos enunciados nos números anteriores devem ser emitidas de forma detalhada pela Segunda outorgante e enviados ao IFAP, IP para a respetiva sede ou por via eletrónica, mediante o acesso à plataforma da Entidade de Serviços Partilhados da Administração Pública, IP (ESPAP,IP), disponível em xxx.xxxxx.xxx.xx

3. A forma e o processo de pagamento regem-se de acordo com as disposições legais que regulamentam a realização e o processamento de despesas da administração central, aplicando-se, em caso de atrasos nos pagamentos, as disposições previstas no CCP e na legislação conexa.

Cláusula 7.ª

Obrigações da Segunda outorgante

Sem prejuízo de outras obrigações previstas na legislação aplicável, constituem obrigações da Segunda outorgante:

a) Cumprir integralmente o presente contrato;

b) Prestar os serviços objeto do contrato nos termos e de acordo com as características, as especificações e os requisitos técnicos definidos no ANEXO I ao presente contrato;

c) Coordenar e implementar todo e qualquer procedimento tendo em vista a realização das ações necessárias a prestação de serviços objeto do presente contrato;

d) Assegurar que os recursos humanos que afeta à prestação dos serviços objeto do contrato, detêm a formação académica ou a experiência profissional, a capacidade, o perfil e integridade profissionais adequadas ao desempenho das tarefas que lhes serão atribuídos, de forma correta, isenta e responsável;

e) Assegurar a substituição, num período máximo 5 dias úteis, de qualquer dos recursos propostos, que detenham a mesma formação e experiência profissional e perfil do recurso substituído;

f) Assegurar a inexistência de situações de incompatibilidade ou de conflito de interesses;

g) Observar as normas e procedimentos em vigor no Primeiro outorgante no âmbito da segurança dos sistemas de informação (ISO 27001:2013), em especial no âmbito da implementação de boas práticas, metodologia e segurança no desenvolvimento, nos acessos à informação e na gestão da mudança, os quais estão disponíveis para consulta;

h) Assegurar os princípios da confidencialidade, integridade e disponibilidade da informação de acordo com as boas práticas de segurança da informação, preferencialmente em conformidade com a norma ISO/IEC 27002:2013, garantindo o alinhamento com a certificação ISO/IEC 27001 do IFAP, I.P.;

i) Cumprir, na qualidade de subcontratante na aceção e para efeitos do disposto no n.º 8 do artigo 4.º do Regulamento (UE) nº 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril (o Regulamento Geral de Proteção de Dados ou RGPD), as regras relativas à proteção das pessoas singulares nos termos do seu artigo 3º do ditado Regulamento e de acordo com as condições definidas no ANEXO II ao presente contrato, do qual faz parte integrante;

j) Observar a Norma de Procedimentos Externa do IFAP, de 25-06-2020, constante do

XXXXX XXX ao presente contrato, do qual faz parte integrante;

k) Nas situações aplicáveis, a solução a implementar tem de obrigatoriamente cumprir a Lei 36/2011 consubstanciada no RNID - REGULAMENTO NACIONAL DE INTEROPERABILIDADE DIGITAL;

l) Todas as interações entre o prestador de serviços e qualquer entidade que seja necessário envolver na execução do seviço deve obrigatoriamente ser efetuada na língua portuguesa, falada e escrita, num nível correspondente ao português não marcado, produzido pelos falantes escolarizados, designado por português padrão.

Cláusula 8.ª

Fiscalização

1. O Primeiro outorgante dispõe de poderes de fiscalização ao modo de execução do contrato, sempre que o julgue necessário, nos termos do artigo 305.º do CCP.

2. Para os efeitos previstos no número anterior, a Segunda outorgante obriga-se a prestar ao Primeiro outorgante ou às entidades por este designadas para o indicado fim, todos os esclarecimentos e informações necessárias à conveniente fiscalização dos trabalhos e a facilitar o acesso aos seus registos informáticos e a outros documentos, às instalações e aos equipamentos utilizados na execução do contrato.

3. Se a verificação vier a revelar que a Segunda outorgante não tem procedido ao cumprimento das suas obrigações contratuais, o Primeiro outorgante pode comunicar-lhe as recomendações que considere necessárias à correção dos defeitos e/ou deficiências eventualmente detetados, estipulando um prazo para a sua implementação, sem prejuízo da aplicação das penalidades ou de outras consequências contratualmente previstas.

4. A Segunda outorgante deve comprometer-se a implementar as recomendações formuladas no prazo estabelecido pelo Primeiro outorgante.

5. Caso as recomendações comunicadas pelo Primeiro outorgante não sejam implementadas no prazo estipulado para o efeito, assiste-lhe a faculdade de resolver o contrato com fundamento em incumprimento, nos termos previstos na cláusula 14.ª.

Cláusula 9.ª

Conflito de interesses

Os técnicos afetos à execução dos contratos devem prestar os serviços objeto do mesmo em respeito pelas regras e procedimentos em vigor no IFAP, I.P. relativamente à disciplina dos conflitos de interesses e de acumulação de funções.

Cláusula 10.ª

Dever de sigilo

1. A Segunda outorgante encontra-se obrigada a garantir o sigilo relativamente a toda a informação e documentação, de que os seus técnicos, ou terceiros por sua conta, xxxxxx a tomar conhecimento, ao abrigo ou em relação com a execução do contrato, sob pena de incorrer em responsabilidade civil e penal.

2. A informação e a documentação cobertas pelo dever de sigilo não podem ser transmitidas a terceiros, nem objeto de qualquer uso ou modo de aproveitamento que não o destinado direta e exclusivamente à execução do contrato.

Cláusula 11.ª

Responsabilidades

1. A Segunda outorgante assume a responsabilidade, por si e pelos técnicos seus trabalhadores ou colaboradores, independentemente do vínculo que com ele possuam, pela perfeita adequação dos trabalhos a realizar aos fins a que se destinam.

2. A Segunda outorgante é responsável por todos os atos e omissões dos quais possam resultar prejuízos para o Primeiro outorgante ou para terceiros, incluindo os praticados por ação ou omissão dos seus trabalhadores ou colaboradores, independentemente do vínculo que com ele possuam, ainda que tais atos ou omissões sejam praticados contra ordens ou instruções que aquela lhes haja transmitido.

3. A Segunda outorgante é responsável perante o Primeiro outorgante por qualquer indemnização que esta tenha de pagar a terceiros e por quaisquer pedidos, processos, danos, custos, perdas e despesas em que este incorra, na medida em que tal resulte de dolo, negligência, incumprimento ou cumprimentos defeituoso por parte da Segunda outorgante de qualquer das obrigações assumidas no contrato.

4. Se o Primeiro outorgante tiver de indemnizar terceiros, ou proceder ao pagamento de custos ou despesas de qualquer natureza, com fundamento na violação das obrigações da Segunda outorgante, goza de direito de regresso contra esta última por todas as quantias despendidas, incluindo as despesas e honorários de mandatários forenses.

Cláusula 12.ª

Casos fortuitos ou de força maior

1. Nenhuma das partes incorrerá em responsabilidade se, por caso fortuito ou de força maior, entendendo-se como tal as circunstâncias, alheias à vontade da parte afetada, que a mesma não pudesse conhecer ou prever à data da celebração do contrato e cujos efeitos, não lhe sendo razoavelmente exigível contornar ou evitar, a impeçam de cumprir as obrigações assumidas com aquele contrato.

2. Podem constituir casos fortuitos ou de força maior, se se verificarem os requisitos do número anterior, designadamente, tremores de terra, inundações, incêndios, epidemias, sabotagens, greves ou outros conflitos de trabalho, atos de guerra ou terrorismo, motins.

3. A ocorrência de situações que possam consubstanciar casos fortuitos ou de força maior, bem como a data previsível para o restabelecimento da normalidade, devem ser comunicadas à outra parte, no prazo máximo de 5 dias após a ocorrência das mesmas ou, se razões devidamente justificadas impedirem o cumprimento deste prazo, assim que seja possível.

Cláusula 13.ª

Execução da caução

1. A caução prestada pode ser executada pelo Primeiro outorgante, sem necessidade de prévia decisão judicial ou arbitral, para satisfação de quaisquer créditos resultantes de mora, cumprimento defeituoso ou incumprimento definitivo, pela Segunda outorgante, das suas obrigações contratuais ou legais, incluindo o pagamento de penalidades ou, ainda, para quaisquer outros efeitos especificamente previstos no contrato ou na lei.

2. A resolução do contrato pelo Primeiro outorgante não impede a execução da caução, desde que para tal haja motivo.

3. A execução parcial ou total da caução referida no n.º 1 da presente cláusula constitui a Segunda outorgante na obrigação de renovar o respetivo valor, no prazo de 15 dias seguidos após notificação do Primeiro outorgante para esse efeito.

Cláusula 14.ª

Resolução do contrato

1. Sem prejuízo de outros fundamentos previstos na lei, nomeadamente nos artigos 333.º a 335.º do CCP, o Primeiro outorgante poderá também resolver o contrato nos casos a seguir indicados:

a) Incumprimento ou cumprimento defeituoso do contrato por facto imputável à Segunda outorgante;

b) Dissolução ou falência da Segunda outorgante;

c) Incumprimento dos prazos determinados, por facto imputável à Segunda outorgante;

d) Cessão da posição contratual ou subcontratações não previamente mencionadas na proposta adjudicada, sem prévia aprovação escrita por parte do Primeiro outorgante;

e) Incumprimento das políticas, práticas e procedimentos de segurança de informação do IFAP, IP, incluindo as relativas às situações de incompatibilidade e de conflitos de interesse;

f) A recusa da implementação das recomendações comunicadas pelo Primeiro outorgante na sequência de ações de verificação e de fiscalização ao cumprimento do contrato.

2. A resolução do contrato não prejudica a utilização plena pelo Primeiro outorgante do que à data se encontrar produzido e entregue.

3. O disposto no presente artigo não prejudica a aplicação de quaisquer penalidades que se mostrem devidas, nem a reclamação de indemnização por danos, nos termos gerais de direito.

Cláusula 15.º

Penalidades do contrato

1. Em caso de incumprimento ou cumprimento defeituoso, pela Segunda outorgante, das obrigações previstas no presente contrato, por razões que lhe sejam imputáveis, e sem prejuízo da aplicação de outras sanções que ao caso couberem, será aplicada, dentro dos limites legalmente previstos, uma sanção pecuniária por dia, calculada de acordo com a seguinte fórmula:

P= V x A/1120 (160 semanas)

em que:

P = montante da penalidade;

V = valor referente ao custo proposto, para a componente alvo de incumprimento;

A = número de dias em que se mantém o incumprimento ou cumprimento defeituoso.

2. A sanção pecuniária prevista no número anterior não obsta a que o Primeiro outorgante exija uma indemnização pelo dano excedente.

3. O Primeiro outorgante poderá deduzir nas quantias devidas à Segunda outorgante, a importância correspondente às penalidades aplicadas, nos termos do n.º 3 artigo 333.º do CCP.

Cláusula 16.ª

Cessão da posição contratual e subcontratações

A cessão da posição contratual ou a subcontratação está sujeita a autorização do Primeiro outorgante e à verificação das demais regras previstas nos artigos 316.º a 319.º do CCP.

Cláusula 17.ª

Modificação objetiva do contrato

A modificação objetiva do contrato, no decurso da sua vigência, está dependente da verificação dos respetivos pressupostos legais.

Cláusula 18.ª

Comunicações

1. Sem prejuízo do trabalho presencial, as comunicações entre o Primeiro outorgante e a Segunda outorgante devem ser redigidas em português e ser efetuadas, preferencialmente, através de correio eletrónico com aviso de entrega ou de outro meio de transmissão escrita e eletrónica de dados, por fax ou, ainda, por meio de carta registada com aviso de receção, para as moradas identificadas no contrato.

2. As notificações e as comunicações consideram-se recebidas:

a) Na data constante da respetiva comunicação de receção transmitida pelo recetor ao emissor, quando efetuadas através de correio eletrónico ou de outro meio de transmissão escrita e eletrónica de dados ou na data constante do relatório de transmissão, quando efetuado através de fax, salvo se efetuadas depois das 17:00 horas do local de receção ou em dia não útil, casos em que se presume que a comunicação foi recebida às 10 horas do dia útil seguinte;

b) Na data de assinatura do aviso de receção ou, na falta dessa assinatura, na data indicada pelos serviços postais, quando efetuadas por carta registada com ou sem aviso de receção.

Cláusula 19.ª

Fiscalização prévia e produção de efeitos

1. O contrato está sujeito à fiscalização prévia do Tribunal de Contas, nos termos da alínea c) do artigo 5.º e do artigo 46.º ambos da Lei de Organização e Processo do Tribunal de Contas, na sua última redação, e só produzirá efeitos materiais e financeiros, no dia seguinte ao da notificação à Segunda outorgante, do visto ou da declaração de conformidade daquele Tribunal, nos termos do n.º 4 do artigo 45.º da mesma Lei.

2. Os encargos relativos aos emolumentos devidos ao Tribunal de Contas por conta do visto a que o contrato está sujeito são da responsabilidade da Segunda outorgante, não podendo ser feitos quaisquer pagamentos sem que se mostrem liquidados os referidos emolumentos.

Cláusula 20.ª

Gestor

Nos termos e para efeitos do disposto no artigo 290.º - A do CCP, o Primeiro outorgante designou como Gestor do contrato o Senhor Dr.º Fausto Portugal, Diretor do Departamento de Sistemas de Informação do IFAP,IP, com a função de acompanhar permanentemente a execução destes.

Cláusula 21.ª

Legislação aplicável

A tudo o que não esteja especialmente previsto no presente contrato aplica-se o disposto no CCP e na legislação conexa.

Cláusula 22.ª

Foro competente

Para a resolução de todos os litígios emergentes do cumprimento do presnete contrato é competente o Tribunal Administrativo do Círculo de Lisboa com renúncia expressa a qualquer outro.

Lisboa, 03 de agosto de 2022

O Primeiro outorgante A Segunda outorgante

XXXX XXXXXX XXXXX XXXXXX

Assinado de forma digital por XXXX XXXXXX XXXXX XXXXXX

Dados: 2022.08.03

11:45:52 +01'00'

[Assinatura

Qualificada

] Xxxxxx xx Xxxxx Xxx

Digitally signed by [Assinatura Qualificada] Xxxxxx xx Xxxxx Xxx

DN: c=PT, o=DELOITTE TECHNOLOGY, S.A.,

2.5.4.97=VATPT-502310090, ou=Certificado para pessoa singular - Assinatura Qualificada, title=Administrador com os poderes indicados na ata nº 32 de 15/06/2022 - Informação confirmada pela Entidade de Certificação apenas na data de emissão e que não foi confirmada posteriormente a essa data, serialNumber=IDCPT-10627663, cn=[Assinatura Qualificada] Xxxxxx xx Xxxxx Xxx

Date: 2022.08.03 09:14:35 +01'00'

Adobe Acrobat version: 2022.001.20169

ANEXO I

CARACTERÍSTICAS, ESPECIFICAÇÕES E REQUISITOS TÉCNICOS DA PRESTAÇÃO DE SERVIÇOS

I CONSIDERANDOS:

I. No final do ano de 2020, o Ministério da Agricultura aprovou um instrumento de orientação estratégica a 10 anos: a Agenda de Inovação para a Agricultura 20|30;

II. A Agenda de Inovação para a Agricultura 20|30 permite responder ao duplo desafio da transição climática e digital e ser a base para a transformação do setor agrícola em Portugal até 2030, apresentando 5 grandes metas, um total de 70 linhas de ação e 15 grandes iniciativas emblemáticas, entre as quais duas estritamente estruturantes para que o Ministério da Agricultura possa concretizar a sua transformação digital: as iniciativas i) Portal Único da Agricultura e ii) Reorganiza;

III. O Plano de Recuperação e Resiliência (PRR) da área Governativa da Agricultura, na sua Componente 5 – Investigação e Inovação – e na reforma “Agenda de investigação e inovação para a sustentabilidade da agricultura, alimentação e agroindústria”, consagra um programa de transformação digital suportado por 5 projetos estruturantes e 1 pólo de inovação digital (cloud), materializado nas seguintes metas:

a. Conclusão de projetos de inovação e investigação focalizados nos aspetos digitais da Agenda de Inovação para a Agricultura 2030 (isto é, 5 projetos estruturantes até ao 3º trimestre de 2025, referentes à dimensão da transição digital)

b. Renovação/requalificação de polos de inovação agrícola (isto é, 24 projetos, um dos quais o pólo de inovação digital, até ao 4º trimestre de 2025, referentes à dimensão da transição climática)

IV. O programa de transformação digital do Ministério da Agricultura, integra assim um total de 6 iniciativas ou projetos e respetivos sub projetos, a saber:

a. Plano de Ação para a Transformação Digital (projeto estruturante n.º 1/transição digital)

i. Visão 360º do agricultor

ii. Diagnóstico de maturidade digital

iii. Diagnóstico de cibersegurança

iv. Estratégia de transformação digital e plano de ação

v. Governance do programa de acompanhamento estratégico e melhoria continua para a transformação do Ministério da Agricultura

vi. Programa de acompanhamento estratégico e melhoria continua

b. Data Lake & Analytics (projeto estruturante n.º 2/transição digital)

i. Assessment às fontes de informação e dados existentes

ii. Programa de Governo de Dados

iii. Data Lake

iv. Políticas de acesso a dados

v. Modelo analítico de suporte ao negócio

vi. Quadro de Desempenho (Dashboard estratégico)

vii. STATSTAT

c. Portal Único (projeto estruturante n.º 3/transição digital)

i. Portal Único da Agricultura

ii. Plataforma de Interoperabilidade (interna e externa)

iii. Evolução dos Sistemas Mobile para suporte à operação (IFAP Mobile+)

iv. Sistema de Avisos Agrícolas

v. SAAF - Sistema de Aconselhamento Agrícola e Florestal

vi. LabAnálises - Sistema de recolha de análises

vii. Sistema de Ferramentas de Gestão Agrícola

viii. Sistema Nacional de Informação do Regadio

ix. SREA - Sistema de Registo de Equipamentos Agrícolas

x. FitoFarm - Desenho e implementação de sistema de gestão de aplicação de produtos fitofarmacêuticos

d. Reogarniza (projeto estruturante n.º 4/transição digital)

i. Modelo organizacional, de governo e competências do Ministério da Agricultura

ii. Definição da estratégia de cibersegurança

iii. Plano de ação para a digitalização e automação de processos

iv. Fábrica de processos - set up

v. Fábrica de processos - implementação de processos prioritários

vi. Programa de gestão da mudança

vii. Programa de formação para a gestão da mudança - capacitação do capital humano

viii. Programa de comunicação para a gestão da mudança

ix. Conceptualização e criação das peças de comunicação para a gestão da mudança

e. Fraude & Fiscalização (projeto estruturante n.º 5/transição digital)

i. Sistema de controlo de fraudes

ii. Sistema de fiscalização

f. Cloud (projeto referente ao pólo de inovação digital/transição climática)

i. Visão e estratégia da Jornada para a Cloud;

ii. Levantamento, avaliação e seleção do parque aplicacional a migrar para a Cloud;

iii. Modelo de governo, modelo operativo e plano de transição para a Cloud;

iv. Definição da arquitetura cloud, landing zone e plano de migração;

v. Set up da arquitura cloud e da landing zone;

vi. Apoio à transformação da cibersegurança;

vii. Infraestrutura Cloud;

viii. Migração Cloud.

V. O programa de transformação digital do Ministério da Agricultura procurará i) acelerar a transição digital e a transição climática do Ministério, fazendo evoluir o seu modelo operativo, modernizando tecnologicamente sistemas e processos, contribuindo para a melhoria da experiência dos utilizadores internos e externos e diminuindo a pegada carbónica; ii) atuar sobre a cultura interna do Ministério da Agricultura no sentido de atingir um desempenho organizacional de excelência e iii) aumentar a relevância dos diferentes serviços do Ministério da Agricultura junto de todos os seus públicos-alvo;

VI. O IFAP, I.P. – Instituto de Financiamento da Agricultura e das Pescas, enquanto instituto público de regime especial, assumiu o papel de beneficiário direto para as 6 iniciativas ou projetos ligados ao programa de transformação digital do Ministério da Agricultura;

VII. Uma vez que ao IFAP,IP cabem as seguintes atribuições:

a. Garantir o funcionamento dos sistemas de apoio e de ajudas diretas nacionais e comunitárias e a aplicação, a nível nacional, das regras comuns para os regimes de apoio direto no âmbito da política agrícola comum;

b. Garantir o cumprimento da função de organismo pagador do Fundo Europeu Agrícola de Garantia (FEAGA) e do Fundo Europeu Agrícola de Desenvolvimento Rural (FEADER);

c. Garantir o cumprimento da função de autoridade de certificação no âmbito do Fundo Europeu dos Assuntos Marítimos e das Pescas (FEAMP), bem como de organismo intermédio, na aceção do Reg. (UE) n.º 508/2014, do Parlamento Europeu e do Conselho, de 15 de maio, e do estabelecido no Decreto-Lei n.º 137/2014, de 12 de setembro, e no Despacho n.º 2650-B/2016, de 19 de fevereiro;

d. Executar a política estratégica na área das tecnologias de informação e comunicação, para o setor da agricultura e pescas, assegurando a construção, gestão e operação das infraestruturas na respetiva área de atuação;

e. Apoiar o desenvolvimento da agricultura e das pescas, bem como do setor agroalimentar, através de sistemas de financiamento direto e indireto.

VIII. O IFAP pretende, através do presente procedimento escolher o parceiro para analisar e desenhar uma solução tecnológica integrada, sob a forma de uma Plataforma Tecnológica para dar resposta а necessidades diversas de operação, а partir de um vasto conjunto de dados não agregados е não estruturados assim como de múltiplos processos de trabalho e de gestão de informação nos diversos organismos do Ministério da Agricultura;

IX. Esta Plataforma Tecnológica será concretizada pela junção dos três primeiros projetos referidos no ponto IV (a, b, c) e os três últimos projetos (d, e, f) que complementam o programa de transformação digital e destinam-se a reforçar as capacidades de cibersegurança dos diferentes organismos do Ministério da Agricultura, assim como a migração para a cloud das aplicações prioritárias e apoiar a transformação organizacional pela implementação de um programa de gestão de mudança e de uma fábrica de processos;

X. Esta Plataforma Tecnológica deve também, de forma inteligente, suportar modelos analíticos e preditivos para melhor apoiar a tomada de decisão no seio do Ministério da Agricultura e definir melhores opções de gestão;

XI. Esta Plataforma e serviços deverá ter em conta, as diversas diretrizes já emanadas pela Administração Pública Portuguesa, nomeadamente:

a. Integração com o serviço xxxxxxxxxxxx.xxx.xx para a autenticação segura de utilizadores e seus atributos;

b. Reutilização de dados disponíveis por outros serviços ou entidades através da AP implementando o princípio once-only;

c. Publicação dos metadados dos dados registados no contexto da realização do serviço no catálogo de dados associado à iAP e sua disponibilização a outros serviços através da iAP;

d. Publicação dos serviços disponíveis e seus metadados no CES-Catálogo de Entidades e Serviços;

e. Integração no portal nacional de serviços públicos xXxxxxxxx.xxx.xx;

f. Disponibilização dos serviços e conteúdos pelo menos nos idiomas português e inglês;

g. Adoção de linguagem clara conforme os guias de boas práticas;

h. Conformidade com as melhores práticas no que respeita a usabilidade e acessibilidade a um nível equivalente ou superior ao exigido pelo "selo de prata de usabilidade e acessibilidade digital";

i. Disponibilização de funcionalidade de avaliação da satisfação com os serviços de acordo com o referencial de avaliação transversal à AP;

j. Disponibilização de dados estatísticas relativos ao atendimento, incluindo volumes, tempos de espera e satisfação para efeitos de priorização de iniciativas estratégicas de melhoria da qualidade dos serviços;

k. Publicação automática, preferencialmente a tempo real, dos dados abertos associados ao serviço;

l. Reutilização dos serviços transversais à AP, nomeadamente: GAP-gateway de mensagens da AP, PPAP-Plataforma de pagamentos da AP: SPNE Serviço Público de Notificações Eletrónicas; LAE-Livro Amarelo Eletrónico; Plataforma de Gestão de Relacionamento da AP;

m. Utilização do framework de adoção de modelos de computação na nuvem nos processos de definição de arquitetura das soluções;

n. Conformidade com as políticas transversais de privacidade de dados da AP;

o. Conformidade com o DNRES-Quadro Nacional de Referência para a Cibersegurança.

Em conformidade com o exposto, são definidas as seguintes cláusulas técnicas:

II. CARACTERÍSTICAS, ESPECIFICAÇÕES E REQUISITOS TÉCNICOS DA PRESTAÇÃO DE SERVIÇOS PARA O LOTE 2

a) Âmbito dos Serviços a prestar pelo prestador de serviços:

1. O IFAP,IP pretende, através do presente procedimento, escolher o parceiro para acompanhamento estratégico e melhoria contínua para a transformação digital do Ministério da Agricultura, isto é, o PMO - Project Management Office. O PMO é fundamental para alinhar todos os stakeholders internos e externos do Ministério da Agricultura e garantir a concretização dos milestones e metas do programa de transformação digital do Ministério da Agricultura.

2. Face ao número de intervenientes abrangidos pelo Plano de Transformação Digital do Ministério da Agricultura bem como à complexidade dos serviços a prestar pelos diversos serviços que irão surgir para a definição e implementação desse mesmo Plano, pretende-se contratar os serviços de uma equipa que apoie o IFAP e coordene as tarefas que conduzam à melhor estratégia de acompanhamento dos diversos projetos que, até ao fim do 3º trimester de 2025, irão surgir no âmbito do PRR.

3. Os serviços a prestar abrangem dois dos sub projetos do Plano de Ação para a Transformação Digital (projeto estruturante n.º 1/transição digital):

a. Governance do programa de acompanhamento estratégico e melhoria continua para a transformação do Ministério da Agricultura

b. Programa de acompanhamento estratégico e melhoria continua

4. Todos os documentos entregáveis elaborados pelo prestador de serviços, no âmbito do presente procedimento, têm que ser claros, seguir uma estrutura standard e serem suficientemente detalhados quanto ao seu conteúdo. Todos os documentos apresentados terão de ser formalmente aceites pelo contraente público.

b) Objetivos Gerais

Com este procedimento pretende-se assegurar uma relação, entre os prestadores se serviços e o Ministério da Agricultura, facilitadora onde as decisões a tomar por parte das entidades

competentes seja depurada de elementos exógenos. Deste modo pretende-se um acompanhemtno dos projetos eficaz e ao mesmo tempo eficiente considerando a eterogeineidade das entidades envolvidas.

c) Identificação das entidades envolvidas

1. São entidades internas do Ministério da Agricultura, a ter em conta no âmbito da prestação dos serviços a contratar:

a. IFAP,IP

b. GPP - Gabinete de Planeamento e Políticas

c. DGADR

d. DGAV

e. INIAV

f. Direções Regionais de Agricultura e Pescas

g. Autoriade de Gestão do PDR

h. IVV

i. IVDP

j. Companhia das Lezírias

k. EDIA – Empresa de Desenvolvimento das Infraestruturas do Alqueva

l. Inspeção Geral

m. Gabinetes dos membros do Governo

2. São Entidades externos ao Ministério da Agricultura, a ter igualmente em conta no âmbito da prestação dos serviços a contratar:

a. Confederações do setor

b. Federações e associações do setor

c. Comissões de Coordenação e Desenvolvimento Regional

d. Comunidades Intermunicipais

e. Municípios

f. INE

e. Entidades do Sistema Científico e Tecnológico Nacional

3. São ainda entidades externas ao Ministério da Agricultura, a ter também em conta no âmbito da prestação dos serviços a contratar:

a. Agricultores

b. Empresas agrícolas e agroindustriais

III. PROJETO ESTRUTURANTE N.º 1 – PLANO DE AÇÃO PARA A TRANSFORMAÇÃO DIGITAL

a) Sub-projetos do Lote 2 que integram o projeto estruturante n.º 1 do presente procedimento

1. O “Plano de Ação para a Transformação Digital” assume-se como o primeiro projeto estruturante ligado ao programa de transformação digital do Ministério da Agricultura.

2. É integrado pelos seguintes sub projetos:

a. Governance do programa de acompanhamento estratégico e melhoria continua para a transformação do Ministério da Agricultura

b. Programa de acompanhamento estratégico e melhoria continua

3. Para os diferentes sub projetos listados no ponto anterior, os proponentes deverão propor a melhor metodologia a desenvolver para cumprir com os objetivos definidos, as atividades a realizar, o planeamento detalhado das mesmas e os entregáveis a considerar.

b) Governance do programa de acompanhamento estratégico e melhoria continua para a transformação do Ministério da Agricultura

1. Com este sub projeto pretende-se definir o programa de acompanhamento estratégico e melhoria contínua para a transformação digital do Ministério da Agricultura, isto é, o PMO - Project Management Office. O PMO é fundamental para alinhar todos os stakeholders internos e externos do Ministério da Agricultura e garantir a concretização dos milestones e metas do programa de transformação digital do Ministério da Agricultura. As propostas dos proponentes devem garantir que o modelo de governo do PMO deve atender até final do terceiro trimestre de 2025.

2. São objetivos deste sub projeto:

a. Definir o modelo de governação do PMO, assim como os perfis das pessoas a envolver e as suas responsabilidades;

b. Definir o modelo de interações entre decisores do Ministério da Agricultura e a equipa do PMO;

c. Definir os entregáveis e modelo de reporting ao longo de todo o PMO.

3. São exemplos de atividades a considerar neste sub projeto:

a. Identificar um conjunto de boas práticas para suportar a governação do PMO;

b. Elaborar uma proposta de modelo de governação do PMO, perfis e responsabilidades das pessoas a envolver;

c. Elaborar uma proposta de modelo de interações entre os decisores do Ministério da Agricultura, assim como de modelo de reporting e os entregáveis do PMO.

4. São entregáveis a considerar no âmbito deste sub projeto:

a. Matriz RACI com os perfis e responsabilidades das pessoas a envolver no PMO;

b. Documento com o modelo de governação, o modelo de interações, o modelo de reporting e os entregáveis do PMO;

c. Cronograma de gestão do PMO.

c) Programa de acompanhamento estratégico e melhoria continua

1. Com este sub projeto pretende-se executar o PMO do programa de transformação do Ministério da Agricultura até ao terceiro trimestre de 2025. Como no decurso deste programa existirão múltiplas outras atividades, transversais a todos os organismos do Ministério da Agricultura, o PMO acaba por ser fundamental para alinhar todos os stakeholders internos e externos do Ministério da Agricultura e garantir a concretização dos milestones e metas definidos.

2. São objetivos deste sub projeto:

a. Garantir a gestão profissional do programa de transformação digital, através de uma equipa dedicada à gestão do projeto (PMO) para fazer cumprir com os resultados esperados e providenciar informação aos decisores do Ministério da Agricultura;

b. Envolver, mobilizar e alinhar todos os stakeholders internos e externos para garantir a sua adesão e minimizar riscos de execução no projeto;

c. Melhorar a satisfação dos stakeholders internos e exernos e identificar as oportunidades de melhoria no projeto.

3. São exemplos de atividades a considerar neste sub projeto:

a. Elaborar o plano de acompanhamento estratégico e de melhoria contínua;

b. Definir e organizar os rituais SCRUM do PMO;

c. Definir os KPI de monitorização e construir o dashboard de gestão do projeto (milestones, metas, resultados, satisfação, execução financeira, entre outros), atualizando-o ao longo do tempo;

d. Desenvolver relatórios de progresso do projeto a apresentar periodicamente aos decisores de topo do Ministério da Agricultura;

e. Construir e atualizar o registo de todas as oportunidades de melhoria identificadas no decurso da execução do projeto e contactar com as equipas de desenvolvimento do projeto fornecendo estas informações para minimizar riscos de execução.

4. São entregáveis a considerar no âmbito deste sub projeto:

a. Cronograma detalhado de atividades até final do terceiro trimestre de 2025;

b. Stakeholder map;

c. Dashboard de gestão de projeto;

d. Relatórios mensais de progresso, contendo os KPI relevantes;

e. Registo trimestral de oportunidades de melhoria ao projeto;

f. Metodologia de avaliação da satisfação;

g. Relatórios trimestrais sobre a satisfação dos stakeholders internos.

ANEXO II

TRATAMENTO DE DADOS PESSOAIS

NOTAS PRÉVIAS

De acordo com o Regulamento (EU) N.º 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril (o Regulamento Geral de Proteção de Dados ou RGPD), entende-se por:

• Dados pessoais - toda a informação relativa a uma pessoa singular identificada ou identificável (titular dos dados). Inclui dados como nome, número de identificação, dados de localização ou outros elementos que permitam chegar à identificação dessa pessoa singular. Estes dados podem constar de qualquer suporte, seja ele físico, virtual, tecnológico, sonoro ou gráfico;

• Tratamento - uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

• Responsável pelo tratamento - a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais;

Os destinatários das comunicações de dados poderão ainda simultaneamente assumir a categoria de:

• Terceiros - pessoa singular ou coletiva, autoridade pública, serviço ou organismo que, não sendo o titular dos dados, nem o responsável pelo tratamento, nem o subcontratante, nem as pessoas que tratam dados pessoais sob a autoridade direta do responsável pelo tratamento ou do subcontratante, esteja autorizada a tratar dados pessoais mediante uma base legal específica para o efeito).

• Subcontratante - pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento desses dados, para as finalidades e com os meios de tratamento por este definidos ou determinados pelo direito da União Europeia ou de um Estado-Membro.

TRATAMENTO DE DADOS PESSOAIS NO ÂMBITO DA PRESTAÇÃO DE SERVIÇOS OBJETO DO CONTRATO

1. O objeto do tratamento de dados pessoais, no âmbito da prestação de serviços objeto do contrato, é limitado:

a) Ao estabelecido no objeto do presente contrato.

2. A duração do tratamento de dados pessoais, no âmbito da prestação de serviços objeto do contrato, é limitada:

a) Ao estabelecido na duração/vigência do presente contrato, a menos que a conservação dos dados seja exigida ao abrigo do direito da União Europeia ou Nacional.

1. As categorias de dados pessoais sujeitos a tratamento, no âmbito da prestação de serviços objeto do contrato, são limitadas às seguintes:

a) DCF - Dados de identificação civil e fiscal

b) DDC - Dados de domicílio e contacto

c) DLG - Dados de Localização Geográfica

d) DIA - Dados de identificação de animais

e) DEC - Dados da exploração pecuária

f) DFI - Dados financeiros

g) DPR - Dados de património móvel

h) DGP - Dados de gestão processual

i) DPS - Dados profissionais

j) DCE - Dados de categorias especiais

2. Os grupos de titulares dos dados pessoais sujeitos a tratamento, no âmbito da prestação de serviços objeto do contrato, são limitados aos seguintes:

a) Beneficiários do IFAP;

b) Colaboradores externos;

c) Colaboradores internos;

d) Outros titulares:

• Fornecedores;

• Procurador/Representante legal;

• Corpos gerentes/Representantes de entidades coletivas;

• Administradores de insolvência;

• Administrador Judicial;

• Representante e cabeças de casal;

• Sócio;

• Candidatos a procedimentos concursais ou mobilidade interna.

5. O tratamento dos dados pessoais identificados no n.º 3 está, no âmbito da prestação de serviços objeto do contrato, é limitado à seguinte finalidade (F):

F01 - Gestão dos pagamentos diretos, investimento e medidas de mercado

F02 - Satisfação dos Stakeholders

F03 - Parcerias e aquisição de bens e serviços F04 - Manutenção de instrumentos de gestão F05 - Auditorias

F06 - Desenvolvimento de competências

F07 - Gestão de Recursos humanos

F08 - Gestão financeira e prestação de contas

e atividades (A) de tratamento:

A01 - Gerir Candidaturas, pedidos de pagamento e outros formulários

A02 - Gerir os controlos administrativos, físico, documental e contabilístico

A03 - Gerir o apuramento e a recuperação de verbas A04 - Gerir a produção e divulgação de informação A05 - Gerir o sistema de identificação de beneficiários A06 - Gerir o sistema de identificação parcelar

A07 - Gerir os sistemas de identificação animal e REAP

A08 - Gerir os sistemas de gestão documental

A09 - Gerir os sistemas de informação

A10 - Gerir processos de contratação, protocolos e outros acordos

A11 - Prestar assessoria jurídica e patrocínio judiciário

A12 - Xxxxxx e credenciar colaboradores internos e externos

A13 - Gerir recursos financeiros

A14 - Contabilizar e prestar contas

A15 - Coordenar auditorias e gerir outras acções similares

A16 - Realizar auditorias

A17 - Gerir recursos humanos

A18 - Gerir outros ativos

6. No âmbito da prestação de serviços, objeto do contrato, o prestador de serviços fica sujeito às seguintes condições no tratamento de dados que efetuar:

a) tratará os dados pessoais de acordo com as instruções escritas do contraente público nos termos previstos na Norma de Procedimento Externa de 25/06/2020, constante do ANEXO III ao Caderno de Encargos, do qual faz parte integrante.

b) Trata dados pessoais e assegura que quem trata dados pessoais o faz apenas de acordo com as instruções escritas que lhe sejam comunicadas, incluindo a “Política de Privacidade do IFAP,IP” disponível no link xxx.xxxx.xx/xxxxxxxxxxx, a Norma de Procedimento Externa de 25/06/2020 (ANEXO III ao Caderno de Encargos), que estabelece os “Procedimentos a observar pelas entidades subcontratantes no âmbito do tratamento de dados pessoais por conta do IFAP, I.P.” ou outros que lhes sejam disponibilizadas para consulta, para o efeito, pelo IFAP;

§ Esta norma:

c) Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;

d) Adota as medidas para garantir um nível de segurança adequado ao risco;

e) Presta apoio ao IFAP através de medidas técnicas e organizativas adequadas, de modo a permitir que o IFAP, enquanto responsável pelo tratamento, possa cumprir a sua obrigação de dar resposta aos pedidos dos titulares dos dados no exercício dos seus direitos previstos no capítulo III do RGPD, nomeadamente o direito de acesso, o direito à retificação ou o direito de portabilidade dos dados;

f) Presta apoio ao IFAP no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.º a 36.º, tendo em conta a natureza do tratamento e a informação que lhe foi disponibilizada;

g) Conserva os dados tratados nos termos e condições que lhe foram comunicadas pelo IFAP;

h) Informa o IFAP sobre o encarregado da proteção de dados que designou e os respetivos contactos;

i) Colabora na realização de auditorias ou outras investigações, conduzidas pelo IFAP, por outro auditor, inspetor, ou perito por este mandatado, pela autoridade de auditoria ou pela autoridade de controlo nacional, a Comissão Nacional de Proteção de Dados (CNPD);

j) Disponibiliza à CNPD as informações de que esta autoridade necessite no exercício das suas funções, bem como o acesso a todas as suas instalações, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União Europeia ou nacional;

l) Cumpre as recomendações que lhe forem feitas pelo IFAP ou pela CNPD e, se for caso disso, da forma e no prazo para o efeito determinado.

m) Conserva um registo escrito e em formato eletrónico com todas as categorias de tratamento realizadas em nome do IFAP do qual constará:

i. As categorias de tratamentos de dados pessoais efetuados;

ii. Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança adotadas nos termos do artigo 32.º do RGPD.

iii. Disponibiliza, a pedido, o registo referido na alínea anterior à CNPD.

iv. Notifica o IFAP sem demora injustificada, após ter conhecimento de uma violação de dados pessoais.

v. Disponibiliza ao IFAP todas as informações necessárias para demonstrar o cumprimento das obrigações previstas na presente cláusula.

7. No âmbito da execução do contrato, o Fornecedor/Subcontratante recorre a outros subcontratantes apenas mediante autorização específica e por escrito do IFAP, I.P. e no respeito pelas mesmas condições que lhe são exigidas e previstas no presente Anexo.

8. No âmbito da prestação de serviços, objeto do contrato, o adjudicatário assume o estatuto de responsável pelo tratamento dos dados pessoais, sempre que, diretamente ou por intermédio de um subcontratante a que tenha recorrido nos termos do número anterior, efetuar tratamentos:

a) para finalidades distintas das definidas pelo IFAP;

b) com recurso a meios de tratamento distintos dos definidos pelo IFAP;

c) contrário às instruções do IFAP, salvo se a tal for obrigado por força de legislação europeia ou nacional aplicável.

ANEXO III

Norma de Procedimentos Externa de 25-06-2020

PROCEDIMENTOS A OBSERVAR PELAS ENTIDADES SUBCONTRATANTES NO ÂMBITO DO TRATAMENTO DE DADOS PESSOAIS POR CONTA DO IFAP, I.P.

INDÍCE

1. ENQUADRAMENTO

1.1. CONSIDERAÇÕES GERAIS

1.2. ENQUADRAMENTO LEGISLATIVO/NORMATIVO

1.3. INTERVENIENTES

1.4. ENTRADA EM VIGOR

2. OBJECTO

3. FORMA

4. SEGURANÇA DO TRATAMENTO

4.1. CONSIDERAÇÕES PRÉVIAS

4.2. REQUISITOS PARA ASSEGURAR A SEGURANÇA DO TRATAMENTO

5. DEVERES DE ASSISTÊNCIA

5.1. ASSISTÊNCIA NA RESPOSTA AOS PEDIDOS DOS TITULARES

5.2. ASSISTÊNCIA EM CASO DE VIOLAÇÃO DE DADOS PESSOAIS

5.3. ASSISTÊNCIA NA AVALIAÇÃO DE IMPACTO E CONSULTA PRÉVIA

6. ARMAZENAMENTO, DESTRUIÇÃO E DEVOLUÇÃO DE DADOS PESSOAIS

7. LOCAIS DE TRATAMENTO

8. PEDIDOS DE AUTORIZAÇÃO E DEVERES DE INFORMAÇÃO - RECURSO A OUTROS SUBCONTRATANTES

9. AUDITORIAS E SUPERVISÕES

1. ENQUADRAMENTO

1.1. CONSIDERAÇÕES GERAIS

Em cumprimento do disposto no Regulamento Geral de Proteção de Dados (RGPD), quando o responsável pelo tratamento recorre a um entidade subcontratante para tratar dados pessoais por sua conta, para além de ter de assegurar que essa entidade apresenta garantias suficientes de cumprir os requisitos do Regulamento, deve:

• Regular esse tratamento através de um acordo escrito (contrato ou outro ato normativo) que vincule o subcontratante ao cumprimento de um conjunto de regras gerais.

• Disponibilizar ao subcontratante instruções documentadas, que concretizem a forma como essas regras gerais devem ser colocadas em prática pelo subcontratante, tendo em vista dar execução ao estabelecido no acordo escrito.

A presente norma tem por objetivo apresentar as instruções a observar pelos subcontratantes que tratam dados pessoais por conta do Instituto de Financiamento da Agricultura e Pescas, I.P. (IFAP)

1.2. ENQUADRAMENTO LEGISLATIVO/NORMATIVO

• Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (RGPD).

• Lei nº 58/2019, de 08 de agosto que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2019/679, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

• Decreto-Lei n.º 22/2013, de 15 de Fevereiro - Estabelece as regras e os procedimentos a adotar pelo IFAP, no processo de delegação de tarefas e competências necessárias à execução da função de pagamento das ajudas e dos apoios financeiros, designadamente no âmbito do Fundo Europeu Agrícola de Garantia, e do Fundo Europeu Agrícola de Desenvolvimento Rural.

• Portaria n.º 58/2017, de 06 de Fevereiro - Aprova o Regulamento de candidatura e pagamento das ajudas, apoios, prémios e outras subvenções a efetuar pelo IFAP, no âmbito das medidas definidas a nível nacional e europeu para a agricultura, assuntos marítimos e pescas e sectores conexos.

• Protocolo para a delegação de tarefas, no âmbito da receção de pedidos de ajuda, do apoio ao beneficiário e atualização do sistema de identificação das parcelas agrícolas, em entidades de natureza privada.

• Protocolo de Articulação Funcional entre o IFAP e as Direções Regionais de Agricultura e Pescas (DRAP), DRDR, DRA e IVBAM.

• Protocolo de Delegação de Funções e Articulação Funcional entre o IFAP e as Autoridades de Gestão.

• Protocolos com outras entidades, nomeadamente, DGADR, DGAV, IVV, IVDP.

1.3. INTERVENIENTES

• IFAP, I.P.

• Subcontratantes que tratam dados pessoais por conta do IFAP, I.P.

1.4. ENTRADA EM VIGOR

A presente norma entra em vigor na data da sua divulgação às Entidades subcontratantes

2. OBJECTO

A presente norma de procedimentos externa (NPE) tem por objeto regular os termos e as condições aplicáveis aos acordos a celebrar entre o IFAP, enquanto responsável pelo tratamento de dados pessoais e os seus subcontratantes, ou seja, pessoas singulares ou coletivas que, procederão ao tratamento de dados pessoais por sua conta para as finalidades e com os meios de tratamento que o IFAP definir ou que estejam determinados pelo direito europeu ou nacional para a prossecução das suas atividades e funções.

3. FORMA

O tratamento de dados pessoais por Entidades subcontratantes é regulado por contrato ou outro ato normativo ao abrigo do direito da União Europeia ou dos Estados – membros, por escrito, incluindo o formato eletrónico.

i. Do acordo escrito a celebrar (contrato ou outro ato normativo) deverá constar a seguinte informação: O objeto e a duração do tratamento de dados pessoais;

ii. O tipo de dados pessoais e as categorias dos titulares dos dados a tratar;

iii. As finalidades, atividades e respetivas tarefas a que o tratamento dos dados pessoais está limitado.

iv. Obrigações do responsável pelo tratamento e do subcontratante, designadamente, as previstas na presente NPE.

4. SEGURANÇA DO TRATAMENTO

4.1. Considerações Prévias

O subcontratante apenas tratará dados pessoais por conta do IFAP, I.P.:

i. Na medida do necessário para a execução das suas tarefas;

ii. Sempre e exclusivamente de acordo com as instruções escritas, incluindo em formato eletrónico, que lhe sejam comunicadas para o efeito pelo IFAP, I.P..

Para assegurar que as instruções do IFAP. relativamente a quaisquer dados pessoais são cumpridas, o subcontratante deverá dispor dos procedimentos adequados à implementação das medidas técnicas necessárias para assegurar o cumprimento de tais instruções, designadamente:

a) Conservar um registo escrito e em formato eletrónico com todas as categorias de tratamento realizadas em nome do IFAP do qual constará:

As categorias de tratamentos de dados pessoais efetuados;

(deverá utilizar para o efeito o modelo disponibilizado em formato excel pela CNPD em xxxxx://xxx.xxxx.xx/xxxx/xxxx/xxxx.xxx).

b) Assegurar que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade.

O modelo de declaração de confidencialidade a subscrever pelos colaboradores dos subcontratantes que estão autorizadas a tratar dados pessoais por conta do IFAP, I.P., enquanto responsável pelo tratamento, consta de anexo I à presente NPE.

4.2. Requisitos para assegurar a segurança do tratamento O subcontratante deverá:

4.2.1. Garantir a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento:

i. A informação é acessível somente a quem tem direito a aceder (confidencialidade);

ii. A informação e respetivos métodos de tratamento são exatos (integridade);

iii. Garantir a autorização de acesso à informação e ativos sempre que necessário (disponibilidade);

iv. Garantir a total operabilidade depois de alguma situação ou falha crítica acontecer (resiliência).

Para o efeito, deverá assegurar as seguintes condições:

a. Aquando da criação das contas de utilizador para o acesso aos sistemas são atribuídos os direitos de acesso estritamente necessários ao desempenho das respetivas funções;

b. Será criado um documento com listas de acessos autorizados aos sistemas, de forma a mapear todos os privilégios dos colaboradores com permissões para os quais foram autorizados. Este documento deve ser atualizado sempre que possível.

4.2.2. Garantir a pseudonimização e criptografia de dados pessoais, adotando mecanismos que reduzam os riscos de exposição dos titulares de dados e possibilitem uma segurança adicional para os responsáveis pelo tratamento, designadamente, adotando soluções de encriptação através de software.

4.2.3. Assegurar a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico.

Para o efeito, deverá adotar a realização de uma política de backups dos dados e software de forma periódica, para proteger contra perdas e danos que possam acontecer.

4.2.4. Garantir a existência e disponibilidade de um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas implementadas.

4.2.5. Garantir a proteção dos dados pessoais durante o armazenamento adotando processos que garantam a sua preservação, integridade e confidencialidade, designadamente:

i. Adotando medidas técnicas e organizativas apropriadas para salvaguardar a segurança das suas redes de comunicações eletrónicas;

ii. Assegurando a segurança das redes utilizadas para transferir ou transmitir dados pessoais do IFAP (incluindo medidas adequadas para assegurar o sigilo das comunicações e impedir a vigilância ou interceção ilegal de comunicações e o acesso não autorizado a qualquer computador ou sistema e, consequentemente, garantindo a segurança das comunicações).

4.2.6. Garantir a segurança física dos locais em que os dados pessoais são tratados assegurando, designadamente, a adoção dos seguintes procedimentos:

i. Impedir o acesso de pessoas não autorizadas à infra-estrutura onde estão armazenados os dados do IFAP, I.P.;

ii. Controlar a entrada e saída de equipamentos, materiais e pessoas por meio de registros de data, horário e responsável;

iii. Utilizar mecanismos que controlem o acesso aos ambientes que guardam backups e computadores com dados confidenciais;

iv. Adotar medidas de segurança dos dados pessoais quando estes se encontrem em suporte físico, v.g., dossiers ou pastas, que devem ser guardados em armários fechados à chave;

v. Proceder à separação física dos processos que contêm dados pessoais do IFAP, daqueles que contêm dados pessoais da responsabilidade do subcontratante.

4.2.7. Assegurar que os colaboradores com acesso autorizado, que tratam dados pessoais da responsabilidade do IFAP, assumem as seguintes responsabilidades:

i. Efetuam as verificações de identidade e de acesso utilizando um sistema de autenticação, bem como uma política de palavras-passe;

ii. Adotam processos de autenticação de utilizadores e administradores, bem como, medidas para proteger o acesso a funções de administração;

iii. Cumprem com os procedimentos de início de sessão segura;

iv. Não efetuam ligações à rede local de equipamentos informáticos sem autorização prévia do responsável da área informática da entidade;

v. Respeitam o previsto nas normas da entidade relativas a Cibersegurança, bem como, as boas práticas relativas à mesma matéria disponíveis no website do Centro Nacional de Cibersegurança.

4.2.8. Implementar medidas técnicas e organizativas adequadas, de modo a permitir que em contexto de teletrabalho são adotados procedimentos de segurança à distância, para que haja um controlo sobre os sistemas, de forma a prevenir e identificar possíveis violações de dados pessoais.

Deverão ser assegurados, designadamente, os seguintes procedimentos:

i. Garantir que os seus colaboradores conhecem e cumprem a política de segurança da informação da organização;

ii. Manter atualizado o registo de autorizações de acesso remoto e implementar as medidas necessárias para restringir o acesso remoto a outras aplicações não autorizadas;

iii. Limitar o uso de VPN, única e exclusivamente, ao cumprimento do objeto do contrato celebrado com o colaborador;

iv. O acesso VPN terá de cumprir os parâmetros de configuração que sejam indicados, bem como, as regras de confidencialidade e de proteção de dados pessoais que impendem sobre os utilizadores.

v. Não será, em situação alguma, permitida a partilha e/ou divulgação de tal acesso e respetivas credenciais de autenticação;

vi. A atuação dos utilizadores terá que respeitar o previsto nas normas da entidade relativas a Cibersegurança, bem como, as boas práticas relativas à mesma matéria disponíveis no website do Centro Nacional de Cibersegurança.

5. DEVERES DE ASSISTÊNCIA

5.1. Assistência na Resposta aos Pedidos dos Titulares

5.1.1. O subcontratante implementa medidas de segurança técnicas e organizativas adequadas, de modo a permitir que o IFAP, enquanto responsável pelo tratamento, possa cumprir a sua obrigação de dar resposta aos pedidos dos titulares dos dados no exercício dos seus direitos previstos no capítulo III do RGPD, nomeadamente, o direito de acesso, o direito à retificação ou o direito de portabilidade dos dados.

Entende-se por “medidas de segurança técnicas e organizativas adequadas” aquelas que são aptas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente, quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.

5.1.2. O subcontratante adota medidas para garantir um nível de segurança adequado ao risco, nos termos do artigo 32.º do RGPD, nomeadamente, os requisitos técnicos mínimos das redes e sistemas de informação aprovados pela Resolução do Conselho de Ministros n.º 41/2018, de 22 de Março, publicada no Diário da República, 1.ª série, n.º 62, de 28 de Março de 2018.

5.1.3. Qualquer solicitação recebida diretamente do titular dos dados deverá ser comunicada ao IFAP.

5.1.4. O subcontratante poderá comunicar dados pessoais das seguintes categorias de titulares:

• Beneficiário;

• Representante/procurador;

• Representante de pessoas coletivas;

• Sócios de pessoas coletivas

• Administradores de insolvência;

• Cabeça-de-casal/herdeiros;

• Colaboradores, do IFAP.

Desde que, tenham sido solicitados mediante requerimento que claramente identifique o requerente, o titular e os dados pessoais pretendidos e a finalidade a prosseguir com os mesmos, e após uma prévia análise e ponderação ao abrigo da alínea a) ou b) do n.º 5 do artigo 6.° da Lei n.º 26/2016, de 22 de Agosto (Lei de Acesso aos Documentos Administrativos ou LADA), consoante os casos, da qual resulte que o requerente:

a) Está munido de autorização escrita do titular dos dados que seja explícita e específica quanto à sua finalidade e quanto ao tipo de dados a que quer aceder;

b) Demonstrou fundamentadamente ser titular de um interesse direto, pessoal, legítimo e constitucionalmente protegido suficientemente relevante, após ponderação, no quadro do princípio da proporcionalidade, de todos os direitos fundamentais em presença e do princípio da administração aberta, que justifique o acesso à informação.

5.2. Assistência em Caso de Violação de Dados

O subcontratante notifica de imediato o IFAP, no prazo de 24 horas, após ter conhecimento de uma violação de dados pessoais, designadamente, a sua destruição acidental, não autorizada

ou ilegal, perda, alteração ou divulgação ou o acesso a dados pessoais do IFAP (violação de segurança).

i. A notificação, a efetuar pelo responsável pelo tratamento de dados do subcontratante é dirigida ao Conselho Diretivo do IFAP;

ii. A notificação deverá conter informação sobre a violação de dados, designadamente, a seguinte:

• Descrição e análise do incidente;

• Identificação do tipo de dados que foram objeto de violação;

• Identidade de cada titular afetado, ou, se tal não for possível, o número aproximado de titulares de dados e dos registos em causa;

• Medidas corretivas já adotadas ou a implementar;

• Data e hora de início e de fim da violação de dados pessoais;

• Descrição das consequências prováveis do incidente.

iii. A referida comunicação deverá incluir as informações relativas aos dados de identificação e dados de contacto do subcontratante;

iv. A comunicação deverá ser acompanhada do formulário constante do anexo II à presente NPE devidamente preenchido.

5.3. Assistência na Avaliação de Impacto e Consulta Prévia

Quando solicitado pelo IFAP, o subcontratante colocará à sua disposição todas as informações necessárias para demonstrar o cumprimento pelo mesmo da legislação aplicável em matéria de proteção de dados pessoais, auxiliará o IFAP na concretização de qualquer avaliação de impacto sobre a proteção de dados e colaborará na implementação de ações de mitigação dos riscos de privacidade identificados.

6. ARMAZENAMENTO, DESTRUIÇÃO E DEVOLUÇÃO DE DADOS PESSOAIS

6.1. O subcontratante apaga ou devolve todos os dados pessoais depois de concluído o tratamento, apagando as cópias existentes, consoante a escolha do responsável pelo tratamento que for indicada.

6.2. Nos casos em que seja determinada a devolução dos dados, o subcontratante assegura que esta ocorre no prazo e termos estipulados pelo IFAP, e ainda:

i. A devolução abrange os suportes físicos de formulários, ou outros documentos contendo dados pessoais;

ii. No caso de formulários ou outros documentos desmaterializados, o seu envio ao IFAP é concretizado pela sua submissão por upload.

iii. O envio de ficheiros contendo dados pessoais, por email, através de serviços de download ou cloud pressupõe a utilização de ferramentas adequadas ao envio garantindo que, em caso de interceção dos dados, somente o destinatário poderá abri-los (v.g. proteção de ficheiros com password, recurso a ficheiros zip encriptados e protegidos por password).

Caso o IFAP determine que após o tratamento de dados acordado, o subcontratante, procederá à destruição de todos os dados pessoais deverá este, junto do responsável demostrar que o fez.

6.3. O apagamento dos dados pessoais que lhe incumbe tratar por conta do IFAP, I.P. é efetuado de acordo com as suas instruções expressas por escrito.

6.4. Quando, pela natureza e finalidade do tratamento, designadamente, para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos, não seja possível determinar antecipadamente o momento em que o tratamento deixa de ser necessário, o IFAP, I.P. poderá determinar ao subcontratante que assegure a conservação dos dados pessoais

6.5. Para esse efeito, o subcontratante deverá assegurar a adoção de medidas técnicas e organizativas adequadas a garantir os direitos do titular dos dados, designadamente, quanto à informação da sua conservação.

6.6. Após o termo ou caducidade do contrato, os dados pessoais que não estejam sujeitos a regras específicas sobre a sua conservação devem, de acordo com a exclusiva decisão do IFAP,

I.P. ser destruídos.

7. LOCAIS DE TRATAMENTO

O tratamento de dados pessoais ocorrerá nas instalações do subcontratante.

8. PEDIDOS DE AUTORIZAÇÃO E DEVERES DE INFORMAÇÃO - RECURSO A OUTROS SUBCONTRATANTES

8.1. O subcontratante apenas poderá recorrer a outros subcontratantes mediante autorização específica e por escrito do IFAP no respeito pelas mesmas condições que são exigidas e previstas para o subcontratante outorgante do contrato com o IFAP, I.P..

O pedido de autorização deverá ser acompanhado de minuta de contrato a celebrar entre subcontratantes.

O subcontratante outorgante do contrato com o IFAP assume o estatuto de responsável pelo tratamento dos dados pessoais, sempre que, diretamente ou por intermédio de um subcontratante a que tenha recorrido nos termos do número anterior, efetuar tratamentos:

i. Para finalidades distintas das definidas pelo IFAP, I.P.;

ii. Com recurso a meios de tratamento distintos dos definidos pelo IFAP, I.P.;

iii. Contrário às instruções do IFAP, salvo se a tal for obrigado por força de legislação europeia ou nacional aplicável.

9. AUDITORIAS E SUPERVISÕES

9.1. O subcontratante colabora na realização de auditorias ou outras investigações conduzidas pelo IFAP, por outro auditor por este mandatado, ou, pela autoridade de controlo nacional, a CNPD.

9.2. Disponibiliza à CNPD as informações de que esta autoridade necessite no exercício das suas funções, bem como o acesso a todas as suas instalações, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros;

9.3. Cumpre as recomendações que lhe forem transmitidas pelo IFAP, ou pela CNPD e, se for caso disso, da forma e para o efeito indicados e no prazo determinado.

9.4. Disponibiliza, a pedido, o registo referido no número 9.2., à CNPD.

9.5. Disponibiliza ao IFAP, todas as informações necessárias para demonstrar o cumprimento das obrigações previstas na presente NPE.

9.6. Informa sobre o encarregado da proteção de dados que designou e respetivos contactos.

Anexo I (à NPE) (Compromisso de Confidencialidade)

(nome), na qualidade de colaborador de -- (entidades a que pertence) -- declara que irá zelar pela segurança e confidencialidade dos dados pessoais a que vier a ter acesso, os quais não serão utilizados para fins diversos dos abrangidos por uma obrigação legal, profissional ou outra obrigação vinculativa de confidencialidade.-------------

Anexo II (à NPE)

(Dados Necessários para Preenchimento do Formulário de Notificação à CNPD da “Violação de Dados Pessoais”)

3 INFORMAÇÃO SOBRE VIOLAÇÃO DE DADOS

Descrição da violação Hora/data início da violação Hora/data fim da violação

Hora/data em que teve conhecimento da violação Razão para o atraso na notificação

Forma como a violação foi identificada

Tipo de violação: Integridade: □ Confidencialidade □ Disponibilidade □

Natureza da violação: Equipamento perdido ou roubado □ Documentos perdidos ou

roubados □ Correio perdido ou acedido indevidamente □ Hacking/malware/phishing □ Outra □

Causa da violação: ato interno não malicioso □ ato interno malicioso □ ato externo não malicioso

□ ato externo malicioso □ outra □

4 CONSEQUÊNCIAS DA VIOLAÇÃO DE DADOS

A utilização dos dados pode ter consequências para o titular dos dados? Quais

Grau de impacto nos utilizadores

5 DADOS PESSOAIS ENVOLVIDOS

Qual o tipo dados pessoais envolvidos

• Nome do titular

• Número de identificação

• Dados de morada

• Dados de contacto

• Dados de perfil

• Dados comportamentais

• Dados de saúde

• Dados genéticos

• Dados de localização

• Dados biométricos

• Dados relativos a crédito e solvabilidade

• Dados bancários

• Dados de recursos humanos

• Dados de faturação

• Dados relativos à atividade letiva

• Dados relativos a convicções filosóficas

• Dados relativos à filiação partidária

• Dados relativos a orientações sexuais

• Imagem

• Voz

• Outros

Foi possível determinar o número de titulares afetado? Qual o número?

6 TITULARES DOS DADOS

Tipo de titulares envolvidos:

• Trabalhadores

• Utilizadores

• Subscritores

• Alunos

• Militares

• Clientes

• Pacientes

• Menores

• Indivíduos vulneráveis

• Outros

7 INFORMAÇÃO AOS TITULARES DOS DADOS

Os titulares dos dados foram informados da violação? Data da comunicação da violação

Forma de comunicação da violação Número de titulares contactados Mensagem que foi remetida aos titulares

8 MEDIDAS PREVENTIVAS/CORRETIVAS

Que mecanismos de segurança existiam antes da violação Que medidas foram aplicadas para corrigir/mitigar a violação 9 TRATAMENTOS TRANSFRONTEIRIÇOS

Existe tratamento de dados transfronteiriço?

A violação vai ser notificada diretamente a outra autoridade de controlo de fora da UE? A violação será notificada a outros reguladores europeus, por razões legais?