Regulamento 224/2020

Sumário: Regulamento Municipal de Proteção de Dados do Município de Elvas.

Dr. Carlos Alexandre Henriques Saldanha, Diretor do Departamento de Administração Geral e Recursos Humanos do Município de Elvas, com subdelegação de competências conferidas por despacho de 8 de abril de 2019.

Torna público que, a Assembleia Municipal de Elvas, em sua sessão ordinária de 28 de fevereiro de 2020, aprovou o Regulamento Municipal de Proteção de Dados do Município de Elvas oportunamente aprovado em reunião de Câmara Municipal realizada no dia 12 de fevereiro de 2020 e para os efeitos legais é feita a presente publicação do referido regulamento.

28 de fevereiro de 2020. - O Diretor de Departamento, Dr. Carlos Alexandre Henriques Saldanha.

Regulamento Municipal de Proteção de Dados do Município de Elvas

Preâmbulo

O Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679), de 27 de abril de 2016, doravante designado de RGPD, entrou em vigor no dia 25 de maio de 2018, aprovado pela Comissão Europeia e relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).

A Lei 58/2019, de 8 de agosto, assegura a execução, na ordem jurídica nacional, do RGPD, sendo a Comissão Nacional de Proteção de Dados, doravante designada de CNPD, a autoridade de controlo nacional para efeitos do RGPD, da Lei 58/2019, de 8 de agosto, e das demais disposições legais e regulamentares em matéria de proteção de dados pessoais, com o objetivo de defender os direitos, liberdades e garantias das pessoas singulares no âmbito do tratamento de dados pessoais.

O Município de Elvas, como qualquer entidade pública ou privada que proceda ao tratamento de dados pessoais, encontra-se abrangido pelo RGPD, porém verifica-se uma lacuna no que diz respeito a uma política de proteção de dados de âmbito municipal.

Numa lógica de salvaguarda dos dados pessoais dos cidadãos que interagem com o Município de Elvas e para auxiliar os serviços municipais, os cidadãos e as empresas na prossecução do disposto no RGPD e na Lei 58/2019, de 8 de agosto, o Município de Elvas elaborou o Regulamento Municipal de Proteção de Dados do Município de Elvas, doravante designado de RMPD. O presente Regulamento apresenta-se como complementar à legislação em vigor, e afirma-se como fundamental para a atuação do Município de Elvas, enquanto responsável pelo tratamento de dados pessoais.

O RMPD não substitui o disposto no RGPD, na Lei 58/2019, de 8 de agosto, na legislação especial relativa à proteção de dados pessoais e nas demais disposições legais e regulamentares em matéria de proteção de dados pessoais. Pretende dar resposta à implementação do RGPD e da Lei 58/2019, de 8 de agosto, tendo em conta as especificidades dos serviços da Município e apresentando um conjunto de minutas e documentos necessários ao cumprimento das obrigações do mesmo enquanto responsável pelo tratamento de dados pessoais, em tudo o que não contrarie a legislação supramencionada.

As situações não previstas e/ou não contempladas e/ou não referenciadas no presente Regulamento regem-se pelo disposto no RGPD, na Lei 58/2019, de 8 de agosto, e nas demais disposições legais e regulamentares em matéria de proteção de dados pessoais.

O presente Regulamento, apesar de fazer referência a normas e medidas organizativas internas, excede uma lógica meramente interna, uma vez que estas mesmas normas e medidas produzem um efeito externo, isto é, influenciam a relação entre os titulares dos dados pessoais e o Município de Elvas, enquanto responsável pelo tratamento desses dados. Com base nesta premissa e pelo facto de apresentar uma panóplia de destinatários, considera-se que o RMPD é um regulamento com eficácia externa.

O projeto de Regulamento foi submetido por 30 dias a consulta pública mediante publicação do Aviso 20020/2019 na 2.ª série do Diário da República, n.º 240, de 13 de dezembro de 2019, nos termos e para os efeitos do artigo 101.º do Código do Procedimento Administrativo, sem prejuízo da demais publicitação legal.

Não foram prestados quaisquer contributos no âmbito da consulta pública.

Regulamento Municipal de Proteção de Dados do Município de Elvas

Capítulo I

Disposições Gerais

Artigo 1.º

Lei habilitante

O Regulamento Municipal de Proteção de Dados do Município de Elvas é elaborado ao abrigo e nos termos do disposto no artigo 241.º da Constituição da República Portuguesa; no artigo 135.º e seguintes do Código do Procedimento Administrativo; no artigo 4.º, no n.º 1 do artigo 23.º, na alínea g) do n.º 1 do artigo 25.º e na alínea k) do n.º 1 do artigo 33.º do Regime Jurídico das Autarquias Locais aprovado pela Lei 75/2013, de 12 de setembro, na sua redação atual; no artigo 24.º do Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679), de 27 de abril de 2016; e na Lei 58/2019, de 8 de agosto.

Artigo 2.º

Objeto, Âmbito e Objetivos Gerais

1 - O presente Regulamento estabelece as regras, os termos e as condições pelas quais se rege a atuação do Município de Elvas, enquanto responsável pelo tratamento de dados pessoais, tendo em consideração o disposto na legislação atualmente em vigor.

2 - O presente Regulamento visa:

a) Disciplinar, sistematizar e uniformizar a proteção de dados pessoais no âmbito do Município de Elvas.

b) Promover, defender e garantir, de forma complementar ao regime legal vigente, os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais e os seus direitos enquanto titulares dos dados, aquando da sua interação com o Município de Elvas, de forma indiscriminada.

c) Consolidar a implementação do RGPD no âmbito da ação e da atuação do Município de Elvas, enquanto responsável pelo tratamento de dados pessoais.

d) Definir a atuação dos serviços municipais, no âmbito da recolha e do tratamento de dados pessoais.

3 - São destinatários do presente Regulamento:

a) Os serviços municipais inseridos na Estrutura Orgânica Interna da Câmara Municipal de Elvas.

b) Os funcionários, trabalhadores e outros colaboradores do Município de Elvas.

c) Os contraentes de aquisições de bens e serviços, empreitadas ou detentores de concessão municipal.

d) Todas as pessoas singulares que, a qualquer título, se relacionem com a Câmara Municipal de Elvas.

Capítulo II

Política Geral de Privacidade

Artigo 3.º

Responsável pelo tratamento

É o Município de Elvas sito na Rua Isabel Maria Picão S/N, 7350-476 Elvas, contactável através do website http://www.cm-elvas.pt/municipio/informacoes/ ou e-mail geral@cm-elvas.pt ou telefone +351 268 639 740 ou presencialmente no horário de atendimento do Balcão Único do Município de Elvas.

Artigo 4.º

Encarregado de proteção de dados

1 - Nos termos do artigo 37.º do RGPD e dos artigos 9.º e 12.º da Lei 58/2019, de 8 de agosto, o Município de Elvas designa um encarregado de proteção de dados que pode ser contactado através do e-mail: rgpd.dpo@cm-elvas.ptrgpd.dpo@cm-elvas.ptrgpd.dpo@cm-elvas.ptrgpd.dpo@cm-elvas.ptrgpd.dpo@cm-elvas.pt.

2 - O encarregado de proteção de dados deve ser designado com base nas suas qualificações profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito nacional e europeu de proteção de dados, no conhecimento das operações de processamento realizadas, das tecnologias de informação, das práticas de segurança de dados, bem como da estrutura organizacional do Município de Elvas.

3 - Nos termos dos artigos 37.º a 39.º do RGPD e do artigo 11.º da Lei 58/2019, de 8 de agosto, são funções do encarregado de proteção de dados:

a) Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos da legislação em vigor.

b) Controlar a conformidade com a legislação em vigor e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes.

c) Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35.º do RGPD e do artigo 7.º da Lei 58/2019, de 8 de agosto.

d) Cooperar com a CNPD e é o seu ponto de contacto sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.º do RGPD, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.

e) Assegurar a realização de auditorias, quer periódicas, quer não programadas.

f) Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança.

g) Assegurar as relações com os titulares de dados nas matérias abrangidas pelo RGPD, pela legislação nacional e pelo presente Regulamento, em matéria de proteção de dados.

4 - Nos termos do n.º 2 do artigo 39.º do RGPD, no desempenho das suas funções, o encarregado de proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

5 - Nos termos do n.º 5 do artigo 38.º do RGPD e do artigo 10.º da Lei 58/2019, de 8 de agosto, o encarregado de proteção de dados, bem como os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade, que se mantém após o termo das funções que lhes deram origem, que acresce aos deveres de sigilo profissional legalmente previstos.

6 - As funções do encarregado de proteção de dados são exercidas com total independência e autonomia em relação à estrutura dos serviços, isenção, distanciamento e não subordinação à hierarquia municipal, não podendo ser prejudicado nem penalizado pelo exercício das mesmas ou pelo teor dos pareceres que emite ou das iniciativas que desenvolve no âmbito das suas funções e competências.

7 - No âmbito e na prossecução das suas funções, de forma célere e independente, o encarregado de proteção de dados do Município de Elvas tem acesso ilimitado ao sistema, à documentação e à informação da organização.

8 - O Município de Elvas deve providenciar ao encarregado de proteção de dados os meios necessários de ordem logística e tecnológica necessários ao desempenho da sua função e das suas competências.

Artigo 5.º

Definições relevantes

1 - «Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

2 - «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

3 - «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro.

4 - «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico.

5 - «Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

6 - «Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebe comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro.

7 - «Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais.

8 - «Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

9 - «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

10 - «Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos.

11 - «Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.

Artigo 6.º

Videovigilância e autorizações para tratamento de dados pessoais

1 - Nos termos do artigo 31.º da Lei 34/2013, de 16 de maio, e não contrariando o disposto no artigo 19.º da Lei 58/2019, de 8 de agosto, o Município de Elvas tem as seguintes autorizações de tratamento de dados pessoais, emitidas pela CNPD, antes da entrada em vigor do RGPD:

a) 1671/2015 - Autorização Videovigilância - Proteção de pessoas e bens para o estacionamento do Parque Comendador José Rondão Almeida, sito na Praça da República da cidade de Elvas.

b) 4259/2016 - Autorização Videovigilância - Proteção de pessoas e bens para o Forte da Graça, sito no Monte de Nossa Senhora da Graça, em Elvas.

c) 11612/2016 - Autorização Videovigilância - Proteção de pessoas e bens para o Forte de Santa Luzia, em Elvas.

d) 11613/2016 - Autorização Videovigilância - Proteção de pessoas e bens para o MACE-Museu de Arte Contemporânea de Elvas, sito na Rua da Cadeia, em Elvas.

2 - As informações sobre o tratamento de dados pessoais e direitos dos titulares relativamente à videovigilância estão presentes no Anexo I-G.

3 - Após a entrada em vigor do RGPD, não é necessária a autorização da CNPD para a existência de um sistema de videovigilância, não obstante, este deve respeitar os requisitos legais, que podem incluir além do RGPD e a Lei 58/2019, de 8 de agosto, a Lei 34/2013, de 16 de maio, que regula a atividade de segurança privada ou o Código do Trabalho, consoante o que for aplicável à sua situação concreta.

4 - As autorizações presentes no n.º 1 do presente artigo permanecem válidas em tudo o que não contrarie o disposto no RGPD e no artigo 19.º da Lei 58/2019, de 8 de agosto.

Artigo 7.º

Princípios relativos ao tratamento de dados pessoais

1 - Nos termos do artigo 5.º do RGPD, são os princípios relativos ao tratamento de dados pessoais:

a) Princípio da licitude: O tratamento de dados pessoais só poderá ser realizado ao abrigo das condições previstas na legislação em vigor, entenda-se o RGPD, a Lei 58/2019, de 8 de agosto, e as demais disposições legais e regulamentares em matéria de proteção de dados pessoais.

b) Princípio da lealdade e transparência: O tratamento de dados pessoais deverá ser realizado sempre de forma leal e transparente perante os titulares dos dados pessoais.

c) Princípio da limitação das finalidades: Os dados pessoais devem ser recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de forma incompatível com as finalidades de recolha.

d) Princípio da minimização: Só devem ser recolhidos e tratados dados pessoais que sejam adequados, pertinentes e necessários à finalidade estabelecida.

e) Princípio da exatidão: Os dados devem ser exatos e atualizados. Os dados inexatos devem ser apagados ou retificados sem demora.

f) Princípio da limitação da conservação: Os dados pessoais devem ser conservados de forma a permitir a identificação dos titulares dos dados, apenas durante o período estritamente necessário, para as finalidades para as quais são tratados.

g) Princípio da integralidade e confidencialidade: Os dados pessoais devem ser tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, mediante adoção de medidas técnicas ou organizativas adequadas.

h) Princípio da responsabilidade: O responsável pelo tratamento tem de cumprir todos os princípios indicados e conseguir comprovar esse cumprimento.

Artigo 8.º

Licitude do tratamento de dados pessoais em geral

1 - Nos termos do artigo 6.º do RGPD, o tratamento de dados pessoais em geral, por parte do Município de Elvas, é lícito sempre que se verifique uma das seguintes situações:

a) Consentimento: O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas. Porém, de acordo com o disposto no considerando 43 do RGPD, que aqui se transcreve, não pode ser utilizado como fundamento de licitude do tratamento de dados pessoais pelo Município de Elvas: A fim de assegurar que o consentimento é dado de livre vontade, este não deverá constituir fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento, nomeadamente quando o responsável pelo tratamento é uma autoridade pública pelo que é improvável que o consentimento tenha sido dado de livre vontade em todas as circunstâncias associadas à situação específica em causa.

b) Contratos: O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências pré-contratuais a pedido do titular dos dados.

c) Obrigação jurídica: O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito, entenda-se competências e atribuições legais do Município de Elvas.

d) Interesse vital: O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular.

e) Interesse público e autoridade pública: O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento.

f) Interesse legítimo: O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

Artigo 9.º

Licitude do tratamento de categorias especiais de dados pessoais e/ou de dados pessoais sensíveis

1 - As categorias especiais de dados pessoais e/ou dados pessoais sensíveis englobam os dados ou informações que implicam maiores riscos para os direitos e liberdades fundamentais da pessoa humana, como: origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos que permitam identificar uma pessoa de forma inequívoca, dados relativos à saúde, dados relativos à vida sexual ou orientação sexual.

2 - Nos termos do n.º 1 do artigo 9.º do RGPD, é proibido o tratamento destes dados pessoais, exceto nos casos previstos nos termos do n.º 2 e do n.º 3 do artigo 9.º do RGPD, a saber:

a) Consentimento: Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se a legislação europeia e nacional previr que a proibição não pode ser anulada pelo titular dos dados.

b) Tratamento necessário para cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social.

c) Tratamento necessário para medicina preventiva ou do trabalho, para avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social.

d) Tratamento se refira a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular.

e) Tratamento necessário para interesse público importante, legalmente previsto, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados.

f) Tratamento for necessário para arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, previsto na lei, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas para a defesa dos direitos fundamentais e dos interesses do titular dos dados, respeitando o disposto no artigo 31.º da Lei 58/2019, de 8 de agosto.

Artigo 10.º

Recolha de dados pessoais no website oficial do Município de Elvas

O acesso e a utilização do website oficial do Município de Elvas (http://www.cm-elvas.pthttp://www.cm-elvas.pthttp://www.cm-elvas.pthttp://www.cm-elvas.pthttp://www.cm-elvas.pt) não implica, em geral, a disponibilização e recolha de dados pessoais, o que sucederá apenas através da utilização de funcionalidades pontuais, designadamente as que impliquem submissão de formulários, mediante o preenchimento dos dados pessoais solicitados e a submissão do formulário.

Artigo 11.º

Consentimento dos titulares dos dados pessoais no website oficial do Município de Elvas

Os dados pessoais serão recolhidos através do consentimento dos utilizadores do website oficial do Município de Elvas, considerando-se que os utilizadores estão a dar o seu consentimento ao preencherem os seus dados pessoais e ao submeterem os respetivos formulários para cada finalidade em concreto.

Artigo 12.º

Finalidades da recolha de dados pessoais no website do Município de Elvas

1 - Os dados pessoais submetidos no formulário de contacto destinam-se a esclarecer dúvidas, pedidos de informação ou esclarecimentos e em geral qualquer solicitação apresentada no formulário em questão.

2 - A comunicação dos dados pessoais não constitui uma obrigação legal nem contratual. O titular não está obrigado a fornecer os dados pessoais, mas não os fornecendo, não poderá usufruir das respetivas funcionalidades.

Artigo 13.º

Recolha de dados pessoais na App Município de Elvas

1 - O acesso e a utilização da APP Município de Elvas, com a possibilidade de download através da Play Store (Android) e da APP Store (iOS), não implica, em geral, a disponibilização e recolha de dados pessoais, o que sucederá apenas através do registo de cada utilizador, sendo o e-mail o único campo de preenchimento obrigatório, aliado à palavra-passe que irá permitir o login do utilizador.

2 - Quatro funcionalidades presentes na aplicação móvel carecem de um utilizador registado, Percursos, a Marcação de Audiências, o Envio de Sugestões e a Comunicação de Ocorrências, pelo que o seu acesso estará interdito caso o titular dos dados não proceda ao registo.

3 - A recolha da geolocalização é apenas efetuada mediante o consentimento do utilizador, para acesso à funcionalidade de Comunicação de Ocorrências.

Artigo 14.º

Consentimento dos titulares dos dados pessoais na App Município de Elvas

Os dados pessoais serão recolhidos através do consentimento dos utilizadores da App Município de Elvas, considerando-se que os utilizadores estão a dar o seu consentimento ao se registarem na aplicação móvel, ao preencherem os seus dados pessoais e submeterem os formulários das funcionalidades referidas no n.º 2 do artigo 13.º do presente Regulamento e ao consentirem a recolha da sua geolocalização.

Artigo 15.º

Finalidades da recolha de dados pessoais na APP Município de Elvas

1 - Os dados pessoais submetidos aquando do registo e do preenchimento dos campos presentes nos formulários referidos no n.º 2 do artigo 13.º destinam-se a gravar os percursos de cada utilizador, apenas visível para o utilizador em específico, para que este mais tarde possa continuar o seu percurso a partir do ponto de interesse visitado, dar resposta a sugestões, confirmar audiências e esclarecer o utilizador relativamente a ocorrências.

2 - A geolocalização permite aos utilizadores acederem ao separador Percursos, uma vez que o mesmo é orientado de acordo com as coordenadas gps fornecidas e permite localizar corretamente o local de determinada ocorrência.

3 - A comunicação dos dados pessoais não constitui uma obrigação legal nem contratual. O titular não está obrigado a fornecer os dados pessoais, mas não os fornecendo, não poderá usufruir das respetivas funcionalidades.

Artigo 16.º

Finalidades do tratamento de dados pessoais

A tramitação nos serviços municipais, por exigência legal, de procedimentos administrativos ou a celebração de contratos, seja oficiosamente ou a requerimento dos titulares dos dados. O cumprimento pelo Município de Elvas das suas atribuições ou obrigações legais e das suas funções de interesse público ou autoridade pública enquanto órgão da Administração Pública. O exercício pelos titulares dos dados ou pelo Município de Elvas de direitos e obrigações previstos na legislação.

Artigo 17.º

Transmissão de dados pessoais

Sempre que prevista em disposição legal e ou para cumprimento de direitos ou obrigações legalmente previstas e ou se absolutamente necessária à prossecução do interesse público ou exercício de autoridade pública.

Artigo 18.º

Prazo de conservação de dados pessoais

O prazo necessário para a tramitação de procedimentos administrativos, duração de contratos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais, aprovado pela Portaria 412/2001, de 17 de abril, e alterado e republicado pela Portaria 1253/2009, de 14 de outubro.

Artigo 19.º

Direitos dos titulares dos dados pessoais

1 - Nos termos do Capítulo III do RGPD, Direitos do Titular dos Dados, e identificadas as disposições específicas no que ao Município de Elvas diz respeito, são os direitos dos titulares dos dados:

a) Confirmação de que os dados pessoais são objeto de tratamento.

b) Direito de acesso aos dados pessoais.

c) Direito de retificação.

d) Direito à limitação do tratamento.

e) Direito de apresentar reclamação à entidade de controlo, a CNPD.

2 - Relativamente ao consentimento dos titulares dos dados pessoais no website oficial do Município de Elvas e na App Município de Elvas, está associado o direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.

Artigo 20.º

Direitos que não podem ser exercidos e sua justificação

1 - Nos termos do disposto no Capítulo III do RGPD, Direitos do Titular dos Dados, e identificadas as disposições específicas no que ao Município de Elvas diz respeito, são direitos dos titulares dos dados que não podem ser exercidos:

a) Direito ao apagamento dos dados ("direito a ser esquecido").

b) Direito de portabilidade dos dados.

c) Direito de oposição ao tratamento.

2 - Estes direitos não podem ser exercidos quando o tratamento se revela necessário ao cumprimento de obrigações legais que exigem o tratamento e ao exercício de funções de interesse público e ao exercício da autoridade pública de que esteja investido o Município de Elvas.

3 - O tratamento, quando baseado no cumprimento de obrigações legais, no exercício de funções de interesse público e/ou no exercício da autoridade pública por parte do Município de Elvas, não é precedido pelo consentimento do titular dos dados.

4 - Nos tratamentos que são realizados com base no consentimento do titular dos dados, os direitos referidos no n.º 1 do presente artigo podem ser exercidos.

Artigo 21.º

Transparência do tratamento e o exercício dos direitos pelos titulares dos dados pessoais

1 - Nos termos do n.º 1 artigo 12 do RGPD, o Município de Elvas, enquanto responsável pelo tratamento dos dados pessoais, deve fornecer aos titulares dos dados as informações relativas ao tratamento dos dados e aos direitos dos titulares dos dados de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, por escrito ou por outros meios, incluindo, se aplicável, por meios eletrónicos. Se o titular dos dados o solicitar, a informação pode ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.

2 - O Município de Elvas, enquanto responsável pelo tratamento dos dados pessoais, facilita o exercício dos direitos pelos titulares dos dados e fornece aos titulares dos dados as informações sobre as medidas tomadas, para garantir o exercício dos direitos pelos titulares dos dados, no prazo de um mês a contar da data de receção do pedido de exercício dos direitos.

3 - O prazo presente no n.º 2 do presente artigo pode ser prorrogado até dois meses, quando necessário, tendo em conta a complexidade do pedido e o número de pedidos, devendo-se informar o titular dos dados de alguma prorrogação e dos motivos da demora no prazo de um mês a contar da data de receção do pedido.

4 - Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida através de meios eletrónicos, salvo pedido em contrário do titular.

5 - Se não for dado seguimento ao pedido apresentado pelo titular dos dados, este deve ser informado no prazo de um mês, a contar da data de receção do pedido, das razões que o levaram a não tomar medidas e da possibilidade de apresentar reclamação à autoridade de controlo (CNPD) e de intentar ação judicial.

6 - As informações fornecidas e quaisquer comunicações e medidas tomadas são fornecidas a título gratuito.

7 - Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, o responsável pelo tratamento pode: a) Exigir o pagamento de uma taxa razoável, tendo em conta os custos administrativos do fornecimento das informações ou da comunicação, ou de tomada das medidas solicitadas; b) Recusar-se a dar seguimento ao pedido.

8 - Na sequência do n.º 7 do presente artigo, cabe ao Município de Elvas demonstrar o caráter manifestamente infundado ou excessivo do pedido.

9 - Em cumprimento das obrigações de transparência e para facilitar o exercício dos direitos pelos titulares, o Município de Elvas disponibiliza um formulário de requerimento de exercício de direitos para ser utilizado pelo titular dos dados, presente no Anexo I-A.

Artigo 22.º

Informações sobre o tratamento e os direitos dos titulares no momento da recolha dos dados pessoais

1 - No momento da recolha dos dados pessoais, o Município de Elvas, enquanto responsável pelo tratamento, faculta informações sobre o tratamento dos dados pessoais e sobre os direitos dos titulares.

2 - Para que a prestação das informações ocorra no momento da recolha dos dados e fique devidamente documentada e comprovada, estas são prestadas nos formulários dos requerimentos dos diversos procedimentos.

3 - Nos casos em que haja recolha de dados pessoais, sem que o titular dos dados apresente o formulário do requerimento disponibilizado pelo Município de Elvas, seja por apresentar um requerimento elaborado pelo próprio, seja por simplesmente não apresentar qualquer requerimento, é utilizado o formulário presente no Anexo I-C, exclusivamente destinado a comprovar a prestação das informações sobre o tratamento de dados e direitos dos titulares.

Artigo 23.º

Outras informações sobre o tratamento de dados pessoais

1 - A comunicação dos dados pessoais ao Município de Elvas é em geral necessária para exercício de direitos e cumprimento de obrigações legais ou contratuais.

2 - A não disponibilização dos dados pessoais pelos titulares é em geral impeditiva do exercício de direitos e cumprimento de obrigações legais ou contratuais.

3 - Não existem decisões automatizadas, nem a definição de perfis.

4 - Para além do cumprimento da obrigação legal de tratamento para arquivo, não haverá tratamento posterior de dados pessoais para finalidades distintas das que presidiram à recolha.

5 - As informações sobre o tratamento de dados pessoais e direitos dos titulares, de uma forma genérica, estão presentes no Anexo I-C.

6 - As informações sobre o tratamento de dados pessoais e direitos dos titulares, relativamente a contactos eletrónicos e através do website do Município de Elvas, estão presentes no Anexo I-I.

Artigo 24.º

Segurança do tratamento de dados pessoais

1 - Nos termos do artigo 32.º do RGPD e tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o Município de Elvas, enquanto responsável pelo tratamento, aplica medidas técnicas e organizativas para garantir um nível de segurança adequado ao risco, incluindo, mantendo a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento e a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico; e adotando procedimentos para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.

2 - Estas medidas técnicas e organizativas estão referenciadas e especificadas no Capítulo III do presente Regulamento, que compreende o intervalo entre o artigo 36.º e o artigo 60.º, inclusive.

Artigo 25.º

Notificação da violação de dados pessoais à autoridade de controlo (CNPD)

Nos termos do artigo 33.º do RGPD, caso se verifique uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, o Município, enquanto responsável pelo tratamento, notifica desse facto a autoridade de controlo (CNPD) utilizando o procedimento implementado para esse efeito, presente no Anexo I-J.

Artigo 26.º

Comunicação da violação de dados pessoais aos seus titulares

Nos termos do artigo 34.º do RGPD, caso se verifique uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o Município de Elvas, enquanto responsável pelo tratamento, comunica a violação de dados pessoais ao titular dos dados sem demora injustificada, utilizando o procedimento implementado para esse efeito, presente no Anexo I-L.

Artigo 27.º

Sigilo profissional

Os responsáveis pelo tratamento, os subcontratantes, bem como qualquer outra pessoa que, no exercício das suas funções, tenha acesso a dados pessoais, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.

Artigo 28.º

Tratamento de dados pessoais através de subcontratantes

O Município de Elvas, enquanto responsável pelo tratamento, só recorre a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de forma que o tratamento satisfaça os requisitos do RGPD e assegure a defesa dos direitos do titular dos dados. O tratamento em subcontratação é regulado por contrato ou outro ato normativo previsto na lei, que vincula os subcontratantes ao Município de Elvas

Artigo 29.º

Registos de atividades de tratamento de dados pessoais

O Município de Elvas, enquanto responsável pelo tratamento, conserva registos de todas as atividades de tratamento de dados pessoais sob a sua responsabilidade, desses registos das atividades de tratamento constam todos os elementos e informações legalmente exigidos.

Artigo 30.º

Avaliações de impacto sobre a proteção de dados pessoais

1 - Nos termos do artigo 35.º do RGPD, quando um certo tipo de tratamento, tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o Município de Elvas, enquanto responsável pelo tratamento, efetua as necessárias avaliações de impacto sobre a proteção de dados pessoais (AIPD), nos termos e condições legalmente previstos.

2 - Existem três operações de tratamento de dados pessoais realizadas pelo Município de Elvas que se enquadram nas condições previstas no RGPD e no Regulamento 1/2018, de 16 de outubro, relativo à lista de tratamento de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados, da CNPD:

a) Tratamento de dados pessoais através de sistemas de videovigilância: Por se enquadrar como uma operação de "Controlo sistemático de zonas acessíveis ao público em grande escala", tipificado no n.º 3 do artigo 35.º do RGPD, que não foi, contudo, submetido a Avaliação de Impacto Sobre a Proteção de Dados, porque de acordo com as Orientações do Grupo de Trabalho do artigo 29.º, não é necessária a realização da AIPD para operações de tratamento que tenham sido previamente controladas ou autorizadas pela autoridade de controlo (CNPD) e não tenham sofrido alterações nas condições de tratamento.

b) Confirmação de dados pessoais sensíveis efetuada pela Subunidade Orgânica Flexível Socioeducativa: Por ser suscetível de se enquadrar como uma operação de "tratamento que relacione dados pessoais", tipificado no n.º 1 do artigo 9.º do RGPD, nos termos previstos no n.º 3 do Regulamento 1/2018 da CNPD. Uma vez que a confirmação junto de outras entidades de dados pessoais de categorias especiais, obtidos para efeitos de elegibilidade de apoios sociais, poderá configurar um tratamento que relacione dados pessoais sensíveis. A respetiva AIPD encontra-se descrita no artigo 77.º do presente Regulamento.

c) Tratamento de dados biométricos: Por se enquadrar como uma operação de "Tratamento de dados biométricos para identificação inequívoca dos seus titulares, com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados", nos termos previstos no Regulamento 1/2018 da CNPD e no considerando 91 do RGPD. A respetiva AIPD encontra-se descrita no artigo 78.º do presente Regulamento.

Artigo 31.º

Consulta prévia à autoridade de controlo

Nos termos do artigo 36.º do RGPD, o Município de Elvas, enquanto responsável pelo tratamento, consulta a autoridade de controlo (CNPD) antes de proceder ao tratamento quando a avaliação de impacto sobre a proteção de dados indicar que do tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar esse risco.

Artigo 32.º

Cooperação com a autoridade de controlo

Nos termos do artigo 8.º da Lei 58/2019, de 8 de agosto, o Município de Elvas, enquanto responsável pelo tratamento, coopera e colabora com a autoridade de controlo (CNPD) a pedido desta, na prossecução das suas atribuições e competências.

Artigo 33.º

A proteção de dados pessoais e o direito de acesso aos documentos administrativos

Nos termos do artigo 86.º do RGPD, do artigo 26.º da Lei 58/2019, de 8 de agosto, e da Lei 26/2016, de 22 de agosto, os dados pessoais que constem de documentos oficiais na posse do Município de Elvas, para a prossecução de atribuições de interesse público, podem ser divulgados nos termos da legislação de acesso a documentos administrativos, a fim de conciliar o acesso do público a documentos oficiais com o direito à proteção dos dados pessoais.

Artigo 34.º

Utilização e reprodução de documentos de identificação

A utilização e reprodução dos documentos de identificação dos titulares dos dados pode ser apenas realizada mediante consentimento escrito dos mesmos.

Artigo 35.º

Tratamento de dados pessoais no contexto laboral

Nos termos do artigo 88.º do RGPD e do artigo 28.º da Lei 58/2019, de 8 de agosto, o Município de Elvas pode tratar os dados pessoais dos seus trabalhadores para as finalidades e com os limites definidos no Código do Trabalho e respetiva legislação complementar ou noutros regimes setoriais.

Capítulo III

Medidas Técnicas e Organizativas de Proteção de Dados Pessoais

Artigo 36.º

Regras gerais

1 - Criar e manter um registo atualizado de todos os ativos tecnológicos (hardware, firmware e software).

2 - Garantir um nível de segurança forte dos dados pessoais e dos recursos de tratamento.

3 - Dar formação adequada a todos os utilizadores sobre segurança do sistema e dos dados pessoais.

4 - Implementar diferentes tipos de mecanismos de segurança, criando diferentes camadas de proteção.

5 - Assegurar que cada mecanismo de segurança contribuiu, separadamente e/ou em combinação com outros mecanismos, para atingir os objetivos de segurança.

6 - Anular ou, pelo menos, mitigar quaisquer deficiências na segurança que possam existir, mantendo um risco residual num nível aceitável a cada caso.

7 - Efetuar alterações de hardware, firmware e software não devem enfraquecer a segurança do sistema.

8 - Definir políticas e procedimentos relativos à gestão do ciclo de vida dos utilizadores, incluindo a criação, atribuição, manutenção e atualização das contas de utilizadores do sistema.

9 - Definir e manter atualizados os procedimentos e políticas de segurança que visem a operação segura do sistema e garantir a sua divulgação por todos os utilizadores.

10 - Sensibilizar todos os utilizadores para as respetivas responsabilidades individuais na segurança do sistema e dos dados pessoais.

11 - Obter a aceitação de todos os utilizadores, que tenham perfis de privilégios de escrita, leitura e eliminação de dados pessoais, das condições definidas num termo de responsabilidade.

12 - Garantir a assistência técnica a todos os utilizadores quando e onde necessário.

13 - Criar e manter registos (logs), de modo a permitir o rastreamento das atividades com impacto na segurança dos dados pessoais.

14 - Garantir a salvaguarda e a capacidade de recuperação de informações relevantes para a reposição total do sistema, incluindo os dados pessoais (backups e disaster recovery).

15 - Assegurar a manutenção do sistema não deve violar a sua segurança.

16 - Conduzir visitas técnicas para determinar se as medidas de segurança no local são suficientes e adequadas.

17 - Realizar auditorias internas e a entidades subcontratadas, cujos resultados devem ficar versados em relatório.

18 - Procurar a melhoria contínua da segurança do sistema, através do planeamento e implementação de novas medidas, monitorização e verificação da adequação das mesmas e adoção de medidas corretivas sempre que necessário.

19 - Determinar investigações nos casos de violações de segurança ou de suspeitas de violação.

Artigo 37.º

Medidas técnicas e organizativas de proteção de dados de categorias especiais

1 - Controlo da entrada nas instalações: impedir o acesso de pessoas não autorizadas às instalações utilizadas para o tratamento de dados.

2 - Controlo dos suportes de dados: impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada.

3 - Controlo da inserção: impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos.

4 - Controlo da utilização: impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas.

5 - Controlo de acesso: garantir que pessoas autorizadas só possam ter acesso aos dados abrangidos pela autorização.

6 - Controlo da transmissão: garantir a verificação das entidades a quem possam ser transferidos os dados pessoais através da instalação de transmissão de dados.

7 - Controlo da introdução: garantir que se possa verificar a posteriori, em prazo adequado à natureza do tratamento, quais os dados pessoais introduzidos, quando e por quem.

8 - Controlo do transporte: impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada.

Artigo 38.º

Definição de áreas de acesso restrito e controlado

1 - Definição de áreas de acesso restrito e controlado através de mecanismos que permitam o acesso unicamente a pessoas autorizadas.

2 - Criação e atualização de lista de pessoas autorizadas a aceder às áreas referidas no n.º 1 do presente artigo.

3 - Criação e preservação de registos de acesso às áreas referidas no n.º 1 do presente artigo.

Artigo 39.º

Responsabilidades coletivas e individuais

1 - Cada utilizador deve ser individualmente responsável por respeitar as políticas e medidas de segurança implementadas.

2 - Todas as atividades realizadas no sistema devem estar sujeitas a monitorização e auditorias.

3 - Existência de uma política de segregação de funções, de modo a reduzir a probabilidade de erro humano no tratamento de dados pessoais.

4 - Proibição do acesso aos dados pessoais sob o controlo da organização a partir de dispositivos pessoais.

5 - Proibição da utilização de dispositivos da organização fora das instalações, incluindo para fins pessoais.

6 - A proibição expressa no n.º 5 do presente artigo não abrange os membros do executivo municipal e as chefias de 1.º grau, porém incluí a proibição da sua utilização para fins pessoais.

7 - Utilização de dispositivos de armazenamento removíveis apenas mediante prévia autorização.

8 - Proibição da utilização do correio eletrónico da organização para fins pessoais.

9 - Proibição da modificação de qualquer programa, incluindo a tentativa.

10 - Proibição do acesso a áreas para as quais não tenham sido especificamente autorizados, incluindo a tentativa.

11 - Proibição do uso, acesso e/ou modificação não autorizada a equipamentos informáticos, programas e dados.

Artigo 40.º

Em caso de violação de segurança de dados pessoais

1 - Implementação de medidas para deteção, identificação e investigação das circunstâncias.

2 - Adoção de medidas mitigadoras, de um circuito de informação entre responsáveis e subcontratante, e apuramento de responsabilidades.

3 - Notificação à autoridade de controlo nacional (CNPD).

4 - Comunicação aos titulares dos dados nos casos em que possa resultar num elevado risco.

Artigo 41.º

Proteção dos dados e dos recursos de tratamento contra código malicioso (malware)

1 - Existência de controlos de deteção e prevenção.

2 - Existência de software antivírus e antispam, devidamente licenciados e de atualização preferencialmente automática, em todas as estações de trabalho e servidores.

3 - Verificação regular da presença de código malicioso em dados, sistema operativo instalado, pacotes de software e aplicações, dispositivos de armazenamento removíveis, e-mails e anexos recebidos de fontes externas e internas.

Artigo 42.º

Identificação e prevenção de incidentes de segurança pelos utilizadores

1 - Informação imediata ao responsável pela segurança, sempre que for detetado código malicioso.

2 - Comunicação imediata de qualquer alerta do sistema antivírus.

3 - Parar imediatamente qualquer processamento em curso, desconectar o sistema potencialmente infetado da rede e identificar o responsável pela segurança em caso de suspeita.

4 - Entende-se como responsável pela segurança a Subunidade Orgânica Flexível Tecnologias da Informação.

Artigo 43.º

Privilégios de acesso, utilização do sistema e credenciais de autenticação

1 - O acesso ao sistema deve ocorrer apenas mediante prévio procedimento de registo.

2 - Os pedidos de criação ou modificação de uma conta de utilizador, nomeadamente relativa a permissões, devem ser efetuados através de um formulário próprio, devidamente preenchido e assinado, presente no anexo I-L.

3 - A aprovação concedida para a criação referida no n.º 2 do presente artigo irá despoletar geração de uma nova conta individual para o utilizador e uma palavra-passe inicial que lhe irão permitir aceder às funções do sistema para as quais foi autorizado.

4 - Não são permitidas contas compartilhadas.

5 - As credenciais de autenticação de cada utilizador devem ser únicas e intransmissíveis.

6 - A palavra-passe de autenticação deve ser alterada, no máximo, a cada 180 dias para perfis de utilizador ou quando for comprometida ou se suspeite que venha a ser comprometida.

7 - A reutilização de palavras-passe anteriores deverá ser evitada, recomendando-se que não igual ou semelhante às últimas quatro palavras-passe.

8 - Cada utilizador deve possuir somente os privilégios necessários para realizar a sua função na organização.

9 - Deve existir e ser mantida uma listagem atualizada das pessoas autorizadas a utilizar o sistema, incluindo quais os softwares autorizados, e a extensão da respetiva autorização.

10 - A listagem referida no n.º 9 do presente artigo deve ser disponibilizada ao encarregado de proteção de dados, sempre que este assim o solicite, para controlo interno e verificação de conformidade.

Artigo 44.º

Controlo das contas dos utilizadores

1 - As contas dos utilizadores são bloqueadas automaticamente após cinco tentativas não sucedidas.

2 - Ocorrerá um bloqueio manual quando houver a suspeita de que a conta está a ser usada incorretamente.

3 - As contas desnecessárias devem ser bloqueadas.

4 - O encarregado de proteção de dados deve ser avisado das situações de bloqueio de contas de forma periódica, no início de cada mês, aviso referente ao mês imediatamente anterior, ou no início de cada mês, de forma intervalada, aviso referente aos dois meses imediatamente anteriores, sempre que se verifiquem estas situações.

5 - O bloqueio da estação de trabalho (Windows+L) deve ser ativado por cada utilizador, em caso de ausência do local de trabalho, sendo apenas desbloqueado com recurso às credenciais de acesso.

6 - No final de cada ciclo de trabalho, a respetiva sessão deve ser encerrada.

Artigo 45.º

Registo e monitorização das atividades dos utilizadores

1 - Devem ser criados, atualizados e analisados periodicamente os registos de atividade (logs).

2 - Os registos devem conter detalhes suficientes sobre as atividades dos utilizadores do sistema, que permitam a reconstrução do histórico de eventos: quem, onde, quando e ação efetuada sobre o dado pessoal.

3 - Os registos devem abranger qualquer atividade de criação, leitura, alteração, pesquisa, consulta, transmissão de dados a terceiros ou eliminação de dados pessoais, incluindo o registo temporal da ação e o respetivo resultado.

Artigo 46.º

Proteção dos registos da atividade dos utilizadores

1 - A gravação, os backups e a manutenção dos registos de atividade são obrigatórios e devem incluir todo o tipo de eventos, tanto eventos bem-sucedidos como falhados.

2 - Os acessos aos registos de atividade dos utilizadores devem ser limitados a pessoas devidamente autorizadas e para os fins legalmente previstos, nomeadamente auditorias.

Artigo 47.º

Controlo dos sistemas em produção

1 - As configurações dos sistemas em produção devem estar em conformidade com as regras de segurança para que possam ser aprovadas.

2 - As alterações ao sistema em produção devem ser, logo que possível, comunicadas ao encarregado de proteção de dados, por meio de relatórios.

Artigo 48.º

Instalação de novo hardware e software

1 - Apenas se procede à instalação de novo hardware e/ou software e/ou componentes de hardware e software mediante autorização prévia.

2 - A configuração local de hardware e software do sistema não deve ser alterada sem autorização prévia.

3 - As alterações à configuração local de hardware e/ou software do sistema devem ser, logo que possível, comunicadas ao encarregado de proteção de dados.

4 - Os equipamentos devem ser instalados e protegidos de modo a se reduzir os riscos de ameaças, os perigos ambientais e as oportunidades para acesso não autorizado.

Artigo 49.º

Cópias de segurança

A realização de cópias de segurança (backups) dos dados e do software é feita periodicamente para a proteção contra perdas e danos, bem como para garantir, quando necessário, uma rápida e correta recuperação do sistema.

Artigo 50.º

Computação em nuvem (Cloud)

1 - Determinar os requisitos técnicos (flexível e escalável) e definir os requisitos de segurança.

2 - No caso das redes e sistemas de informação que utilizem os serviços de computação em nuvem públicos ou híbridos, devem ser avaliados o regime de responsabilidade e os níveis de serviço - Service Level Agreement (SLA) - particularmente no que respeita à disponibilidade do sistema, à segurança dos dados; e à reposição de serviço.

3 - As políticas de segurança definidas devem ter em conta que a segurança na computação em nuvem também compreende a segurança da infraestrutura de rede, a segurança das aplicações em nuvem, a segurança das instalações físicas onde se encontram os dados e a possibilidade de realização de auditorias (periódicas e esporádicas) ao provedor de serviço.

4 - Os centros de dados devem ficar alojados em instalações com as condições de segurança adequadas à proteção dos dados pessoais e serviços contratados.

5 - Os prestadores de serviços devem possuir referenciais internacionais de segurança, demonstrar a conformidade com o RGPD (subcontratantes), possuir servidores físicos dentro do território nacional e/ou da União Europeia e possuir a opção por nuvens controladas por entidades públicas.

7 - Apresentar tecnologias de melhoria da privacidade, favorecendo a aplicação de tecnologias Privacy Enhancing Technologies (PET).

8 - Reforçar a segurança de dados pessoais sensíveis através de controlos de acesso mais rígidos, do uso de técnicas de cifragem, da opção pelo sistema de gestão de identidades e acessos (Identity and Access Management) e da adoção de medidas tecnológicas para assegurar que dados específicos não são enviados (e recebidos) para a (e da) nuvem se não estiverem cifrados.

Artigo 51.º

Proteção dos suportes de dados

1 - O Município de Elvas disponibiliza os seus próprios suportes de dados eletrónicos.

2 - A utilização dos suportes de dados removíveis deve ser gerida em todas as suas fases, incluindo a aquisição, distribuição, utilização e destruição.

3 - Antes da eliminação ou reutilização de equipamentos que contenham suportes de dados deve-se verificar se todos os dados foram efetivamente removidos ou eliminados.

4 - No caso do suporte de dados em papel, a impressão e/ou cópia de documentos contendo dados pessoais deve ser limitada ao estritamente necessário.

5 - A reprodução dos documentos deve ser efetuada com recurso a um sistema de impressão segura, as máquinas fotocopiadoras pressupõem a autenticação do utilizador.

6 - Os utilizadores devem garantir que nenhuma impressão e/ou cópia fica esquecida na impressora/fotocopiadora.

Artigo 52.º

Eliminação dos suportes de dados

1 - Os suportes de dados devem ser eliminados de forma segura.

2 - Devem ser eliminados todos os dados armazenados nos equipamentos em fim de vida.

3 - Os equipamentos em fim de vida devem ser desmagnetizados e/ou fisicamente destruídos.

4 - Os documentos em papel devem ser destruídos com recurso a máquinas trituradoras próprias.

5 - No caso de dados pessoais sensíveis, a destruição do suporte de dados (eletrónicos e em papel) deve ser testemunhada presencialmente pelo encarregado de proteção de dados.

6 - A destruição de suportes de dados contendo dados pessoais sensíveis deve ser acompanhada da elaboração de certificados de destruição, que devem ser conservados por um período mínimo de 5 anos.

Artigo 53.º

Interrupções no fornecimento de energia elétrica

1 - Os equipamentos, nomeadamente os componentes críticos do sistema, devem ser protegidos contra eventuais interrupções no fornecimento de energia elétrica.

2 - Deve ser assegurada a continuação do fornecimento de energia elétrica adequada a todos os componentes críticos do sistema.

3 - A redundância energética permite o fornecimento da energia elétrica aos componentes críticos, com base nos respetivos requisitos de disponibilidade.

Artigo 54.º

Segurança física

1 - Medidas físicas, técnicas e procedimentais de proteção para impedir o acesso não autorizado a informação considerada sensível, incluindo dados pessoais.

2 - Garantir que as ações sobre a informação sensível são efetuadas por pessoas autorizadas, responsáveis e que têm necessidade de conhecer.

3 - Assegurar que os dados pessoais são manuseados e armazenados de forma adequada.

4 - Assegurar que as medidas definidas negam ou dificultam a entrada fraudulenta ou forçada de pessoas não autorizadas.

5 - Assegurar que as medidas definidas segregam o acesso aos dados pessoais com base na necessidade de conhecer.

6 - Assegurar que as medidas definidas dissuadem, impedem e detetam ações não autorizadas.

7 - Assegurar que as medidas definidas permitem detetar e reagir rapidamente a eventuais quebras de segurança.

8 - A exigência das medidas deve ser proporcional ao risco identificado.

Artigo 55.º

Responsabilidades na segurança física

Para se obter um grau satisfatório de segurança é necessário que todos conheçam as suas responsabilidades e saibam agir em conformidade, devendo ser elaboradas instruções claras, podendo ser produzidos procedimentos específicos para cada um dos diferentes grupos de utilizadores: Serviços de segurança; Utilizadores; Visitantes; Pessoal de manutenção e limpeza.

Artigo 56.º

Segurança em relação a pessoas

1 - Devem ser estabelecidos perímetros visivelmente definidos e protegidos (barreiras físicas).

2 - Sempre que possível, controlar todas as entradas e saídas de pessoas e de veículos de forma visual (efetuado por agente de segurança ou rececionista), eletrónico, eletromecânico e/ou físico.

3 - Acesso é concedido apenas a pessoas devidamente habilitadas e especificamente autorizadas.

4 - As autorizações de acesso devem ser concedidas a pessoas especificamente autorizadas com base no princípio da necessidade de conhecer.

5 - Deve ser criada e mantida atualizada uma lista de pessoas autorizadas a aceder a cada uma das áreas seguras, a qual deve ser exposta em local bem visível junto da entrada.

6 - Pessoas não autorizadas e que necessitem aceder às áreas seguras devem:

a) Solicitar previamente uma autorização específica e justificar esta necessidade.

b) Ser identificadas à entrada.

c) Ser sujeitas a uma verificação de segurança.

d) Ser acompanhadas durante toda a sua permanência nas referidas áreas.

e) Usar obrigatoriamente um passe identificativo de "Visitante".

Artigo 57.º

Segurança para instalações

1 - Iluminação exterior ao longo de todo o perímetro.

2 - As portas de acesso devem dispor de um sistema de controlo de acessos mecânico e de um sistema lógico, não combinados necessariamente.

Artigo 58.º

Segurança documental

1 - No interior das áreas seguras devem existir cofres e armários apropriados (fechados com chave, fechadura de segredo ou tranca com cadeado), desejavelmente à prova de fogo, para guardar os dados pessoais mais críticos.

2 - As chaves dos cofres e armários não deverão ser levadas para fora do perímetro de segurança.

3 - As chaves e as combinações de segredo devem ser memorizadas pelas pessoas que precisam de as conhecer e devem ser guardadas em envelope duplo selado.

4 - Os envelopes que contêm as combinações de segredo devem também ser sujeitos a uma proteção adequada.

5 - As combinações de segredo deverão ser conhecidas pelo número mais restrito possível de pessoas.

6 - As combinações deverão ser modificadas:

a) Quando usadas pela primeira vez.

b) Sempre que haja uma mudança de pessoal.

c) Sempre que tenha ocorrido ou haja suspeita de ter ocorrido uma fuga de informação.

d) Quando sujeitos a manutenção.

e) No mínimo, de seis em seis meses.

7 - Devem ser mantidos registos escritos das alterações das combinações de segredo.

8 - Os documentos em papel que contêm dados pessoais, principalmente aqueles localizados em espaços físicos acessíveis aos munícipes e a entidades externas, devem estar devidamente acautelados, não possibilitando a sua visualização.

Artigo 59.º

Segurança eletrónica

1 - Servidores, sistemas de gestão de redes, controladores de rede e de comunicações, routers, firewalls referentes a redes e sistemas de informação que tratam dados pessoais devem ser acomodados em áreas seguras.

2 - Os terminais dos utilizadores devem estar, desejavelmente, localizados em áreas seguras, principalmente nos casos em que se tratem de dados pessoais críticos.

3 - Nas ligações entre equipamentos localizadas no interior da mesma área segura, bem como nas ligações entre diferentes áreas seguras dentro do mesmo edifício, deve utilizar-se, preferencialmente, fibra ótica.

4 - Não sendo possível a utilização de fibra ótica, recomenda-se uma separação entre a cablagem das redes e sistemas de informação que processam dados pessoais e a restante cablagem (energia e dados).

5 - Dentro das áreas seguras apenas devem existir linhas de comunicação e dispositivos eletrónicos autorizados.

Capítulo IV

Ação e Atuação dos Serviços Municipais

Artigo 60.º

Obrigações gerais

1 - O Município de Elvas, os seus serviços e os seus funcionários e colaboradores estão legalmente obrigados a cumprir o disposto no RGPD, na Lei 58/2019, de 8 de agosto, no RMPD do Município de Elvas e nas demais disposições legais em vigor; e as orientações da Comissão Nacional de Proteção de Dados.

2 - Devem os funcionários e os colaboradores do Município de Elvas notificar o respetivo superior hierárquico aquando da deteção de violação e/ou suspeita de violação de dados pessoais, sob pena de sanção prevista nas disposições legais em vigor.

3 - Devem os serviços municipais prestar as informações necessárias e auxiliar o encarregado de proteção de dados no âmbito e na prossecução das suas funções.

4 - A assinatura de requerimentos ou outros documentos, sempre que efetuada perante funcionário do Município de Elvas, deve ser acompanhada da conferência da identidade com o cartão de cidadão respeitando as normas de utilização deste documento, nos termos da Lei 7/2007, de 5 de fevereiro, e sucessivas atualizações, pela Lei 91/2015, de 12 de agosto, e pela Lei 32/2017, de 1 de junho.

5 - Sempre que seja necessária a conferência da identidade, devem os serviços recorrer a uma de três opções:

a) Exibição do cartão de cidadão para conferência de identidade.

b) Reprodução com o consentimento do titular, que deverá ficar documentado.

c) Reprodução que esteja legalmente prevista.

6 - Sempre que se inicie um procedimento de tratamento de dados, devem obrigatoriamente os serviços municipais, na pessoa dos respetivos funcionários, notificar os titulares dos dados, no que ao RGPD, à Lei 58/2019, de 8 de agosto e ao RMPD diz respeito.

7 - A cláusula presente no Anexo II-A, relativamente à proteção de dados, deve estar presente em todos os formulários e/ou requerimentos dos diversos procedimentos e nos contratos a celebrar pelo Município de Elvas, com exceção dos procedimentos e contratos respeitantes aos serviços municipais referidos no n.º 8 do presente artigo.

8 - Em substituição da cláusula referida no n.º 7 do presente artigo, os serviços municipais concretamente referidos no Capítulo IV do presente Regulamento utilizam cláusulas específicas, referenciadas nos respetivos artigos.

9 - Aquando da criação de novos formulários e/ou requerimentos, deve o encarregado de proteção de dados do Município de Elvas ser notificado de tal situação.

Artigo 61.º

Registo de Atividade - Subunidade Orgânica Flexível Administrativa de Obras Particulares

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os procedimentos desta subunidade orgânica.

2 - Finalidades do tratamento dos dados pessoais: A tramitação nos serviços municipais, por exigência legal, de procedimentos administrativos seja oficiosamente ou a requerimento dos titulares dos dados para licenciamento de obras e outras atividades particulares. O cumprimento pelo Município das suas atribuições ou obrigações legais e das suas funções de interesse público ou autoridade pública, enquanto órgão da Administração Pública. O exercício pelo titular dos dados ou pelo responsável pelo tratamento de direitos e/ou obrigações previstas em legislação.

3 - Categorias de titulares dos dados pessoais: São as pessoas singulares cujos dados pessoais são tratados pelo Município no âmbito dos procedimentos administrativos de licenciamento de obras e outras atividades particulares.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento não envolvem categorias especiais de dados pessoais.

5 - Destinatários dos dados: São destinatários dos dados pessoais os Serviços Municipais e outras entidades públicas quando previsto em disposição legal e ou para cumprimento de direitos ou obrigações legalmente previstas e ou se absolutamente necessário à prossecução do interesse público ou exercício de autoridade pública.

6 - Prazo de conservação ou apagamento: Prazo necessário para a tramitação dos procedimentos administrativos, pratica de atos administrativos e conclusão dos procedimentos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

Artigo 62.º

Registo de Atividade - Subunidade Orgânica Flexível Administrativa e Atendimento

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os procedimentos desta subunidade orgânica.

2 - Finalidades do tratamento dos dados pessoais: A receção, registo, distribuição e expedição de correspondência, requerimentos e outros documentos em suporte físico e eletrónico incluindo através das plataformas MyNet e MyDoc que são encaminhados para os serviços municipais competentes.

3 - Categorias de titulares dos dados pessoais: São as pessoas singulares cujos dados pessoais são tratados pelo Município no âmbito dos procedimentos administrativos.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento podem envolver categorias especiais de dados pessoais, designadamente, na receção de documentos para os procedimentos das subunidades orgânicas de recursos humanos e socioeducativa.

5 - Destinatários dos dados: São destinatários dos dados pessoais os Serviços Municipais e outras entidades públicas quando previsto em disposição legal e ou para cumprimento de direitos ou obrigações legalmente previstas e ou se absolutamente necessário à prossecução do interesse público ou exercício de autoridade pública.

6 - Prazo de conservação ou apagamento: Prazo necessário para a tramitação dos procedimentos administrativos, pratica de atos administrativos e conclusão dos procedimentos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

Artigo 63.º

Registo de Atividade - Subunidade Orgânica Flexível Gestão e Formação de Recursos Humanos

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os procedimentos desta subunidade orgânica.

2 - Finalidades do tratamento dos dados pessoais: Relativamente aos dados de categorias especiais (biométricos, estado de saúde ou incapacidades para o trabalho e filiação sindical) as finalidades ficam restritas ao cumprimento de legislação laboral, de segurança social, proteção social, medicina preventiva ou do trabalho, avaliação da capacidade de trabalho e o diagnóstico médico, neste último caso por profissionais submetidos a sigilo profissional. Relativamente aos demais dados as finalidades são a celebração e execução de contratos de trabalho e diligências pré-contratuais necessárias para a celebração desses contratos, aqui se incluindo a gestão de recursos humanos, processamento de remunerações, formação profissional, gestão de sanções disciplinares, seleção e recrutamento de trabalhadores e controlo de horário e assiduidade.

3 - Categorias de titulares dos dados pessoais: São as pessoas singulares, essencialmente trabalhadores ou potenciais trabalhadores, cujos dados pessoais são tratados pelo Município no âmbito dos procedimentos administrativos e contratos de trabalho.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento podem envolver categorias especiais de dados pessoais, designadamente, dados biométricos, estado de saúde ou incapacidades para o trabalho e filiação sindical.

5 - Destinatários dos dados: São destinatários dos dados pessoais os Serviços Municipais e outras entidades quando previsto em disposição legal e ou para cumprimento de direitos ou obrigações legalmente previstas, designadamente, instituições financeiras ou entidade bancárias para pagamento de remunerações e outros direitos laborais; Segurança Social ou outras entidades gestoras de Fundos de Pensões ou do Regime de Previdência; Autoridades de controlo das condições de trabalho, Companhias de seguros para celebração de seguros de acidentes de trabalho e para Entidades prestadoras de serviços de Segurança, Saúde, Medicina no trabalho e Formação Profissional.

6 - Prazo de conservação ou apagamento: Prazo necessário para a tramitação dos procedimentos administrativos, pratica de atos administrativos e conclusão dos procedimentos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

7 - As informações sobre o tratamento de dados pessoais e direitos dos titulares nos procedimentos desta subunidade orgânica flexível estão presentes no Anexo I-D.

8 - As cláusulas contratuais específicas a utilizar para os contratos desta subunidade orgânica flexível estão presentes no Anexo II-C.

9 - Estas cláusulas contratuais de proteção de dados pessoais, referidas no n.º 8 do presente artigo, devem ser usadas em todos os contratos de trabalho celebrados pelo Município de Elvas, enquanto responsável pelo tratamento, que será designado por Primeiro Outorgante, e qualquer trabalhador titular dos dados, que será considerado por Segundo Outorgante.

10 - Relativamente aos contratos de trabalho já existentes, deverá ser celebrada uma adenda contratual da qual constem as cláusulas referidas no n.º 8 do presente artigo.

Artigo 64.º

Registo de Atividade - Subunidade Orgânica Flexível Contabilidade

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os procedimentos desta subunidade orgânica.

2 - Finalidades do tratamento dos dados pessoais: Relativamente aos dados de categorias especiais (prescrições de medicamentos ou tratamentos médicos que permitem perceber o estado de saúde dos titulares) as finalidades ficam restritas ao cumprimento de obrigações e exercício de direitos específicos do responsável pelo tratamento e titular dos dados em matéria de proteção social. Relativamente aos demais dados as finalidades são a execução de contratos nos quais os titulares dos dados são partes. O cumprimento de obrigações legais do Município; E o exercício de funções de interesse público ou autoridade pública do Município.

3 - Categorias de titulares dos dados pessoais: São titulares dos dados pessoais todas pessoas singulares com relações fiscais ou contabilísticas com o Município incluindo beneficiários de apoios e prestações sociais relativas as despesas de saúde.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento podem envolver categorias especiais de dados pessoais, designadamente, prescrições de medicamentos ou tratamentos médicos que permitem perceber o estado de saúde dos titulares.

5 - Destinatários dos dados: São destinatários dos dados pessoais os Serviços Municipais e outras entidades públicas quando previsto em disposição legal e ou para cumprimento de direitos ou obrigações legalmente previstas e ou se absolutamente necessário à prossecução do interesse público ou exercício de autoridade pública.

6 - Prazo de conservação ou apagamento: Prazo necessário para a tramitação dos procedimentos administrativos, pratica de atos administrativos e conclusão dos procedimentos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

Artigo 65.º

Registo de Atividade - Subunidade Orgânica Flexível Compras

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os procedimentos desta subunidade orgânica.

2 - Finalidades do tratamento dos dados pessoais: Tramitação de procedimentos administrativos de contratação pública e celebração e execução de contratos públicos. O cumprimento de obrigações legais do Município; E o exercício de funções de interesse público ou autoridade pública do Município.

3 - Categorias de titulares dos dados pessoais: São titulares dos dados pessoais os concorrentes e adjudicatários, seus legais representantes, trabalhadores e subcontratados.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento não incluem categorias especiais.

5 - Destinatários dos dados: São destinatários dos dados pessoais os Serviços Municipais e outras entidades para cumprimento de legislação e contratos, designadamente, instituições financeiras ou entidade bancárias para pagamento de valores estipulados nos contratos. E Administração Tributária, o Tribunal de Contas, ou outras entidades nos termos previstos na legislação.

6 - Prazo de conservação ou apagamento: Prazo necessário para a tramitação dos procedimentos administrativos, pratica de atos administrativos e conclusão dos procedimentos e contratos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

7 - As informações sobre o tratamento de dados pessoais e direitos dos titulares nos procedimentos desta subunidade orgânica flexível estão presentes no Anexo I-E.

8 - As cláusulas contratuais específicas a utilizar para os procedimentos e contratos de contratação pública desta subunidade orgânica flexível estão presentes no Anexo II-B.

Artigo 66.º

Registo de Atividade - Subunidade Orgânica Flexível Tesouraria

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os procedimentos desta subunidade orgânica.

2 - Finalidades do tratamento dos dados pessoais: Tramitação de procedimentos administrativos de contratação pública e celebração e execução de contratos públicos. O cumprimento de obrigações legais do Município; E o exercício de funções de interesse público ou autoridade pública do Município.

3 - Categorias de titulares dos dados pessoais: São titulares dos dados pessoais as pessoas singulares que sejam parte de contratos e procedimentos administrativos com o Município.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento não incluem categorias especiais.

5 - Destinatários dos dados: São destinatários dos dados pessoais os Serviços Municipais e outras entidades para cumprimento de legislação e contratos, designadamente, instituições financeiras ou entidade bancárias para execução de contratos. E Administração Tributária, o Tribunal de Contas, ou outras entidades nos termos previstos na legislação.

6 - Prazo de conservação ou apagamento: Prazo necessário para a tramitação dos procedimentos administrativos, pratica de atos administrativos e conclusão dos procedimentos e contratos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

Artigo 67.º

Registo de Atividade - Subunidade Orgânica Flexível Tecnologias da Informação

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os procedimentos desta subunidade orgânica.

2 - Finalidades do tratamento dos dados pessoais: Relativamente aos dados de categorias especiais, registos biométricos, as finalidades ficam restritas ao cumprimento de legislação laboral. São ainda finalidades de tratamento a disponibilização, manutenção e segurança das infraestruturas e serviços informáticos necessários ao funcionamento e gestão do Município. O cumprimento de obrigações legais do Município; E o exercício de funções de interesse público ou autoridade pública do Município.

3 - Categorias de titulares dos dados pessoais: São titulares dos dados pessoais todas as pessoas singulares cujos dados pessoais que circulam na rede informática do Município.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento são todos os que circulam na rede informática do Município incluindo as categorias especiais de dados pessoais tratados pelo Município.

5 - Destinatários dos dados: São destinatários dos dados pessoais os Serviços Municipais.

6 - Prazo de conservação ou apagamento: Prazo necessário para a tramitação dos procedimentos administrativos, pratica de atos administrativos e conclusão dos procedimentos e contratos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

Artigo 68.º

Registo de Atividade - Gabinete de Apoio à Presidência

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os procedimentos desta subunidade orgânica.

2 - Finalidades do tratamento dos dados pessoais: Sendo um serviço de apoio à Presidência as finalidades do tratamento são a receção, registo, distribuição e expedição de correspondência, requerimentos e outros documentos com dados pessoais, em suporte físico e eletrónico, que são encaminhados para a Presidência ou para os serviços municipais competentes.

3 - Categorias de titulares dos dados pessoais: São as pessoas singulares cujos dados pessoais são tratados pelo Município no âmbito dos procedimentos administrativos.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento podem envolver categorias especiais de dados pessoais, designadamente, na receção de documentos para os procedimentos nas subunidades orgânicas de recursos humanos e socioeducativa.

5 - Destinatários dos dados: São destinatários dos dados pessoais a Presidência da Câmara Municipal e os Serviços Municipais.

6 - Prazo de conservação ou apagamento: Prazo necessário para a tramitação dos procedimentos administrativos, pratica de atos administrativos e conclusão dos procedimentos e contratos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

Artigo 69.º

Registo de Atividade - Gabinete Jurídico

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os procedimentos desta subunidade orgânica.

2 - Finalidades do tratamento dos dados pessoais: Sendo um serviço de apoio aos demais serviços do Município as finalidades do tratamento de dados pessoais decorrem do apoio prestado aos demais serviços no tratamento jurídico das solicitações apresentadas pelas demais subunidades orgânicas.

3 - Categorias de titulares dos dados pessoais: Todos os titulares de dados pessoais que constam das solicitações efetuadas por outras subunidades a esta subunidade.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento podem ser todos os que constam das solicitações efetuadas por outras subunidades a esta subunidade, incluindo de categorias especiais.

5 - Destinatários dos dados: Os destinatários dos dados pessoais são os técnicos jurídicos que desempenham funções no Gabinete Jurídico.

6 - Prazo de conservação ou apagamento: Prazo necessário para a tramitação dos procedimentos administrativos, pratica de atos administrativos e conclusão dos procedimentos e contratos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

Artigo 70.º

Registo de Atividade - Subunidade Orgânica Flexível Cultura e Desporto

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os procedimentos desta subunidade orgânica.

2 - Finalidades do tratamento dos dados pessoais: As finalidades do tratamento dos dados pessoais são a organização de ações de natureza cultural e desportiva, a gestão das instalações e equipamentos culturais e desportivos e a cooperação com agentes e entidades culturais e desportivas.

3 - Categorias de titulares dos dados pessoais: São titulares dos dados pessoais as pessoas singulares incluindo menores de idade que participam nas atividades culturais e desportivas e que utilizam as instalações e equipamentos culturais e desportivos.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento são os necessários à inscrição na participação nas atividades culturais e desportivas e na utilização das instalações e equipamentos culturais e desportivos, não incluindo categorias especiais de dados pessoais.

5 - Destinatários dos dados: Os destinatários dos dados pessoais são os serviços municipais, incluindo os serviços de cultura e desporto e outros serviços municipais.

6 - Prazo de conservação ou apagamento: Prazo necessário para a tramitação dos procedimentos administrativos, pratica de atos administrativos e conclusão dos procedimentos e contratos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

Artigo 71.º

Registo de Atividade - Subunidade Orgânica Flexível Bibliotecas e Arquivo

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os procedimentos desta subunidade orgânica.

2 - Finalidades do tratamento dos dados pessoais: As finalidades do tratamento dos dados pessoais são a utilização dos serviços da Biblioteca Municipal, a gestão do funcionamento do arquivo histórico municipal e do arquivo de documentação municipal.

3 - Categorias de titulares dos dados pessoais: São titulares dos dados pessoais as pessoas singulares que utilizam os serviços da biblioteca municipal. E Todas as pessoas singulares cujos dados pessoais incluindo de categorias especiais são objeto de arquivo histórico municipal e de arquivo de toda a documentação municipal.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento são os necessários à inscrição na utilização dos serviços da biblioteca municipal que não envolve tratamento de dados de categorias especiais. E os dados pessoais incluindo de categorias especiais que são objeto de arquivo histórico municipal e de arquivo de toda a documentação municipal.

5 - Destinatários dos dados: Os destinatários dos dados pessoais são os serviços da biblioteca municipal e os serviços de arquivo histórico municipal e de arquivo de toda a documentação municipal.

6 - Prazo de conservação ou apagamento: Prazo necessário para a tramitação dos procedimentos administrativos, pratica de atos administrativos e conclusão dos procedimentos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

Artigo 72.º

Registo de Atividade - Subunidade Orgânica Flexível Socioeducativa

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os procedimentos desta subunidade orgânica.

2 - Finalidades do tratamento dos dados pessoais: Relativamente aos dados de categorias especiais (estado de saúde) as finalidades ficam restritas ao cumprimento de legislação de proteção social. Relativamente aos demais dados as finalidades são o cumprimento pelo Município das suas atribuições legais em matéria de ação social, apoiando atividades de natureza social e de ação social escolar e de Educação, Ensino e Formação Profissional no cumprimento de obrigações legais e o exercício de funções de interesse público do Município.

3 - Categorias de titulares dos dados pessoais: São as pessoas singulares, candidatos e beneficiários dos procedimentos de natureza social e de ação social escolar e de Educação, Ensino e Formação Profissional desta subunidade.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento podem envolver categorias especiais de dados pessoais, designadamente, o estado de saúde.

5 - Destinatários dos dados: São destinatários dos dados pessoais os Serviços Municipais da subunidade orgânica socioeducativa.

6 - Prazo de conservação ou apagamento: O prazo necessário para a tramitação dos procedimentos administrativos, duração dos apoios sociais, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

7 - As informações sobre o tratamento de dados pessoais e direitos dos titulares nos procedimentos desta subunidade orgânica flexível estão presentes no Anexo I-F.

Artigo 73.º

Registo de Atividade - Videovigilância

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba todos os sistemas de videovigilância instalados pelo Município de Elvas e autorizados pela CNPD, embora após a entrada em vigor do RGPD já não seja necessária a autorização pela CNPD.

2 - Finalidades do tratamento dos dados pessoais: A finalidade única do tratamento de dados pessoais nos sistemas de videovigilância é a proteção de pessoas e bens.

3 - Categorias de titulares dos dados pessoais: São todas as pessoas singulares cujas imagens são captadas pelos sistemas de videovigilância.

4 - Categorias de dados pessoais: Os dados pessoais objeto de tratamento são as imagens de pessoas singulares captadas pelos sistemas de videovigilância.

5 - Destinatários dos dados: São destinatários dos dados pessoais a entidade subcontratante e caso ocorram ilícitos criminais as entidades policiais ou judiciais.

6 - Prazo de conservação ou apagamento: O prazo de 30 dias ou mais tempo caso se verifique a prática de ilícitos criminais.

7 - As informações sobre o tratamento de dados pessoais e direitos dos titulares nos procedimentos desta atividade estão presentes no Anexo I-G.

Artigo 74.º

Registo de Atividade - Dados biométricos

1 - Âmbito do registo de atividades de tratamento: Este registo de tratamento engloba o sistema de registos biométricos do Município de Elvas.

2 - Finalidades do tratamento dos dados pessoais: As finalidades do tratamento de dados pessoais é o controlo de acessos e assiduidade dos trabalhadores.

3 - Categorias de titulares dos dados pessoais: São as pessoas singulares, designadamente, trabalhadores, cujos dados biométricos são tratados pelo Município.

4 - Categorias de dados pessoais: São objeto de tratamento: nome, número de trabalhador, horário, cargo, categoria, função desempenhada, data e hora de entrada e saída, o template da impressão digital, resultante de interpretação algorítmica de pontos fisiométricos dos trabalhadores.

5 - Destinatários dos dados: São destinatários dos dados pessoais os Serviços Municipais.

6 - Prazo de conservação ou apagamento: O período necessário para a prossecução das finalidades do tratamento, ficando ressalvada a eventual necessidade arquivo dos registos de tempos de trabalho nos termos do regulamento arquivístico das autarquias Locais ou do Código do Trabalho.

7 - As informações sobre o tratamento de dados pessoais e direitos dos titulares nos procedimentos desta atividade estão presentes no Anexo I-H.

Artigo 75.º

Registo de Atividade - Comunicações eletrónicas (e-mail e website)

1 - Âmbito do registo de atividades de tratamento: Engloba todos os contactos ou comunicações eletrónicas institucionais com o Município, isto é, na prossecução das atribuições e cumprimento das obrigações legais, enquanto órgão da Administração Pública, incluindo, pedidos de informação ou de esclarecimentos, procedimentos e atos administrativos, a realização de diligências pré-contratuais ou celebração de contratos ou outros atos relacionados com a atividade administrativa do Município de Elvas.

2 - Finalidades do tratamento dos dados pessoais: As finalidades do tratamento de dados pessoais são a tramitação nos serviços municipais, por exigência legal, de procedimentos administrativos ou a celebração de contratos, cumprimento de atribuições ou obrigações legais e funções de interesse público ou autoridade pública enquanto órgão da Administração Pública.

3 - Categorias de titulares dos dados pessoais: São as pessoas singulares cujos dados pessoais são recolhidos eletronicamente e depois tratados pelo Município na prossecução das finalidades supra indicadas.

4 - Categorias de dados pessoais: O Município não consegue controlar os dados pessoais que são submetidos eletronicamente. Mas fará o tratamento de dados de acordo com o princípio da minimização dos dados sendo tratados apenas os adequados, pertinentes, necessários e previstos na legislação aplicável a cada procedimento.

5 - Destinatários dos dados: São destinatários dos dados pessoais os Serviços Municipais.

6 - Prazo de conservação ou apagamento: Prazo necessário para a tramitação dos procedimentos administrativos, pratica de atos administrativos e conclusão dos procedimentos e contratos, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais.

7 - As informações sobre o tratamento de dados pessoais e direitos dos titulares nos procedimentos desta atividade estão presentes no Anexo I-I.

Artigo 76.º

Gabinete de Apoio à Presidência e Subunidade Orgânica Flexível Administrativa e de Atendimento

1 - No seguimento do disposto nos artigos 62.º e 68.º do presente regulamento, as funções do Gabinete de Apoio à Presidência (GAP) e da Subunidade Orgânica Flexível Administrativa e de Atendimento (SOFAA), no âmbito do tratamento de dados pessoais, são de receção, registo, distribuição e expedição de correspondência, requerimentos e outros documentos em suporte físico e eletrónico, incluindo através dos softwares MyNet e MyDoc, que são reencaminhados para os serviços municipais competentes e para o Executivo da Câmara Municipal de Elvas.

2 - Estes dois serviços não possuem um procedimento administrativo próprio onde seja feita a recolha de dados pessoais, fazendo antes a receção e o encaminhamento de requerimentos, documentos e correspondência para procedimentos administrativos tratados por outras subunidades orgânicas flexíveis, sendo as informações sobre tratamento e direitos dos titulares dos dados prestadas nestes procedimentos.

3 - Estes dois serviços devem, aquando da receção de documentação que contenha dados pessoais de pessoas singulares, seja em suporte físico ou eletrónico, prestar aos titulares dos dados as informações sobre o tratamento e os seus direitos, devendo para tal confirmar que os requerimentos entregues correspondem aos formulários disponibilizados pelo Município de Elvas, e caso não sejam utilizados esses formulários deverão:

a) No caso da entrega presencial de documentos: entregar aos titulares dos dados o formulário genérico com informações e direitos, devendo recolher um exemplar desse formulário devidamente assinado pelo titular dos dados. Se o titular dos dados se recusar a assinar o formulário de prestação de informações e direitos, esse documento deverá ser enviado através de endereço postal ou eletrónico ficando o comprovativo anexado ao documento com os dados pessoais.

b) No caso da entrega de documentos via postal ou eletrónica: enviar para o endereço eletrónico de e-mail indicado pelo titular o formulário com informações e direitos, devendo ficar anexado o comprovativo de envio, ou enviar para a morada do titular.

Artigo 77.º

Avaliação de impacto sobre a proteção de dados na confirmação de dados pessoais sensíveis - Subunidade Orgânica Flexível Socioeducativa

1 - Em conformidade com os termos e as condições legalmente previstas, e de acordo com o disposto na alínea b) do n.º 2 do artigo 30.º do presente Regulamento, a avaliação de impacto sobre a proteção de dados na confirmação de dados pessoais sensíveis, procedimento específico executado pela Subunidade Orgânica Flexível Socioeducativa (SOFSE), é necessária e pertinente.

2 - A descrição sistemática das operações de tratamento relacionadas com a confirmação de dados pessoais sensíveis, neste procedimento em concreto, apresenta as seguintes especificidades:

a) Natureza: Tratamento de confirmação da veracidade junto de entidades terceiras de dados pessoais sensíveis que constituem elementos de elegibilidade fornecidos pelos beneficiários para obtenção de apoios sociais.

b) Âmbito: Este tratamento está integrado nos procedimentos de atribuição de benefícios sociais, incluindo apoios sociais e apoios sociais escolares, sendo executado pela Subunidade Orgânica Flexível Socioeducativa.

c) Contexto: Este tratamento decorre expressamente do disposto no Regulamento 819/2018, alterado pelo Regulamento 750/2019, designado como Regulamento Municipal de Apoios Sociais do Município de Elvas, que no n.º 2 do seu artigo 134.º, sob epígrafe "Confirmação de Elementos", estabelece que: "Os competentes serviços municipais podem, ainda, em caso de dúvida relativamente à veracidade dos elementos constantes do processo, realizar as diligências necessárias no sentido de aferir a sua veracidade, podendo, inclusivamente, solicitar às entidades ou serviços competentes a confirmação dos referidos elementos."

d) Finalidades: São finalidades deste tratamento a confirmação da veracidade dos dados pessoais sensíveis disponibilizados pelos beneficiários, a prevenção da fraude e a justa distribuição dos apoios sociais mediante a verificação da não duplicação de apoios de cariz económico e social.

e) Dados pessoais: Apenas a confirmação de dados pessoais sensíveis, nomeadamente estado de saúde, incapacidades ou deficiências, que já estão na posse desta Subunidade e que foram disponibilizados pelos requerentes e beneficiários.

f) Destinatários: Não existem destinatários propriamente ditos, uma vez que se trata da mera confirmação de dados pessoais que já estão na posse do serviço municipal que solicita a confirmação.

g) Tempo de conservação: O tempo de conservação dos dados pessoais corresponderá ao tempo de duração do procedimento administrativo, respetiva decisão e execução do ato administrativo, ou seja, período de duração do apoio social, acrescido do prazo de arquivo previsto no regulamento arquivístico das autarquias Locais.

3 - Os serviços municipais, de acordo com o que decorre do supramencionado Regulamento Municipal, fazem a confirmação dos dados pessoais sensíveis, que são elementos disponibilizados pelos beneficiários para obtenção de apoios sociais, através de reuniões e contactos verbais e presenciais, comunicações eletrónicas, contactos telefónicos e documentos em papel, junto das seguintes entidades: Agrupamentos de Escolas de Elvas, Instituições Particulares de Solidariedade Social do concelho de Elvas, Centro Distrital de Segurança Social de Elvas, Rede Local de Intervenção Social, projetos de cariz social e educativo a decorrer no concelho de Elvas.

4 - A confirmação de dados pessoais, incluindo dados sensíveis, dos beneficiários de apoios sociais ocorre através de reuniões, contactos verbais e presenciais, comunicações eletrónicas e contactos telefónicos estabelecidos entre os serviços municipais socioeducativos e as entidades referidas no n.º 3 do presente artigo.

5 - Este tratamento de dados está expressamente previsto em norma legal no supramencionado Regulamento Municipal, sendo necessário para o cumprimento de obrigações e exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de proteção social, conforme previsto na alínea b) do n.º 2 do artigo 9.º do RGPD.

6 - A confirmação dos dados pessoais sensíveis é um tratamento necessário no interesse da sociedade civil, no contexto da gestão dos serviços e sistemas de ação social e no exercício de atribuições legais e funções de interesse público e autoridade pública pela administração pública local, incluindo a prevenção e o controlo da fraude.

7 - Os titulares dos dados são informados de que os dados fornecidos podem ser objeto de confirmação através de diligências efetuadas pelos serviços municipais junto das entidades referidas no n.º 3 do presente artigo.

8 - O tratamento em causa não envolve subcontratantes, sendo realizado exclusivamente pelos funcionários afetos à Subunidade Orgânica Flexível Socioeducativa do Município de Elvas.

9 - As fontes de risco são reduzidas, uma vez que está apenas em causa a confirmação de dados, ainda que sensíveis, e essa confirmação é executada exclusivamente pelos funcionários referidos no n.º 8 do presente artigo, que tratam o procedimento do titular, não obstante, poderá considerar-se como fonte de risco a troca de comunicações para obtenção de confirmação de dados sensíveis com recurso a comunicação eletrónica sem cifragem dos dados.

10 - Havendo o acesso indevido às comunicações eletrónicas de confirmação, terceiros podem aceder aos dados pessoais sensíveis objeto de confirmação, como seja, o estado de saúde do titular.

11 - As ameaças que possam efetivar serão ataques informáticos aos servidores do Município ou aos computadores onde ficam alojadas as comunicações eletrónicas com confirmação de dados sensíveis.

12 - A probabilidade é reduzida, considerando que o Município tem regras de segurança de proteção dos servidores e a utilização das comunicações eletrónicas para confirmação de dados sensíveis é reduzida.

13 - As medidas adotadas para reduzir os riscos descritos no n.º 10, 11 e 12 do presente artigo são a manutenção da segurança e proteção dos servidores e dos computadores do Município de Elvas e a não utilização de comunicações eletrónicas para confirmação de dados sensíveis, ocorrendo essa confirmação por contacto direto entre os técnicos das entidades envolvidas, em reuniões de trabalho ou através de cifragem, e a utilização de sistema VPN para confirmação eletrónica de dados sensíveis.

Artigo 78.º

Avaliação de impacto sobre o tratamento de dados biométricos - Subunidade Orgânica Flexível Gestão e Formação de Recursos Humanos

1 - Em conformidade com os termos e as condições legalmente previstas, e de acordo com o disposto na alínea c) do n.º 2 do artigo 30.º do presente Regulamento, a avaliação de impacto sobre o tratamento de dados biométricos é necessária e pertinente.

2 - A descrição sistemática das operações de tratamento relacionadas com o tratamento de dados biométricos, neste procedimento em concreto, apresenta as seguintes especificidades:

a) Natureza: Tratamento de dados de natureza sensível através do registo do template da impressão digital, resultante de interpretação algorítmica de pontos fisiométricos.

b) Âmbito: Este tratamento abrange todos os trabalhadores ou colaboradores do Município, independentemente do respetivo vínculo jurídico, que desempenham funções nos serviços municipais.

c) Contexto: A instalação do sistema de biometria está legalmente autorizada pelo artigo 18.º do Código do Trabalho, respeitando as condições do tratamento de dados biométricos em contexto laboral estabelecidas nesse artigo.

d) Finalidades: São finalidades deste tratamento a confirmação da assiduidade e o cumprimento dos horários de trabalho pelos trabalhadores e o cumprimento pelo Município de Elvas, enquanto entidade patronal, da obrigação prevista na legislação laboral de manter registos dos tempos de trabalho praticados pelos trabalhadores.

e) Dados pessoais: Os dados pessoais tratados são os nomes, números, horários, cargos, categorias, funções desempenhadas, datas e horas de entradas, intervalos e saídas, os templates das impressões digitais resultantes da interpretação algorítmica de pontos fisiométricos de cada trabalhador.

f) Destinatários: São destinatários dos dados pessoais exclusivamente os funcionários afetos à Subunidade Orgânica Gestão e Formação de Recursos Humanos do Município de Elvas, que efetua mensalmente o controlo da assiduidade dos trabalhadores e os registos dos tempos de trabalho.

g) Tempo de conservação: O n.º 4 do artigo 202.º do Código do Trabalho estabelece um prazo de cinco anos para conservação dos registos dos tempos de trabalho, o Regulamento Arquivístico das Autarquias Locais estabelece um prazo de três anos para arquivo dos registos de assiduidade e o n.º 3 do artigo 18.º do Código do Trabalho impõe a eliminação dos dados biométricos no momento da cessação dos contratos de trabalho. Nas autorizações emitidas para tratamento de dados biométricos, a autoridade de controlo (CNPD) estabeleceu sempre como prazo de conservação a data da cessação dos contratos de trabalho. Porém, os registos resultantes da utilização de dados biométricos podem ser necessários para demonstrar perante as autoridades e os tribunais, se necessário, o cumprimento das normas legais relativas a assiduidade, registo de tempos de trabalho, limites de tempos de trabalho e horários de trabalho, pelo que o Município de Elvas procede à manutenção dos registos por um prazo de três anos para além da data da cessação dos contratos de trabalho.

3 - No início, intervalos e termo de cada jornada de trabalho, cada trabalhador coloca a sua impressão digital no terminal de recolha e é efetuado o registo do template da impressão digital, resultante de interpretação algorítmica de pontos fisiométricos, a qual é obtida no terminal, ficando os dados armazenados no servidor do Município, aos quais acedem os serviços do Departamento de Administração Geral e Recursos Humanos, nomeadamente os diretamente ligados à gestão de pessoal, para análise mensal dos registos de cada trabalhador.

4 - A recolha dos dados biométricos é efetuada através de sistema de biometria com terminais ID BIO 5 e ID BIO HAND. Os dados biométricos são tratados num sistema central com estabelecimento único e mantidos no servidor do Município de Elvas.

5 - Este tratamento é necessário para cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de acordo com o disposto na alínea b) do n.º 2 do artigo 9.º do RGPD e no artigo 202.º do Código do Trabalho, na sua redação atual.

6 - Conforme decorre das diversas autorizações de utilização de sistemas biométricos emitidas pela CNPD, a utilização de dados biométricos é adequada às finalidades indicadas de registos de tempos de trabalho e controlo da assiduidade dos trabalhadores.

7 - Em cumprimento do princípio da transparência, encontra-se afixado um aviso informativo junto do sistema de recolha dos dados biométricos com informações sobre as condições de tratamento e os direitos dos titulares dos dados.

8 - O tratamento em causa não envolve subcontratantes, sendo realizado exclusivamente pelos funcionários afetos à Subunidade Orgânica Flexível Gestão e Formação de Recursos Humanos do Município de Elvas.

9 - Considerando que os dados pessoais são relativos à identidade dos trabalhadores e aos registos dos tempos de trabalho e que o tratamento é exclusivamente interno com recolha dos dados no terminal biométrico, conservação no servidor e leitura por trabalhador com obrigação de sigilo da Subunidade Orgânica Flexível Gestão e Formação de Recursos Humanos, não se antevê riscos para os direitos dos titulares.

10 - Cumpridas o disposto no artigo 18.º do Código do Trabalho, apresenta-se como reduzido o impacto para os direitos e liberdades dos titulares dos dados, uma vez que a permissão legal para tratamento de dados biométricos em contexto laboral decorre da ponderação pelo legislador com os direitos e liberdades dos trabalhadores.

11 - De uma forma abstrata, as ameaças equacionáveis no tratamento de dados biométricos podem resultar da sua utilização para discriminação dos titulares e a falsificação, usurpação ou apropriação da característica biométrica.

12 - O quadro legal nacional apresenta proibições de discriminação no contexto laboral e quanto à falsificação ou usurpação de característica biométrica, existe uma baixa probabilidade em razão da codificação da imagem biométrica obtida e do circuito fechado e interno do tratamento dos dados.

13 - A reduzução dos riscos descritos no presente artigo prende-se com a manutenção das políticas internas impeditivas de discriminação e da recolha de imagem biométrica não codificada, de modo a que a amostra biométrica nunca seja reproduzida nem que a imagem codificada seja descodificada, impedindo a sua reversão.

Capítulo V

Disposições Finais

Artigo 79.º

Legislação subsidiária

A tudo o que não esteja especialmente previsto no presente Regulamento aplica-se subsidiariamente o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, a Lei 58/2019, de 8 de agosto, e as demais disposições legais que sejam aplicáveis em razão da matéria.

Artigo 80.º

Interpretação e casos omissos

1 - As lacunas, as dúvidas interpretativas e os casos omissos suscitados na aplicação do presente Regulamento são preenchidos ou resolvidos, na linha do seu espírito, mediante despacho fundamentado do Presidente da Câmara Municipal de Elvas.

2 - As menções referentes aos serviços municipais, nomeadamente departamentos, divisões, subunidades orgânicas flexíveis e gabinetes, constantes do presente Regulamento reportam-se, em caso de alteração da estrutura orgânica da Câmara Municipal de Elvas àquelas que as sucederem nas respetivas funções.

Artigo 81.º

Entrada em vigor

O presente Regulamento entra em vigor 5 dias após a sua publicação em 2.ª série do Diário da República.

ANEXO I

Procedimentos de notificação e comunicação

ANEXO I-A

Requerimento para o exercício de direito pelos titulares de dados pessoais

(ver documento original)

ANEXO I-B

Resposta ao requerimento de exercício de direitos dos titulares

(ver documento original)

ANEXO I-C

Informação sobre o tratamento de dados e direitos dos titulares

(ver documento original)

ANEXO I-D

Informação sobre o tratamento de dados pessoais e direitos dos titulares nos procedimentos da Subunidade Orgânica Flexível Gestão e Formação de Recursos Humanos

(ver documento original)

ANEXO I-E

Informação sobre o tratamento de dados pessoais e direitos dos titulares nos procedimentos da Subunidade Orgânica Flexível Compras

(ver documento original)

ANEXO I-F

Informação sobre o tratamento de dados pessoais e direitos dos titulares nos procedimentos da Subunidade Orgânica Flexível Socioeducativa

(ver documento original)

ANEXO I-G

Informação sobre o tratamento e direitos dos titulares dos dados pessoais na videovigilância

(ver documento original)

ANEXO I-H

Informação sobre o tratamento e direitos dos titulares dos dados pessoais biométricos

(ver documento original)

ANEXO I-I

Informação sobre o tratamento de dados pessoais e direitos dos titulares (comunicações eletrónicas e contactos através de website)

(ver documento original)

ANEXO I-J

Formulário de comunicação da violação de dados pessoais à autoridade de controlo (CNPD)

(ver documento original)

ANEXO I-K

Formulário de comunicação da violação de dados pessoais aos titulares

(ver documento original)

ANEXO I-L

Criação ou modificação de conta de utilizador

(ver documento original)

ANEXO II

Minutas e cláusulas

ANEXO II-A

Cláusula Genérica

(ver documento original)

ANEXO II-B

Cláusula Compras

(ver documento original)

ANEXO II-C

Cláusula Recursos Humanos

(ver documento original)

313071094