Apoio às Autarquias locais

Colaboração RGPD

A Artigo 80 – Associação Portuguesa para a Defesa do Titular de Dados Pessoais (“Artigo 80”), é uma Associação sem fins lucrativos que tem como objeto promover, fomentar e exercer a defesa dos direitos, liberdades e garantias do titular dos dados quanto à proteção de dados pessoais, bem como promover a formação e cultura jurídica no domínio do direito da privacidade e da proteção dos dados.

A nossa missão só poderá ser concretizada se for possível fazer chegar a nossa mensagem ao cidadão, empresas e organismos públicos. Para tal, a Associação considera as oportunidades de colaboração com as Autarquias locais como cruciais à efetiva proteção dos direitos e liberdades do cidadão, quanto ao tratamento dos seus dados pessoais.

No âmbito das suas atribuições, a Associação Artigo 80 estabelece protocolos de colaboração com organismos públicos e privados para, consoante o RGPD, garantir a implementação por parte destas entidades de mecanismos apropriados de proteção de dados desde a conceção e por defeito, garantindo nomeadamente a supervisão externa dos processos operacionais de tratamento de dados, bem como a condução de auditorias e avaliações de impacto sobre a proteção de dados, conforme o Artigo n.º 35 RGPD.

A Associação Artigo 80 procura, através do estabelecimento destes protocolos de colaboração, apoiar estas entidades a cumprir a lei. Para este efeito, atua como especialista externo e independente, dando assim cumprimento aos requisitos formais previstos no artigo 37.º do RGPD e no artigo 12.º da Lei n.º 58/2019, de 8 de agosto. A Artigo 80 também disponibiliza às Autarquias locais e Associações sem fins lucrativos aconselhamento técnico na implementação de sistemas e ferramentas de gestão da privacidade e para a condução de auditorias periódicas de segurança e privacidade.

O RGPD no contexto das Autarquias locais

As autarquias locais em Portugal têm obrigações específicas em relação à proteção de dados no contexto do RGPD (Regulamento Geral de Proteção de Dados) e da legislação nacional aplicável, nomeadamente a Lei n.º 58/2019 de 8 de agosto, que estabelece o regime de proteção de dados pessoais, e a Lei n.º 26/2016 de 22 de agosto, que aprova o regime de acesso à informação administrativa e ambiental.
De acordo com o RGPD e a legislação nacional aplicável, as autarquias locais são consideradas “Responsáveis pelo tratamento” e, como tal, devem garantir que os dados pessoais que tratam são processados de forma justa, transparente e em conformidade com a legislação de proteção de dados aplicável.
As autarquias locais são obrigadas a nomear um Encarregado de Proteção de Dados (EPD), que é responsável por garantir o cumprimento do RGPD e outras leis aplicáveis em matéria de proteção de dados. Além disso, devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais que processam.
No contexto da Lei de Acesso aos Documentos Administrativos (LADA), as autarquias locais também são obrigadas a disponibilizar informações públicas, mas devem garantir que os dados pessoais contidos nesses documentos sejam protegidos de acordo com a legislação de proteção de dados aplicável.

Bases Jurídicas

Lei n.º 58/2019, de 8 de agosto

CAPÍTULO III

Encarregado de proteção de dados

Artigo 9.º

Disposição geral

1 – O encarregado de proteção de dados é designado com base nos requisitos previstos no n.º 5 do artigo 37.º do RGPD, não carecendo de certificação profissional para o efeito.

2 – Independentemente da natureza da sua relação jurídica, o encarregado de proteção de dados exerce a sua função com autonomia técnica perante a entidade responsável pelo tratamento ou subcontratante.

Artigo 10.º

Dever de sigilo e confidencialidade

1 – De acordo com o disposto no n.º 5 do artigo 38.º do RGPD, o encarregado de proteção de dados está obrigado a um dever de sigilo profissional em tudo o que diga respeito ao exercício dessas funções, que se mantém após o termo das funções que lhes deram origem.

2 – O encarregado de proteção de dados, bem como os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade que acresce aos deveres de sigilo profissional previsto na lei.

Artigo 11.º

Funções do encarregado de proteção de dados

Para além do disposto nos artigos 37.º a 39.º do RGPD, são funções do encarregado de proteção de dados:

a) Assegurar a realização de auditorias, quer periódicas, quer não programadas;

b) Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;

c) Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

Artigo 12.º

Encarregados de proteção de dados em entidades públicas

1 – Nos termos da alínea a) do n.º 1 do artigo 37.º do RGPD, é obrigatória a designação de encarregados de proteção de dados nas entidades públicas, de acordo com o disposto nos números seguintes.

2 – Para efeitos do número anterior, entende-se por entidades públicas:

a) O Estado;

b) As regiões autónomas;

c) As autarquias locais e as entidades supranacionais previstas na lei;

d) As entidades administrativas independentes e o Banco de Portugal;

e) Os institutos públicos;

f) As instituições de ensino superior públicas, independentemente da sua natureza;

g) As empresas do setor empresarial do Estado e dos setores empresariais regionais e locais;

h) As associações públicas.

3 – Independentemente de quem seja responsável pelo tratamento, existe pelo menos um encarregado de proteção de dados:

a) Por cada ministério ou área governativa, no caso do Estado, sendo designado pelo respetivo ministro, com faculdade de delegação em qualquer secretário de Estado que o coadjuvar;

b) Por cada secretaria regional, no caso das regiões autónomas, sendo designado pelo respetivo secretário regional, com faculdade de delegação em dirigente superior de 1.º grau;

c) Por cada município, sendo designado pela câmara municipal, com faculdade de delegação no presidente e subdelegação em qualquer vereador;

d) Nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes, sendo designado pela junta de freguesia, com faculdade de delegação no presidente;

e) Por cada entidade, no caso das demais entidades referidas no número anterior, sendo designada pelo respetivo órgão executivo, de administração ou gestão, com faculdade de delegação no respetivo presidente.

4 – Nos termos do n.º 3 do artigo 37.º do RGPD, pode ser designado o mesmo encarregado de proteção de dados para vários ministérios ou áreas governativas, secretarias regionais, autarquias locais ou outras pessoas coletivas públicas.

5 – Cabe a cada entidade a designação do encarregado de proteção de dados, não sendo obrigatório o exercício de funções em regime de exclusividade.

6 – O encarregado de proteção de dados de uma entidade pública que tenha atribuições de regulação ou controlo não pode exercer essas funções simultaneamente em entidade sujeita ao controlo, ou inserida no perímetro regulatório daquela entidade.