Nos termos do artigo 101.º do Código do Procedimento Administrativo, aprovado em anexo ao Decreto-Lei 4/2015, de 07/01, submete-se a consulta pública, pelo período de trinta dias, o projeto de Regulamento Municipal Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais no Município de Vila Franca de Xira, aprovado pela câmara municipal na sua reunião ordinária de 2018/06/13, conforme consta do edital 439/2018, datado de 2018/06/15.
Projeto de Regulamento Municipal Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais no Município de Vila Franca de Xira
Nota justificativa
Com a celebração da Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal (Convenção 108) do Conselho da Europa de 1981, com depósito do instrumento de ratificação por Portugal em 2 de setembro de 1993, pela primeira vez foi feita referência aos princípios que nortearam a elaboração da Diretiva 95/46/CE, de 24 de outubro e ao Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
A Diretiva 95/46/CE do Parlamento Europeu e do Conselho visou harmonizar a defesa dos direitos e das liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados e assegurar a livre circulação de dados pessoais entre os Estados-Membros.
A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.
Os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais deverão respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais. O presente Regulamento tem como objetivo contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas singulares.
Em Portugal a Diretiva 95/46/CE, foi transposta para a ordem jurídica portuguesa através da Lei 67/98, de 26 de outubro (Lei da Proteção de Dados Pessoais).
O Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril, foi publicado em 4 de maio de 2016 no Jornal Oficial da União Europeia, entrou em vigor a 25 de maio de 2016, sendo de aplicação direta em todos os Estados-Membros a partir de 25 de maio de 2018, e revogou a Diretiva 95/46/CE do Parlamento Europeu e do Conselho.
O município de Vila Franca de Xira, em conformidade com o artigo 40.º do Regulamento da UE acima mencionado, tem de promover a elaboração de um código de conduta, destinado a contribuir para a correta aplicação do mesmo regulamento e neste sentido torna-se necessário elaborar um regulamento municipal, que discipline a recolha de dados pessoais e o respetivo tratamento.
Á luz do Regulamento da UE, entende-se por dados pessoais, "informação relativa a uma pessoa singular identificada ou identificável (titular dos dados), é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular" e por tratamento (de dados pessoais) "uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição" (conforme o artigo 4.º, n.os 1 e 2 do Regulamento).
Este Regulamento municipal designa-se por "Regulamento Municipal Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais no Município de Vila Franca de Xira".
A câmara municipal na sua reunião de 07 de fevereiro de 2018, deliberou aprovar o início do procedimento e participação procedimental relativo à elaboração do presente Regulamento, com publicitação na internet, no site institucional da câmara municipal, tendo início a 09 de fevereiro de 2018, nos termos do artigo 98.º do Código do Procedimento Administrativo, aprovado em Anexo ao Decreto-Lei 4/2015, de 7 de janeiro.
Neste momento e sem prejuízo da legislação que o Estado Português ainda pode publicar para em certas áreas do Regulamento esclarecer algumas situações, foi elaborado o presente projeto de Regulamento.
Assim,
O presente projeto de Regulamento tem por normas habilitantes as disposições conjugadas do n.º 7, do artigo 112.º e artigo 241.º, da Constituição da República Portuguesa, bem como o disposto nos n.os 1 e 2 do artigo 23.º, na alínea g), do n.º 1, do artigo 25.º e na alínea k), do n.º 1 do artigo 33.º, do Anexo I à Lei 75/2013, de 12 de setembro, na redação em vigor, pelo que se submete o mesmo para aprovação da câmara municipal e sujeição a consulta pública, pelo prazo de 30 dias úteis, contados da data de publicação na 2.ª série do Diário da República e na Internet, no site institucional da câmara municipal, podendo os interessados durante o referido período, apresentarem as suas observações e sugestões, dirigidas ao Senhor Presidente da Câmara Municipal, na forma escrita, para o e-mail protecaodedados@cm-vfxira.pt ou na Loja do Munícipe, sita na rua Bartolomeu Dias, n.º 9, Quinta da Mina, 2600-076 Vila Franca de Xira, nos termos do disposto nos artigos 100.º e 101.º do Código do Procedimento Administrativo, aprovado em Anexo ao Decreto-Lei 4/2015, de 7 de janeiro, visando posterior remessa, para aprovação do documento final, à assembleia municipal.
CAPÍTULO I
Disposições gerais
Artigo 1.º
Lei habilitante
O presente Regulamento é elaborado ao abrigo e nos termos do artigo 241.º da Constituição da República Portuguesa, do disposto do artigo 135.º do Código do Procedimento Administrativo, aprovado pelo Decreto-Lei 4/2015, de 7 de janeiro, do n.º 1 e 2 do artigo 23.º, na alínea g), do n.º 1, do artigo 25.º, da alínea k), do n.º 1, do artigo 33.º do Anexo I à Lei 75/2013, de 12 de setembro, na redação em vigor e do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados).
Artigo 2.º
Objeto
O presente Regulamento tem por objeto a elaboração de um código de conduta destinado a disciplinar internamente a recolha e tratamento de dados pessoais e à livre circulação desses dados por parte do município de Vila Franca de Xira, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de terceiros, em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado abreviadamente por RGPD, bem como da legislação nacional aplicável e orientações das autoridades de controlo.
Artigo 3.º
Âmbito de aplicação
O presente Regulamento aplica-se a todos os tratamentos de dados pessoais realizados por parte do município de Vila Franca de Xira, nos quais se inclui o tratamento de dados de munícipes do concelho, de cidadãos portugueses que residam no estrangeiro ou de estrangeiros que se encontrem em território português, que tenham fornecido os seus dados pessoais em virtude de qualquer procedimento efetuado junto deste município.
Artigo 4.º
Definições
Para efeitos do presente regulamento, entende-se por:
1 - Dados pessoais, informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
2 - Tratamento, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
3 - Responsável pelo tratamento, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
4 - Consentimento do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
5 - Avaliação de impacto sobre a proteção de dados, um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais avaliando-os e determinando as medidas necessárias para fazer face a esses riscos.
Artigo 5.º
Princípios base
1 - Os princípios base do RGPD, e do presente Regulamento, são a transparência, a finalidade, a precisão, a conservação, a integridade e confidencialidade e a responsabilização dos operacionais do tratamento de dados pessoais.
2 - No que se reporta aos princípios acima mencionados, entende-se o seguinte:
a) Por princípio da transparência o processamento dos dados pessoais deve ser feito de forma lícita, leal e transparente, com respeito pelos direitos do titular dos direitos de personalidade;
b) Por princípio da finalidade a recolha de dados pessoais deve ser determinada a uma finalidade específica e essa, além de legítima deve ser explícita - os dados pessoais recolhidos devem corresponder ao "mínimo indispensável" para se satisfazer a finalidade pretendida;
c) Por princípio da precisão os dados pessoais devem ser exatos e atualizados sempre que necessário e quando estejam inexatos devem os mesmos ser eliminados ou corrigidos, utilizando para tal todas as medidas adequadas;
d) Por princípio da conservação o prazo de conservação de dados pessoais, não pode exceder o tempo necessário para a concretização da finalidade para as quais os dados pessoais foram recolhidos;
e) Por princípio da integridade e confidencialidade o legislador estabelece o dever de integridade e confidencialidade no tratamento de dados pessoais;
f) Por princípio da responsabilização dos operacionais do tratamento de dados pessoais os operacionais devem ser responsáveis e devem ser responsabilizados por obedecer e compatibilizar o tratamento de dados pessoais com as normas constantes do RGPD, na legislação nacional, bem como no presente Regulamento.
Artigo 6.º
Direitos dos titulares dos dados pessoais
1 - De acordo com o disposto no RGPD, constituem direitos dos titulares dos dados pessoais, os seguintes:
a) O direito à informação;
b) O direito de acesso aos dados;
c) O direito à portabilidade e à transferência dos dados;
d) O direito de retificação;
e) O direito à oposição;
f) O direito ao apagamento e à eliminação ("direito a ser esquecido").
2 - No que se reporta aos direitos dos titulares dos dados pessoais acima mencionados, entende-se o seguinte:
a) Direito à informação, no momento em que os dados são recolhidos, ou caso a recolha dos dados não seja feita diretamente junto deste, logo que os dados sejam tratados o titular dos dados, tem o direito de ser informado sobre:
A finalidade do tratamento e o prazo de conservação;
A base jurídica para o tratamento dos seus dados;
A quem podem ser comunicados e/ou transmitidos os seus dados;
Quais as condições em que pode aceder e retificar os seus dados;
Quais os dados que tem que fornecer obrigatoriamente e quais são opcionais;
O contacto do responsável pelo tratamento dos dados, bem como do encarregado da proteção de dados.
b) Direito de acesso, o titular dos dados pessoais tem o direito de aceder aos dados que sejam registados sobre si, sem restrições e sem demoras, bem como saber quaisquer informações disponíveis sobre a origem desses dados. O exercício do direito de acesso deve ser feito pelo titular dos dados mediante formulário, em suporte digital ou de papel, dirigido ao responsável pelo tratamento dos dados, tendo o direito de obter uma cópia dos dados num formato acessível, desde que não prejudique os direitos e as liberdades de terceiros;
c) Direito à portabilidade e à transferência dos dados, quando o tratamento de dados pessoais se realize por meios automatizados e se basear no consentimento prévio do titular dos dados ou na necessidade de cumprimento de uma obrigação contratual, o titular dos dados pessoais tem o direito a:
Receber os seus dados pessoais que foram objeto de tratamento num formato estruturado, de uso corrente e de leitura automática;
Transmitir esses dados a outro responsável por tratamento de dados, sem que o responsável pelo tratamento do município se possa opor, e desde que o mesmo não prejudique os direitos e as liberdades de terceiros.
d) Direito de retificação, o titular dos dados pessoais tem o direito a solicitar ao responsável pelo tratamento dos dados, mediante formulário, em suporte digital ou de papel, a retificação dos dados pessoais inexatos que lhe digam respeito;
e) Direito à oposição, o titular dos dados pessoais tem o direito de se opor, a seu pedido e gratuitamente, ao tratamento dos seus dados pessoais, nos seguintes casos:
Para efeitos de publicidade direta ou de qualquer outra forma de prospeção, sem o seu prévio consentimento;
Que sejam comunicados a terceiros, salvo disposição legal em contrário;
A que os seus dados, nalguns casos previstos na lei, não sejam objeto de tratamento, por razões ponderosas e legítimas relacionadas com a sua situação particular.
f) Direito ao apagamento e à eliminação ("direito a ser esquecido"), o titular dos dados pessoais tem o direito de exigir que os seus dados sejam eliminados, dos ficheiros de endereços utilizados para efeitos de publicidade.
O direito a ser esquecido é definido pelo direito de os titulares dos dados impedirem a continuação do tratamento dos respetivos dados e de os mesmos serem apagados quando deixarem de ser necessários para fins legítimos. Assim, sempre que uma pessoa singular deixe de permitir o tratamento dos seus dados e não haja razões legítimas para a sua conservação, os dados deverão obrigatoriamente ser apagados.
O exercício do direito de apagamento e à eliminação dos dados é exercido diretamente junto do responsável pelo tratamento dos dados, mediante formulário, em suporte digital ou de papel.
Artigo 7.º
Consentimento
1 - O consentimento dado pelo titular dos dados deve ser sempre dado de forma escrita, expressa, livre, específica e informada.
2 - Da declaração de consentimento deve também constar qual o tratamento realizado sobre os dados, qual a finalidade, se existe partilha ou transferência dessa informação com outras entidades e qual o prazo de conservação.
3 - O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade.
4 - Quando o tratamento dos dados for realizado com base no consentimento, o responsável pelo tratamento tem de conseguir demonstrar que tem o consentimento do titular dos dados para o tratamento dos seus dados pessoais.
5 - O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, não comprometendo a licitude do tratamento efetuado com base no consentimento previamente dado.
6 - O consentimento dado tem de ser tão fácil de retirar quanto foi de o dar.
CAPÍTULO II
Responsável pelo tratamento de dados
Artigo 8.º
Responsável pelo tratamento de dados pessoais
1 - No município de Vila Franca de Xira, o responsável pelo tratamento dos dados pessoais é o Presidente da Câmara Municipal.
Artigo 9.º
Competências do responsável pelo tratamento de dados pessoais
1 - São competências do responsável pelo tratamento de dados pessoais:
a) Aplicar as medidas técnicas e organizativas que forem adequadas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento, de forma a poder comprovar que o tratamento é realizado em conformidade com o RGPD, legislação nacional e o presente Regulamento. Essas medidas são revistas e atualizadas consoante as necessidades;
b) Comunicar à autoridade de controlo as violações dos dados pessoais que lhe sejam comunicadas pelo encarregado da proteção de dados, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso;
c) Comunicar ao titular dos dados pessoais, sem demora injustificada, a violação destes, se a mesma for suscetível de implicar um elevado risco para os seus direitos e liberdades, exceto quando se verifique um dos seguintes casos:
I. O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, nomeadamente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;
II. O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados a que se refere a alínea c) já não for suscetível de se concretizar; ou
III. Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.
d) Proceder, antes de iniciar o tratamento de dados pessoais, a uma avaliação de impacto sobre a proteção dos referidos dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco, bem como consultar a autoridade de controlo. Essa avaliação de impacto deverá incluir, nomeadamente, as medidas, garantias e procedimentos previstos para atenuar esse risco, assegurar a proteção dos dados pessoais e comprovar a observância do cumprimento do RGPD, legislação nacional e do presente Regulamento;
e) Solicitar pareceres ao encarregado da proteção de dados, nos termos da alínea anterior;
f) Apoiar o encarregado da proteção de dados no exercício das suas funções, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.
Artigo 10.º
Responsabilidade dos dirigentes e/ou responsáveis das unidades orgânicas
1 - Todos os dirigentes da câmara municipal e/ou responsáveis por unidades orgânicas devem identificar as diferentes atividades que são desenvolvidas nas mesmas, bem como os dados pessoais que são recolhidos e o respetivo tratamento.
2 - Os dirigentes e/ou responsáveis pelas unidades orgânicas devem comunicar ao encarregado da proteção de dados a informação recolhida no ponto anterior e mantê-la atualizada.
CAPÍTULO III
Medidas de segurança
Artigo 11.º
Acesso e arquivamento
1 - O acesso aos dados pessoais recolhidos deve estar devidamente acautelado, no sentido de apenas poderem aceder aos mesmos os trabalhadores que em determinado momento processual estejam a desenvolver algum procedimento que os legitime, devendo ser criado um registo que confirme o acesso, e o mesmo seja informatizado, onde conste o nome do trabalhador, o motivo para a consulta, a data e a identificação do documento/processo.
2 - No caso dos dados pessoais se encontrarem disponíveis fisicamente, estes devem estar devidamente arquivados em locais fechados, sendo que as chaves devem igualmente estar na posse de trabalhadores determinados pelos respetivos dirigentes e/ou responsáveis das unidades orgânicas, devendo, neste caso, ser guardado um registo de acesso aos mesmos, onde conste o nome do trabalhador, o motivo para a consulta, a data e a identificação do documento/processo.
3 - No caso de os dados pessoais constarem de processos arquivados ou a decorrerem em plataformas eletrónicas, os dirigentes e/ou responsáveis pelas unidades orgânicas devem identificar quem tem permissões para aceder aos mesmos e os momentos em que o podem fazer.
Artigo 12.º
Segurança das redes e sistemas de informação
A recolha, tratamento e salvaguarda dos dados pessoais, deve estar assente numa conceção que tenha no seu desenho, como principal objetivo, a segurança, que garanta, nomeadamente o seguinte:
a) Para este efeito deverão ser cumpridos em todas as aplicações e sistemas de informação do município os requisitos técnicos constantes na Resolução do Conselho de Ministros n.º 41/2018, de 28 de março de 2018, que define as orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais;
b) É da competência dos dirigentes e/ou responsáveis pelas unidades orgânicas determinar os requisitos gerais indicados no número anterior, nomeadamente devem determinar quem tem permissões para recolher e tratar dados pessoais no âmbito dos processos que coordenam e o momento em que cada um pode fazer e solicitar ao dirigente e/ou responsável para Divisão de Infraestruturas Tecnológicas que implementa estas medidas;
c) É da competência da Divisão de Infraestruturas Tecnológicas definir e implementar os requisitos específicos indicados na alínea a) do presente artigo;
d) Adicionalmente poderão ser acauteladas e desenvolvidas medidas tecnológicas e procedimentais tendentes a aumentar e garantir os níveis e segurança de todos os dados pessoais e restante informação à sua guarda.
Artigo 13.º
Avaliação de impacto sobre a proteção de dados
1 - A avaliação de impacto sobre a proteção de dados consiste num processo que visa estabelecer e demonstrar a conformidade com o RGPD, legislação nacional e o presente Regulamento.
2 - Nos casos em que as operações de tratamento de dados sejam suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo seu tratamento deverá encarregar-se da realização de uma avaliação de impacto da proteção de dados para determinação, nomeadamente, da origem, natureza, particularidade e gravidade desse risco.
3 - Uma avaliação de impacto sobre a proteção de dados deve conter:
a) Uma descrição do tratamento e das suas finalidades;
b) Uma avaliação da necessidade e da proporcionalidade do tratamento;
c) Uma apreciação sobre os riscos para os direitos e liberdades do titular;
d) Medidas previstas para diminuir os riscos em conformidade com o RGPD, legislação nacional, orientações das autoridades de controlo e o presente Regulamento.
4 - Para além das operações de tratamento sujeitas a uma avaliação de impacto sobre a proteção de dados definidas no RGPD, em legislação nacional, bem como a lista que a autoridade de controlo tornar pública, deverá o município efetuar avaliação aquando das seguintes situações:
a) A celebração de protocolos de geminação com países fora do âmbito territorial do RGPD, quando exista transferência de dados pessoais que implique um elevado risco para os direitos e liberdades das pessoas singulares;
b) As transferências de base de dados ou de ferramentas eletrónicas na nuvem/internet ou correio eletrónico devem assegurar que o fluxo de transferência dos dados e seu arquivo ocorra em território da União;
c) Sempre que a avaliação de impacto sobre a proteção de dados indicar que o tratamento apresenta um elevado risco que o responsável pelo tratamento não poderá atenuar através de medidas adequadas, atendendo à tecnologia disponível e aos custos de aplicação, será necessário consultar a autoridade de controlo antes de se proceder ao tratamento de dados pessoais.
Artigo 14.º
Procedimentos administrativos
1 - Apenas podem ser recolhidos os dados pessoais para efeitos processuais que forem estritamente necessários.
2 - A lei ou qualquer outro normativo, previamente definido, determina quais são os dados pessoais que são necessários recolher para efeitos processuais.
3 - Caso existam necessidades por parte dos serviços de recolher dados pessoais adicionais que não se encontrem previstos na lei ou qualquer outro normativo, previamente definido, torna-se sempre necessário obter o consentimento do titular dos dados.
4 - O exercício dos direitos dos titulares dos dados pessoais, referidos no artigo 6.º, do presente regulamento, deverá ser feito mediante o preenchimento de formulário, em suporte digital ou de papel.
5 - No exercício do direito ao apagamento e à eliminação ("direito a ser esquecido") por parte do titular dos dados pessoais, referido no ponto f. do artigo 6.º do presente Regulamento, o responsável pelo tratamento dos dados da entidade a que tenha sido efetuado o pedido de exercício deste direito, deverá notificar todas as entidades para onde os respetivos dados tenham sido partilhados, para que estas procedam em conformidade com o pedido efetuado.
6 - A documentação rececionada no atendimento ao público deverá ser remetida para o backoffice, ou quando tal não seja possível não deverá estar visível a pessoas terceiras.
7 - Na receção de documentação via correio eletrónico, o consentimento para a recolha e tratamento dos dados pessoais, deve ser solicitado pelo dirigente e/ou responsável pela unidade orgânica a que o assunto se reportar, que deverá solicitar junto do titular a recolha do respetivo consentimento.
Artigo 15.º
Atendimento
1 - A comunicação de informação que envolva dados pessoais via telefone, serviços eletrónicos ou correio eletrónico só poderá ser realizada se previamente o titular dos dados tiver dado o consentimento expresso nesse sentido.
2 - No atendimento presencial ao público deverá ser reservada e mantida a distância necessária para uma maior salvaguarda e proteção da privacidade no tratamento dos dados pessoais das pessoas singulares.
CAPÍTULO IV
Encarregado da proteção de dados
Artigo 16.º
Encarregado da proteção de dados
1 - A câmara municipal é obrigada a designar um encarregado da proteção de dados.
2 - Compete ao Presidente da Câmara, enquanto responsável pelo tratamento dos dados, a designação do encarregado da proteção de dados.
3 - O encarregado da proteção de dados não recebe instruções relativamente ao exercício das suas funções, assim como não pode ser destituído nem penalizado pelo responsável pelo tratamento dos dados pessoais, pelo facto de exercer as suas funções.
4 - O encarregado da proteção de dados está obrigado ao dever de sigilo durante o exercício de funções, mantendo-se tal dever após o termo das mesmas.
Artigo 17.º
Funções do encarregado da proteção de dados
1 - O encarregado da proteção de dados serve como intermediário entre a autoridade de controlo, os titulares dos dados e o responsável pelo tratamento dos dados, exercendo as seguintes funções:
a) Informa e aconselha o responsável pelo tratamento dos dados, bem como os trabalhadores que tratem os dados pessoais, a respeito das suas obrigações nos termos do presente Regulamento;
b) Controla de forma contínua a conformidade com o RGPD, legislação nacional, bem como com o presente Regulamento relativo à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados;
c) Assegura a realização de auditorias, quer periódicas, quer não programadas;
d) Assegura a relação com os titulares dos dados pessoais nas matérias abrangidas pelo RGPD, legislação nacional e o presente Regulamento na proteção dos dados;
e) Presta aconselhamento e emite pareceres, quando tal lhe for solicitado pelo responsável pelo tratamento dos dados, no que respeita à avaliação de impacto sobre a proteção de dados, controlando a sua realização;
f) Coopera com a autoridade de controlo e assegura a manutenção do dossier de conformidade;
g) Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento de dados, incluindo a consulta prévia antes de proceder ao tratamento quando a avaliação de impacto sobre a proteção de dados indicar que do mesmo resultaria um elevado risco;
h) Colabora com o responsável pelo tratamento dos dados pessoais no reporte de qualquer violação de dados pessoais no prazo máximo de 72 horas.
2 - No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.
CAPÍTULO V
Situações especiais
Artigo 18.º
Consentimento de menores
1 - O tratamento dos dados pessoais de menores relativos à oferta direta de serviços da sociedade de informação disponibilizados pelo município e especificamente definidos, é lícito, quando as mesmas deem formalmente o consentimento e já tenham completado 13 anos de idade.
2 - Caso a criança tenha idade inferior a 13 anos, o tratamento só é lícito se o consentimento for dado pelos representantes legais desta.
Artigo 19.º
Recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos
1 - Deverá o titular dos dados, dar o prévio consentimento para a recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos por parte do município, bem como deverá ser prestada toda a informação, em linguagem clara e simples, e qual o destino de arquivamento.
2 - Quando a recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos por parte do município, disser respeito a menores deverá ser obtido o prévio consentimento dos seus representantes legais, privilegiando-se, no entanto, os direitos dos menores optando por captação de imagem de longe e de ângulos em que os mesmos não sejam facilmente identificáveis.
3 - Sempre que existam eventos organizados pelo município de Vila Franca de Xira, onde não seja proibida a recolha de imagens, som e vídeo, deverá o mesmo ser informado aos titulares dos dados pessoais.
Artigo 20.º
Reuniões de câmara e assembleia municipal on-line
1 - Quando os membros da câmara municipal ou os eleitos da assembleia municipal, dirigentes e outros trabalhadores intervierem nas reuniões da câmara municipal e/ou nas sessões da assembleia municipal, deverá ser solicitado o prévio consentimento dos mesmos para recolha e tratamento de dados pessoais, quando esta situação se verificar, nomeadamente para a desgravação da ata e/ou para transmissão da sua imagem e o som da sua voz, que resultem das intervenções nestas reuniões e/ou sessões efetuadas para a transmissão on-line, sem prejuízo das referidas transmissões, poderem circular em rede, sem condições de segurança, correndo o risco de serem vistos e utilizados por terceiros não autorizados.
2 - Quando existirem intervenções por parte do público inscrito para participar nas reuniões da câmara municipal e/ou sessões da assembleia municipal, deverá ser solicitado o prévio consentimento dos mesmos, para recolha e tratamento de dados pessoais, quando esta situação se verificar, nomeadamente para a desgravação da ata e/ou para transmissão da sua imagem e o som da sua voz, que resultem das intervenções nestas reuniões e/ou sessões efetuadas para a transmissão on-line, sem prejuízo das referidas transmissões, poderem circular em rede, sem condições de segurança, correndo o risco de serem vistos e utlizados por terceiros não autorizados.
3 - A recolha e tratamento dos dados pessoais mencionados nos números anteriores, com ou sem meios automatizados, incluem a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição.
Artigo 21.º
Proteção de dados pessoais de pessoas falecidas
1 - Quando forem recolhidos ou tratados dados de pessoas falecidas, nomeadamente, quando a câmara municipal deliberar sobre votos de pesar, os dados pessoais que corresponderem aos de origem racial ou étnica, sobre opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual, torna-se necessário solicitar o consentimento escrito à pessoa que haja sido designada para o efeito pelo titular dos dados em vida ou, na sua falta, aos respetivos herdeiros para divulgar esses mesmos dados pessoais, existindo duas situações que se indicam:
a) Se o titular dos dados, em vida, tiver manifestamente tornado público os dados acima mencionados não é necessário o consentimento;
b) Caso contrário, tem de ser obtido o consentimento escrito e expresso.
2 - Todos os dados pessoais que não sejam identificados no número anterior, podem ser divulgados sem a necessidade de consentimento.
3 - Independentemente de aprovação e publicitação da proposta de lei a notificação da deliberação da câmara municipal sobre o voto de pesar para um determinado endereço postal ou eletrónico, depende sempre do consentimento escrito dos herdeiros do falecido, assim como em situações idênticas que envolva os dados pessoais de pessoas falecidas.
Artigo 22.º
Publicação de dados pessoais
1 - A publicação de dados pessoais em jornais oficiais e plataformas eletrónicas, que sejam da responsabilidade do município, devem obedecer aos princípios base, mencionados no artigo 5.º do presente Regulamento, nomeadamente ao princípio da finalidade.
2 - Sempre que o dado pessoal nome seja suficiente para garantir a identificação do titular dos dados e a eficácia do tratamento, não devem ser publicados outros dados pessoais.
Artigo 23.º
Dados biométricos
O tratamento de dados biométricos dos trabalhadores da Câmara Municipal de Vila Franca de Xira só pode ser considerado legítimo por razões de controlo de assiduidade e controlo de acessos às instalações do município.
CAPÍTULO VI
Disposições finais
Artigo 24.º
Responsabilidade civil, criminal, contraordenacional e disciplinar
A violação das normas do RGPD, legislação nacional, orientações das autoridades de controlo e do presente Regulamento, pode gerar responsabilidade civil, criminal, contraordenacional e disciplinar.
Artigo 25.º
Dúvidas e omissões
Em tudo o que não se encontrar previsto no presente Regulamento, aplica-se subsidiariamente o RGPD, a legislação nacional e as orientações das autoridades de controlo.
Artigo 26.º
Entrada em vigor
O presente Regulamento entra em vigor após a sua publicação no Diário da República.
15 de junho de 2018. - O Presidente da Câmara Municipal, Alberto Simões Maia Mesquita.
311436239
