Sumário: Regulamento Municipal Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais nos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira.
Nos termos do artigo 139.º do Código do Procedimento Administrativo, aprovado em anexo ao Decreto-Lei 4/2015, de 07/01, publica-se o Regulamento 7/2019 - Regulamento Municipal Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais nos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira, aprovado pela assembleia municipal na sua sessão ordinária de 2019/11/21, sob proposta da câmara municipal, aprovada na sua reunião ordinária de 2019/09/25, cujo projeto foi submetido a consulta pública mediante publicação do aviso 8953/2018, no Diário da República, 2.ª série, n.º 125, de 2018/07/02, conforme consta do edital 758/2019, datado de 2019/11/25.
Regulamento 7/2019 - Regulamento Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais nos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira
Preâmbulo
Com a celebração da Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal (Convenção 108) do Conselho da Europa de 1981, com depósito do instrumento de ratificação por Portugal em 2 de setembro de 1993, pela primeira vez foi feita referência aos princípios que nortearam a elaboração da Diretiva 95/46/CE, de 24 de outubro e ao Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
A Diretiva 95/46/CE do Parlamento Europeu e do Conselho visou harmonizar a defesa dos direitos e das liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados e assegurar a livre circulação de dados pessoais entre os Estados-Membros.
A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.
Os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais deverão respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais. O presente Regulamento tem como objetivo contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas singulares.
Em Portugal a Diretiva 95/46/CE, foi transposta para a ordem jurídica portuguesa através da Lei 67/98, de 26 de outubro (Lei da Proteção de Dados Pessoais).
O Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, que define o novo regime jurídico da proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, foi publicado em 4 de maio de 2016 no Jornal Oficial da União Europeia, entrou em vigor a 25 de maio de 2016, sendo de aplicação direta em todos os Estados-Membros a partir de 25 de maio de 2018, e revogou a Diretiva 95/46/CE do Parlamento Europeu e do Conselho.
Os Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira, em conformidade com o artigo 40.º do Regulamento da UE acima mencionado, têm de promover a elaboração de um código de conduta, destinado a contribuir para a correta aplicação do mesmo Regulamento e neste sentido torna-se necessário elaborar um Regulamento, que discipline a recolha de dados pessoais e o respetivo tratamento.
De acordo com o Regulamento Geral sobre a Proteção de Dados (RGPD), entende-se por «dados pessoais», informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular" (cf. n.º 1 do artigo 4.º do RGPD).
Entende-se, por sua vez, por "«tratamento» uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o pagamento ou a destruição" (conforme n.º 2 do artigo 4.º do RGPD).
Este Regulamento designa-se por "Regulamento Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais nos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira".
O conselho de administração na sua reunião de 31 de janeiro de 2018, deliberou o envio à câmara municipal do início do procedimento e participação procedimental relativos à elaboração do Regulamento Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais nos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira.
A câmara municipal na sua reunião de 07 de fevereiro de 2018, deliberou aprovar o início do procedimento e participação procedimental relativo à elaboração do presente Regulamento, com publicitação na internet, no site institucional dos serviços municipalizados, tendo início a 09 de fevereiro de 2018, nos termos do artigo 98.º do Código do Procedimento Administrativo, aprovado em Anexo ao Decreto-Lei 4/2015, de 7 de janeiro.
Por deliberação da câmara municipal, tomada na sua reunião do dia 13 de junho de 2018, foi aprovado o projeto de Regulamento Relativo à Recolha, Tratamento e Livre Circulação de Dados Pessoais nos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira, e submetido o mesmo a consulta pública, pelo prazo de trinta dias úteis contados da data da publicação na 2.ª série do Diário da República, n.º 125, de 2 de julho de 2018, e na internet, no site institucional dos Serviços Municipalizados.
Não foram apresentadas quaisquer pronúncias, observações ou sugestões.
Considerando que foi publicada a Lei 58/2019, de 8 de agosto, que "Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados", tornou-se necessário proceder a algumas alterações ao projeto de regulamento.
Assim,
O presente Regulamento tem por normas habilitantes as disposições conjugadas do n.º 7, do artigo 112.º e artigo 241.º, da Constituição da República Portuguesa, bem como o disposto nos n.os 1 e 2 do artigo 23.º, na alínea g), do n.º 1, do artigo 25.º e na alínea k), do n.º 1 do artigo 33.º, do Anexo I à Lei 75/2013, de 12 de setembro, na redação em vigor, e ainda o disposto na alínea f) do artigo 13.º da Lei 50/2012, de 31 de agosto, do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE, de 24 de outubro de 1995, e a Lei 58/2019, de 8 de agosto, pelo que se submete o mesmo para aprovação pelo conselho de administração para posterior remessa à câmara municipal e à assembleia municipal para aprovação.
Capítulo I
Disposições gerais
Artigo 1.º
Lei habilitante
O presente Regulamento é elaborado ao abrigo e nos termos do artigo 241.º da Constituição da República Portuguesa, do disposto do artigo 135.º do Código do Procedimento Administrativo, aprovado pelo Decreto-Lei 4/2015, de 7 de janeiro, do n.º 1 e 2 do artigo 23.º, na alínea g), do n.º 1, do artigo 25.º, da alínea k), do n.º 1, do artigo 33.º do Anexo I à Lei 75/2013, de 12 de setembro, na redação em vigor, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) e a Lei 58/2019, de 8 de agosto.
Artigo 2.º
Objeto
O presente Regulamento tem por objeto a elaboração de um código de conduta destinado a disciplinar internamente a recolha e tratamento de dados pessoais e à livre circulação desses dados por parte dos Serviços Municipalizados de Água e Saneamento de Vila Franca de Xira, abreviadamente designado por SMAS VFX, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de terceiros, em conformidade com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, doravante designado abreviadamente por RGPD, bem como da legislação nacional aplicável e orientações das autoridades de controlo.
Artigo 3.º
Âmbito de aplicação
O presente Regulamento aplica-se a todos os tratamentos de dados pessoais realizados por parte dos SMAS VFX, nos quais se inclui o tratamento de dados de munícipes do Concelho, de cidadãos portugueses que residam no estrangeiro ou de estrangeiros que se encontrem em território português, que tenham fornecido os seus dados pessoais em virtude de qualquer procedimento efetuado junto destes SMAS VFX.
Artigo 4.º
Definições
Para efeitos do presente Regulamento, entende-se por:
1 - Dados pessoais, informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
2 - Tratamento, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
3 - Responsável pelo tratamento, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
4 - Consentimento do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
5 - Avaliação de impacto sobre a proteção de dados, um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais avaliando-os e determinando as medidas necessárias para fazer face a esses riscos.
Artigo 5.º
Princípios base
1 - Os princípios base do RGPD, e do presente Regulamento, são a transparência, a finalidade, a precisão, a conservação, a integridade e confidencialidade e a responsabilização dos operacionais do tratamento de dados pessoais.
2 - No que se reporta aos princípios acima mencionados, entende-se o seguinte:
a) Por princípio da transparência o processamento dos dados pessoais deve ser feito de forma licita, leal e transparente, com respeito pelos direitos do titular dos direitos de personalidade;
b) Por princípio da finalidade a recolha de dados pessoais deve ser determinada a uma finalidade específica e essa, além de legítima deve ser explícita - os dados pessoais recolhidos devem corresponder ao "mínimo indispensável" para se satisfazer a finalidade pretendida;
c) Por princípio da precisão os dados pessoais devem ser exatos e atualizados sempre que necessário e quando estejam inexatos devem os mesmos ser eliminados ou corrigidos, utilizando para tal todas as medidas adequadas;
d) Por princípio da conservação o prazo de conservação de dados pessoais, não pode exceder o tempo necessário para a concretização da finalidade para as quais os dados pessoais foram recolhidos;
e) Por princípio da integridade e confidencialidade o legislador estabelece o dever de integridade e confidencialidade no tratamento de dados pessoais;
f) Por princípio da responsabilização dos operacionais do tratamento de dados pessoais os operacionais devem ser responsáveis e devem ser responsabilizados por obedecer e compatibilizar o tratamento de dados pessoais com as normas constantes do RGPD, na legislação nacional, bem como no presente Regulamento.
Artigo 6.º
Direitos dos titulares dos dados pessoais
1 - De acordo com o disposto no RGPD, constituem direitos dos titulares dos dados pessoais, os seguintes:
a) O direito à informação, no momento em que os dados são recolhidos, ou caso a recolha dos dados não seja feita diretamente junto deste, logo que os dados sejam tratados o titular dos dados, tem o direito de ser informado sobre:
A finalidade do tratamento e o prazo de conservação;
A base jurídica para o tratamento dos seus dados;
A quem podem ser comunicados e/ou transmitidos os seus dados;
Quais as condições em que pode aceder e retificar os seus dados;
Quais os dados que tem que fornecer obrigatoriamente e quais são opcionais;
O contacto do responsável pelo tratamento dos dados, bem como do encarregado da proteção de dados.
b) O direito de acesso aos dados, o titular dos dados pessoais tem o direito de aceder aos dados que sejam registados sobre si, sem restrições e sem demoras, bem como saber quaisquer informações disponíveis sobre a origem desses dados. O exercício do direito de acesso deve ser feito pelo titular dos dados mediante formulário, em suporte digital ou de papel, dirigido ao responsável pelo tratamento dos dados, tendo o direito de obter uma cópia dos dados num formato acessível, desde que não prejudique os direitos e as liberdades de terceiros.
c) O direito à portabilidade e à interoperabilidade dos dados, quando o tratamento de dados pessoais se realize por meios automatizados e se basear no consentimento prévio do titular dos dados ou na necessidade de cumprimento de uma obrigação contratual, o titular dos dados pessoais tem o direito a:
Receber os seus dados pessoais que foram objeto de tratamento de forma estruturada, em formato aberto ou através de interoperabilidade de sistemas, sempre que seja tecnicamente possível;
Transmitir esses dados a outro responsável por tratamento de dados, sem que o responsável pelo tratamento dos SMAS VFX se possa opor, e desde que o mesmo não prejudique os direitos e as liberdades de terceiros.
d) O direito de retificação, o titular dos dados pessoais tem o direito a solicitar ao responsável pelo tratamento dos dados, mediante formulário, em suporte digital ou de papel, a retificação dos dados pessoais inexatos que lhe digam respeito.
e) O direito à oposição, o titular dos dados pessoais tem o direito de se opor, a seu pedido e gratuitamente, ao tratamento dos seus dados pessoais, nos seguintes casos:
Para efeitos de publicidade direta ou de qualquer outra forma de prospeção, sem o seu prévio consentimento;
Que sejam comunicados a terceiros, salvo disposição legal em contrário;
A que os seus dados, nalguns casos previstos na lei, não sejam objeto de tratamento, por razões ponderosas e legítimas relacionadas com a sua situação particular.
f) O direito ao apagamento e à eliminação ("direito a ser esquecido"), o titular dos dados pessoais tem o direito de exigir que os seus dados sejam eliminados, dos ficheiros de endereços utilizados para efeitos de publicidade.
O direito a ser esquecido é definido pelo direito de os titulares dos dados impedirem a continuação do tratamento dos respetivos dados e de os mesmos serem apagados quando deixarem de ser necessários para fins legítimos. Assim, sempre que uma pessoa singular deixe de permitir o tratamento dos seus dados e não haja razões legítimas para a sua conservação, os dados deverão obrigatoriamente ser apagados.
O exercício do direito de apagamento e à eliminação dos dados é exercido diretamente junto do responsável pelo tratamento dos dados, mediante formulário, em suporte digital ou de papel.
g) O direito à limitação do tratamento, o titular dos dados pode exigir junto do responsável pelo tratamento que este seja limitado a determinados dados, nas seguintes situações:
Contestar a exatidão dos dados pessoais, durante um período que permita ao responsável pelo tratamento verificar a sua exatidão;
O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar em contrapartida a limitação da sua utilização;
O responsável pelo tratamento já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
Se tiver oposto ao tratamento nos termos do exercício do direito à oposição, até se verificar que os motivos legítimos do responsável pelo tratamento prevalecem sobre os do titular dos dados.
2 - Os direitos de informação e de acesso a dados pessoais não podem ser exercidos quando a lei imponha ao responsável pelo tratamento ou subcontratante um dever de segredo que seja oponível ao próprio titular dos dados, podendo o titular dos dados solicita à Comissão Nacional de Proteção de Dados (CNPD) a emissão de parecer quanto à oponibilidade do dever de segredo.
Artigo 7.º
Portabilidade e interoperabilidade dos dados
1 - O direito de portabilidade dos dados, previsto no artigo 20.º do RGPD, abrange apenas os dados fornecidos pelo respetivos titulares.
2 - A portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.
3 - No âmbito da Administração Pública, sempre que a interoperabilidade dos dados não seja tecnicamente possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam entregues num formato digital aberto, de acordo com o Regulamento Nacional de Interoperabilidade Digital em vigor.
Artigo 8.º
Consentimento
1 - O consentimento dado pelo titular dos dados deve ser sempre dado de forma escrita, expressa, livre, específica e informada.
2 - Da declaração de consentimento deve também constar qual o tratamento realizado sobre os dados, qual a finalidade, se existe partilha ou transferência dessa informação com outras entidades e qual o prazo de conservação.
3 - O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade.
4 - Quando o tratamento dos dados for realizado com base no consentimento, o responsável pelo tratamento tem de conseguir demonstrar que tem o consentimento do titular dos dados para o tratamento dos seus dados pessoais.
5 - O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, não comprometendo a licitude do tratamento efetuado com base no consentimento previamente dado.
6 - O consentimento dado tem de ser tão fácil de retirar quanto foi de dar.
Capítulo II
Responsável pelo tratamento de dados
Artigo 9.º
Responsável pelo tratamento de dados pessoais
1 - Nos SMAS VFX, o responsável pelo tratamento dos dados pessoais é o Presidente da Conselho de Administração.
2 - O Presidente do Conselho de Administração pode delegar em qualquer outro membro do conselho de administração a competência para a assinatura dos acordos de processamento de dados.
Artigo 10.º
Competências do responsável pelo tratamento de dados pessoais
1 - São competências do responsável pelo tratamento de dados pessoais:
a) Aplicar as medidas técnicas e organizativas que forem adequadas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento, de forma a poder comprovar que o tratamento é realizado em conformidade com o RGPD, legislação nacional e o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.
b) Comunicar à autoridade de controlo as violações dos dados pessoais que lhe sejam comunicadas pelo encarregado da proteção de dados, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.
c) Comunicar ao titular dos dados pessoais, sem demora injustificada, a violação destes, se a mesma for suscetível de implicar um elevado risco para os seus direitos e liberdades, exceto quando se verifique um dos seguintes casos:
I. O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, nomeadamente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;
II. O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados a que se refere a alínea c) já não for suscetível de se concretizar; ou
III. Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.
d) Proceder, antes de iniciar o tratamento de dados pessoais, a uma avaliação de impacto sobre a proteção dos referidos dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco, bem como consultar a autoridade de controlo. Essa avaliação de impacto deverá incluir, nomeadamente, as medidas, garantias e procedimentos previstos para atenuar esse risco, assegurar a proteção dos dados pessoais e comprovar a observância do cumprimento do RGPD, legislação nacional e do presente Regulamento.
e) Solicitar pareceres ao encarregado de proteção de dados, nos termos da alínea anterior;
f) Apoiar o encarregado de proteção de dados no exercício das suas funções, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.
Artigo 11.º
Responsabilidade dos dirigentes e/ou responsáveis das unidades orgânicas
1 - Todos os dirigentes dos SMAS VFX e/ou responsáveis por unidades orgânicas devem identificar as diferentes atividades que são desenvolvidas nas mesmas, bem como os dados pessoais que são recolhidos e o respetivo tratamento.
2 - Os dirigentes e/ou responsáveis pelas unidades orgânicas devem comunicar ao encarregado da proteção de dados a informação recolhida no ponto anterior e mantê-la atualizada.
Capítulo III
Medidas de segurança
Artigo 12.º
Acesso e arquivamento
1 - O acesso aos dados pessoais recolhidos deve estar devidamente acautelado, no sentido de apenas poderem aceder aos mesmos os trabalhadores que em determinado momento processual estejam a desenvolver algum procedimento que os legitime, devendo ser criado um registo que confirme o acesso, e o mesmo seja informatizado, onde conste o nome do trabalhador, o motivo para a consulta, a data e a identificação do documento/processo.
2 - No caso dos dados pessoais se encontrarem disponíveis fisicamente, estes devem estar devidamente arquivados em locais fechados, sendo que as chaves devem igualmente estar na posse de trabalhadores determinados pelos respetivos dirigentes e/ou responsáveis das unidades orgânicas, devendo, neste caso, ser guardado um registo de acesso aos mesmos, onde conste o nome do trabalhador, o motivo para a consulta, a data e a identificação do documento/processo.
3 - No caso de os dados pessoais constarem de processos arquivados ou a decorrerem em plataformas eletrónicas, os dirigentes e/ou responsáveis pelas unidades orgânicas devem identificar quem tem permissões para aceder aos mesmos e os momentos em que o podem fazer.
Artigo 13.º
Segurança das redes e sistemas de informação
A recolha, tratamento e salvaguarda dos dados pessoais, deve estar assente numa conceção que tenha no seu desenho, como principal objetivo, a segurança, que garanta, nomeadamente o seguinte:
a) Para este efeito deverão ser cumpridos em todas as aplicações e sistemas de informação dos SMAS VFX os requisitos técnicos constantes na Resolução do Conselho de Ministros n.º 41/2018, de 28 de março de 2018, que define as orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais.
b) É da competência dos dirigentes e/ou responsáveis pelas unidades orgânicas determinar os requisitos gerais indicados no número anterior, nomeadamente devem determinar quem tem permissões para recolher e tratar dados pessoais, no âmbito dos processos que coordenam.
c) É da competência da Informática definir e implementar os requisitos específicos indicados na alínea a) do presente artigo.
d) Adicionalmente poderão ser acauteladas e desenvolvidas medidas tecnológicas e procedimentais tendentes a aumentar e garantir os níveis e segurança de todos os dados pessoais e restante informação à sua guarda.
Artigo 14.º
Avaliação de impacto sobre a proteção de dados
1 - A avaliação de impacto sobre a proteção de dados consiste num processo que visa estabelecer e demonstrar a conformidade com o RGPD, legislação nacional e o presente Regulamento.
2 - Nos casos em que as operações de tratamento de dados sejam suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo seu tratamento deverá encarregar-se da realização de uma avaliação de impacto da proteção de dados para determinação, nomeadamente, da origem, natureza, particularidade e gravidade desse risco.
3 - Uma avaliação de impacto sobre a proteção de dados deve conter:
a) Uma descrição do tratamento e das suas finalidades;
b) Uma avaliação da necessidade e da proporcionalidade do tratamento;
c) Uma apreciação sobre os riscos para os direitos e liberdades do titular;
d) Medidas previstas para diminuir os riscos em conformidade com o RGPD, legislação nacional, orientações das autoridades de controlo e o presente Regulamento.
4 - Para além das operações de tratamento sujeitas a uma avaliação de impacto sobre a proteção de dados definidas no RGPD, em legislação nacional, bem como na lista que a autoridade de controlo publicou, através do Regulamento 1/2018, de 30 de novembro, no Diário da República, 2.ª série, n.º 231, de 30 de novembro de 2018, deverão os SMAS VFX efetuar uma avaliação de impacto sobre a proteção de dados nas seguintes situações:
a) A celebração de protocolos de geminação com países fora do âmbito territorial do RGPD, quando exista transferência de dados pessoais que implique um elevado risco para os direitos e liberdades das pessoas singulares;
b) As transferências de base de dados ou de ferramentas eletrónicas na nuvem/internet ou correio eletrónico devem assegurar que o fluxo de transferência dos dados e seu arquivo ocorra em território da União;
c) Sempre que a avaliação de impacto sobre a proteção de dados indicar que o tratamento apresenta um elevado risco que o responsável pelo tratamento não poderá atenuar através de medidas adequadas, atendendo à tecnologia disponível e aos custos de aplicação, será necessário consultar a autoridade de controlo antes de se proceder ao tratamento de dados pessoais.
Artigo 15.º
Procedimentos administrativos
1 - Apenas podem ser recolhidos os dados pessoais para efeitos processuais que forem estritamente necessários.
2 - A lei ou qualquer outro normativo, previamente definido, determina quais são os dados pessoais que são necessários recolher para efeitos processuais.
3 - Caso exista necessidade por parte dos serviços de recolher dados pessoais adicionais que não se encontrem previstos na lei ou em qualquer outro normativo, previamente definido, é necessário obter o consentimento do titular dos dados.
4 - O exercício dos direitos dos titulares dos dados pessoais, referidos no artigo 6.º, do presente Regulamento, deverá ser feito mediante o preenchimento de formulário, em suporte digital ou de papel.
5 - No exercício do direito ao apagamento e à eliminação ("direito a ser esquecido") por parte do titular dos dados pessoais, referido na alínea f) do artigo 6.º do presente Regulamento, o responsável pelo tratamento dos dados da entidade a que tenha sido efetuado o pedido de exercício deste direito, deverá notificar todas as entidades para onde os respetivos dados tenham sido partilhados, para que estas procedam em conformidade com o pedido efetuado.
6 - A documentação rececionada no atendimento ao público deverá ser remetida para o backoffice, ou quando tal não seja possível não deverá estar visível a pessoas terceiras.
7 - Na receção de documentação via correio eletrónico, o consentimento para a recolha e tratamento dos dados pessoais, deve ser solicitado pelo dirigente e/ou responsável pela unidade orgânica a que o assunto se reportar, que deverá solicitar junto do titular a recolha do respetivo consentimento.
8 - O prazo de resposta relativo aos direitos dos titulares deve ser dado sem demora justificada e no prazo máximo de 30 dias.
Artigo 16.º
Atendimento
1 - A comunicação de informação que envolva dados pessoais via telefone, ou correio eletrónico só poderá ser realizada se previamente o titular dos dados tiver dado o consentimento expresso nesse sentido.
2 - No atendimento presencial ao público deverá ser reservada e mantida a distância necessária para uma maior salvaguarda e proteção da privacidade no tratamento dos dados pessoais das pessoas singulares.
Capítulo IV
Encarregado de proteção de dados
Artigo 17.º
Encarregado de proteção de dados
1 - Em cada município existe pelo menos um encarregado de proteção de dados.
2 - Compete à câmara municipal designar o encarregado de proteção de dados, com possibilidade de delegação no conselho de administração, e subdelegação no Presidente do Conselho de Administração.
3 - O encarregado de proteção de dados exerce a sua função com autonomia técnica, não recebe instruções relativamente ao exercício das suas funções, assim como não pode ser destituído nem penalizado pelo responsável pelo tratamento dos dados pessoais, pelo facto de exercer as suas funções.
4 - O encarregado da proteção de dados está obrigado ao dever de sigilo e de confidencialidade durante o exercício de funções, mantendo-se tal dever após o termo das mesmas.
Artigo 18.º
Funções do encarregado de proteção de dados
1 - O encarregado da proteção de dados serve como intermediário entre a autoridade de controlo, os titulares dos dados e o responsável pelo tratamento dos dados, exercendo as seguintes funções:
a) Informa e aconselha o responsável pelo tratamento dos dados, bem como os trabalhadores que tratem os dados pessoais, a respeito das suas obrigações nos termos do presente regulamento;
b) Controla de forma contínua a conformidade com o RGPD, legislação nacional, bem como com o presente Regulamento relativo à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados;
c) Assegura a realização de auditorias, quer periódicas, quer não programadas;
d) Assegura a relação com os titulares dos dados pessoais nas matérias abrangidas pelo RGPD, legislação nacional e o presente Regulamento na proteção dos dados;
e) Presta aconselhamento e emite pareceres, quando tal lhe for solicitado pelo responsável pelo tratamento dos dados, no que respeita à avaliação de impacto sobre a proteção de dados, controlando a sua realização;
f) Coopera com a autoridade de controlo e assegura a manutenção do dossier de conformidade;
g) Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento de dados, incluindo a consulta prévia antes de proceder ao tratamento quando a avaliação de impacto sobre a proteção de dados indicar que do mesmo resultaria um elevado risco;
h) Colabora com o responsável pelo tratamento dos dados pessoais no reporte de qualquer violação de dados pessoais no prazo máximo de 72 horas;
i) Sensibiliza os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança.
2 - No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.
Capítulo V
Situações especiais
Artigo 19.º
Consentimento de menores
1 - O tratamento dos dados pessoais de menores relativos à oferta direta de serviços da sociedade de informação disponibilizados pelos SMAS VFX, e especificamente definidos, é lícito, quando as mesmas deem formalmente o consentimento e já tenham completado 13 anos de idade.
2 - Caso a criança tenha idade inferior a 13 anos, o tratamento só é lícito se o consentimento for dado pelos representantes legais desta, de preferência com recurso a meios de autenticação segura.
Artigo 20.º
Recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos
1 - O titular dos dados deve dar o prévio consentimento para a recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos por parte dos SMAS VFX, bem como deverá ser prestada toda a informação, em linguagem clara e simples, e qual o destino de arquivamento.
2 - Quando a recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos por parte dos SMAS VFX, disser respeito a menores deverá ser obtido o prévio consentimento dos seus representantes legais, privilegiando-se, no entanto, os direitos dos menores optando por captação de imagem de longe e de ângulos em que os mesmos não sejam facilmente identificáveis.
3 - Sempre que existam eventos organizados pelos SMAS VFX, onde não seja proibida a recolha de imagens, som e vídeo, deverá o mesmo ser informado aos titulares dos dados pessoais.
Artigo 21.º
Videovigilância
1 - Sem prejuízo das disposições legais específicas que imponham a sua utilização, nomeadamente por razões de segurança pública, os sistemas de videovigilância cuja finalidades seja a proteção de pessoas e bens asseguram os requisitos previstos no artigo 31.º da Lei 34/2013, de 16 de maio, na versão atual, de onde se destaca o referido no número seguinte.
2 - As câmaras não podem incidir sobre:
a) Vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável, exceto no que seja estritamente necessário para cobrir os acessos ao imóvel;
b) A zona de digitação de códigos de caixas multibanco ou outros terminais de pagamento ATM;
c) O interior de áreas reservadas a clientes ou utentes onde deva ser respeitada a privacidade designadamente instalações sanitárias, zonas de espera e provadores de vestuário;
d) O interior de áreas reservadas aos trabalhadores, designadamente zonas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso.
3 - Nos estabelecimentos de ensino, as câmaras de videovigilância só podem incidir sobre os perímetros externos e locais de acesso, e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção, como laboratórios ou salas de informática.
4 - Nos casos em que é admitida a vídeo vigilância, é proibida a captação de som, exceto no período em que as instalações vigiadas estejam encerradas ou mediante autorização prévia da CNPD.
Artigo 22.º
Proteção de dados pessoais de pessoas falecidas
1 - Quando forem recolhidos ou tratados dados de pessoas falecidas, nomeadamente, os dados pessoais que corresponderem aos de origem racial ou étnica, sobre opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual, ou quando se reportem à intimidade da vida privada, à imagem ou dados relativos às comunicações, torna-se necessário solicitar o consentimento escrito à pessoa que haja sido designada para o efeito, pelo titular dos dados em vida, ou, na sua falta, aos respetivos herdeiros, para divulgar esses mesmos dados pessoais, tendo em consideração as seguintes situações:
a) Se o titular dos dados, em vida, tiver manifestamente tornado público os dados acima mencionados, não é necessário o consentimento.
b) Caso contrário, tem de ser obtido o consentimento escrito e expresso.
2 - Todos os dados pessoais que não sejam identificados no número anterior, podem ser divulgados sem a necessidade de consentimento.
3 - Os direitos de acesso, retificação e apagamento, são exercidos por quem a pessoa falecida haja designado para o efeito, ou, na sua falta, pelos respetivos herdeiros.
4 - Os titulares dos dados podem igualmente, nos termos legais aplicáveis, deixar determinada a impossibilidade de exercício dos direitos referidos no número anterior após a sua morte.
Artigo 23.º
Publicação de dados pessoais
1 - A publicação de dados pessoais em jornais oficiais e plataformas eletrónicas, que sejam da responsabilidade dos SMAS VFX, devem obedecer aos princípios base, mencionados no artigo 5.º do presente Regulamento, nomeadamente ao princípio da finalidade e da minimização.
2 - Sempre que o dado pessoal nome seja suficiente para garantir a identificação do titular dos dados e a eficácia do tratamento, não devem ser publicados outros dados pessoais.
Artigo 24.º
Dados biométricos
O tratamento de dados biométricos dos trabalhadores dos SMAS VFX só pode ser considerado legítimo por razões de controlo de assiduidade e controlo de acessos às instalações do município.
Artigo 25.º
Tratamento e prazo de conservação de dados pessoais
1 - O tratamento e o prazo de conservação de dados pessoais é o que estiver fixado por norma legal, Regulamento municipal ou norma associada à finalidade para a recolha de dados.
2 - O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica, ou fins estatísticos deve respeitar o princípio da minimização dos dados e incluir anonimização ou a pseudonimização dos mesmos sempre que os fins visados possam ser atingidos por uma dessas vias.
3 - Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos, ficam prejudicados os direitos de acesso, retificação, limitação do tratamento e de oposição na medida do necessário, se esses direitos forem suscetíveis de tornar impossível ou prejudicar gravemente a realização desses fins.
Capítulo VI
Disposições finais
Artigo 26.º
Responsabilidade civil, criminal, contraordenacional e disciplinar
A violação das normas do RGPD, legislação nacional, orientações das autoridades de controlo e do presente Regulamento, pode gerar responsabilidade civil, criminal, contraordenacional e disciplinar.
Artigo 27.º
Dúvidas e omissões
Em tudo o que não se encontrar previsto no presente Regulamento, aplica-se subsidiariamente o RGPD, a legislação nacional e as orientações das autoridades de controlo.
Artigo 28.º
Entrada em vigor
O presente Regulamento entra em vigor após a sua publicação no Diário da República.
Aprovado em reunião do conselho de administração em 18/09/2019
Aprovado em reunião da câmara municipal em 25/09/2019
Aprovado em sessão da assembleia municipal em 21/11/2019
26 de novembro de 2019. - O Presidente da Câmara Municipal, Alberto Simões Maia Mesquita.
312803705
