Sumário: Projeto de Regulamento de Execução Específica.
Nos termos do artigo 101.º do Código do Procedimento Administrativo, publica-se o Projeto de Regulamento de Execução Específica RGPD, aprovado pela Junta de Freguesia de Encosta do Sol na sua reunião ordinária de 06 de maio de 2020 com vista à sua consulta pública, para recolha de sugestões, pelo prazo de 30 dias contados da data da publicação.
Projeto de Regulamento de Execução Específica RGPD
Nota Justificativa
Com a entrada em vigor do RGPD, impondo quer ao setor público, quer ao setor privado, regras uniformes no que ao tratamento de dados pessoais diz respeito, e cuja aplicação direta, dispensaria, à partida outros atos de cariz regulamentar, no caso das autarquias locais, dotadas de poder regulamentar nos limites da Lei e da Constituição, levanta-se a questão da necessidade ou não, porque não obrigatório, da elaboração de um regulamento autárquico de forma a tornar acessível e transparente a aplicação, ou execução do RGPD.
Sopesados os pressupostos inerentes à aplicação concreta do RGPD, considerou-se, nesta autarquia, a via da existência de um regulamento de execução específico para esta autarquia, uma vez que são regulamentadas determinadas especificidades dessa aplicação, que assentam em linhas de orientação que vinculam os órgãos e serviços da autarquia de forma permanente e sistematizada, com eficácia externa.
Este Regulamento é pois a concretização dessa opção.
Preâmbulo
O Regulamento (EU) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (Regulamento Geral de Proteção de Dados, adiante referido como RGPD) relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, válido desde então, mas com um vacatio legis de dois anos, adquirindo a sua eficácia plena em 25 de maio de 2018, data a partir da qual entrou em vigor, vinculando diretamente todos os estados-membros da União Europeia, previa que cada estado-membro procede-se à especificação, por diploma nacional, das suas open terms indo assim ao encontro das peculiaridades próprias de cada ordenamento jurídico, o que em Portugal veio a acontecer em 8 de Agosto de 2018, com a Lei 58/2019.
Decorreu a prévia constituição de interessados de acordo com o estatuído no n.º 1 do artigo 98.º do CPA, com a publicitação de Aviso no sítio eletrónico da freguesia da Encosta do Sol, de 4 de março de 2020;
Entre 05 de março de 2020 e o dia 18 de março de 2020, decorreu o período de constituição de interessados nos termos legais;
Não se verificou a constituição de quaisquer interessados;
Inexistindo interessados não se verificou a respetiva audição, nos termos do artigo 100.º do Código do Procedimento Administrativo;
O projeto de Regulamento será submetido por 30 dias a consulta pública mediante publicação do Aviso n.º /2020 na 2.ª série do Diário da República, n.º , de de de 2020, nos termos e para os efeitos do artigo 101.º do Código do Procedimento Administrativo, sem prejuízo da demais publicitação legal;
Assim, a Assembleia de Freguesia da Encosta do Sol, nos termos e para os efeitos do disposto no artigo 241.º da Constituição da República Portuguesa, do artigo 135.º e seguintes do Código do Procedimento Administrativo, da alínea f), do n.º 1 do artigo 9.º do Regime Jurídico aprovado pela Lei 75/2013, de 12 de setembro, aprovou, sob proposta da Junta de Freguesia da Encosta do Sol, ao abrigo da alínea h) do n.º 1 do artigo 16.º do mesmo diploma na sua Sessão Ordinária realizada em 19 de junho de 2020, o Projeto de Regulamento de Execução da Proteção de Dados da Freguesia da Encosta do Sol.
CAPÍTULO I
Disposições Gerais
Secção I
Fundamento Regulamentar
Artigo 1.º
Lei Habilitante
O presente Regulamento de Execução da Proteção de Dados da Freguesia da Encosta do Sol foi elaborado ao abrigo e nos termos do artigo 241.º da Constituição da República Portuguesa, do disposto no artigo 135.º e seguintes do Código do Procedimento Administrativo, da alínea f), do n.º 1, do artigo 9.º, do Regime Jurídico aprovado pela Lei 75/2013, de 12 de setembro, do Regulamento (EU) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, conjugado com a Lei 58/2019, de 8 de agosto.
Secção II
Escopo
Artigo 2.º
Objeto
O presente regulamento de execução específica visa sistematizar as operações e procedimentos a adotar, de forma vinculativa, no que respeita ao tratamento de dados pessoais feitos pela Freguesia da Encosta do Sol, enquanto Responsável pelo Tratamento.
Artigo 3.º
Âmbito
A responsabilidade do tratamento de dados pessoais realizada pela Freguesia da Encosta do Sol, cobre todas as operações de tratamento realizadas no seu espaço territorial, pelos seus órgãos representativos e serviços da freguesia, bem assim como se aplica a todos os atos e contratos realizados pelos seus órgãos representativos, independentemente de serem praticados dentro ou fora da União Europeia.
Artigo 4.º
Objetivo
O presente regulamento de execução específica visa garantir que os titulares singulares dos direitos dos dados pessoais, cujos dados pessoais sejam objeto de tratamento pela Freguesia da Encosta do Sol, bem assim como todos os recursos humanos da Freguesia, conhecem as regras específicas para o exercício desses direitos, e a transparência do tratamento dos dados pessoais, em linha com o rigoroso cumprimento do Regulamento Geral de Proteção de Dados.
Artigo 5.º
Princípios Aplicáveis
1 - Os dados Pessoais enquanto direitos de personalidade gozam de proteção constitucional por força do Artigo 35.º da Constituição da República Portuguesa.
2 - A atividade da Freguesia da Encosta do Sol está vinculada aos princípios expressos nos artigos 3.º, 4.º, 5.º, 6.º, 7.º, 8.º, 9.º, 10.º, 11.º, 12.º, 13.º, 14.º, do Decreto-Lei 4/2015, de 7 de janeiro, que institui o Código do Procedimento Administrativo (CPA).
3 - Os tratamentos dos dados pessoais escoram-se, nos princípios expressos no Artigo 5.º do RGPD e presentes na Politica de Privacidade da autarquia, publicitada no seu sítio eletrónico.
4 - Os órgãos representativos, e respetivos titulares, os serviços e respetivos colaboradores da Freguesia da Encosta do Sol, independentemente da natureza contratual do respetivo vínculo à autarquia, estão obrigados à observância dos princípios estatuídos, subsidiariamente, no Código de Conduta da autarquia.
Artigo 6.º
Definições Aplicáveis
1 - Para efeitos de aplicação de conceitos e/ou institutos jurídicos, no âmbito do RGPD, as definições adotadas são as constantes no Artigo 4.º do RGPD.
2 - Outras definições, cumulativamente adotadas, e que subjazem à normal atividade da autarquia encontra-mos:
a) Autarquia local - Pessoa coletiva de direito público, designada, no caso presente, por Freguesia;
b) Órgãos representativos - órgãos de cariz eletivo, por sufrágio universal, secreto, que materializa a atividade da autarquia, suportada nos instrumentos previsionais e provisionais respetivos.
c) Órgão - Centro de imputação de poderes ou competências funcionais.
d) Junta de Freguesia - órgão executivo colegial com respaldo constitucional.
e) Assembleia de Freguesia - órgão deliberativo colegial com respaldo constitucional.
f) Presidente da Junta de Freguesia - órgão executivo singular com respaldo na Lei Ordinária, com poderes próprios e delegados pela Junta de Freguesia.
g) Vogais do Executivo - Membros da Junta de Freguesia, sem poderes próprios, que coadjuvam o Presidente, podendo este delegar neles, as competências que a lei venha determinar.
h) Deputado Local - Titular de mandato conferido por escrutínio universal e secreto, para uma assembleia local de cariz politico.
i) Delegação de Poderes - Transferência, a título não definitivo, de competências, do delegante para o delegado, para a emissão de deliberações ou decisões, consoante se trate de órgão colegial ou singular, de caráter final em processo, procedimento, ato ou contrato administrativo, vinculando as partes e gerando a constituição de direitos para terceiros.
j) Delegação de tarefas - Transferência, a título não definitivo, de tarefas consubstanciadas em meras ações, e/ou diligências, no âmbito de processo ou procedimento, sem o poder de decisão final.
k) Delegação de assinatura - Transferência, a título não definitivo, da assinatura de expediente geral.
l) Distribuição de Funções, na aceção da Lei 75/2013, no que concerne à função de Secretário e Tesoureiro do Executivo - Poder que assiste ao Presidente da Junta de Freguesia para designar os vogais que exercerão as funções de Secretário e a de Tesoureiro, sem poder de avocação, mas sim de redistribuição a todo o tempo.
m) Designação do Substituto do Presidente eleito - Poder conferido ao Presidente eleito para livre designação do seu substituto, de entre os vogais que compõem o seu executivo.
Secção III
Sujeitos Jurídicos
Artigo 7.º
Responsável pelo Tratamento de Dados Pessoais
O responsável pelo tratamento de dados pessoais, abrangida por este regulamento, é a entidade, sob cuja responsabilidade é efetuado o tratamento de dados pessoais dos fregueses que acorram aos serviços da autarquia.
Artigo 8.º
Representação
1 - Nos termos da alínea a), do n.º 1, do Artigo 18.º, da Lei 75/2013, de 12 de setembro, compete ao Presidente da Junta de Freguesia da Encosta do Sol a representação da Freguesia em juízo e fora dele.
2 - Nas suas faltas ou impedimentos, os poderes de representação são assumidos pelo seu substituto, por si designado, nos termos da alínea b), do n.º 2, do Artigo 8, da Lei 75/2013.
Artigo 9.º
Responsável pela Proteção de Dados Pessoais
O responsável pela proteção de dados pessoais, traduzido no idioma português, como Encarregado de Proteção de Dados, a partir da grafia inglesa "Data Protetion Officer" (DPO/EPD) é o profissional nomeado para exercer funções atinentes à Proteção de Dados pessoais cujo tratamento decorra sob a responsabilidade da Freguesia da Encosta do Sol.
Artigo 10.º
Titular dos Dados Pessoais
O titular dos dados pessoais é a pessoa jurídica, singular, que intervenha ativa ou passivamente em processo, ato ou contrato, de qualquer natureza com a Freguesia da Encosta do Sol.
CAPÍTULO II
O Responsável pelo Tratamento de Dados Pessoais
Secção I
Titular
Artigo 11.º
Titular Direto
A Freguesia da Encosta do Sol, pessoa coletiva de Direito Público, dotada de personalidade jurídica e capacidade jurídica própria, nos termos da Constituição e da Lei, é o responsável pelo tratamento de dados pessoais.
Secção II
Responsabilizações
Artigo 12.º
A Pessoa jurídica Coletiva
A Freguesia responde por omissões ou violações do RGPD, em conformidade com o quadro sancionatório previsto no RGPD, na Lei 58/2019, e na Lei da Responsabilidade Extracontratual do Estado, ainda que praticadas por seu agente e em seu nome, sem prejuízo do direito de regresso que lhe assiste nos termos da Lei.
Artigo 13.º
A Junta de Freguesia
Os titulares do órgão executivo colegial - Junta de Freguesia - respondem, solidariamente, nos termos do Código do Procedimento Administrativo, no âmbito das competências desta - pelas omissões e violações, ao RGPD, em conformidade com a Lei da Tutela Administrativa.
Artigo 14.º
A Assembleia de Freguesia
Os titulares do órgão deliberativo colegial - Assembleia de Freguesia - respondem, solidariamente, nos termos do Código do Procedimento Administrativo, no âmbito das competências desta - pelas omissões e violações, ao RGPD, em conformidade com a Lei da Tutela Administrativa.
Artigo 15.º
Titulares de per si
1 - Os titulares com poderes e/ou funções próprias, como é o caso do Presidente da Junta de Freguesia, o Secretário e o Tesoureiro, todos do executivo, respondem pessoalmente, pelas omissões ou violações do RGPD, verificadas no âmbito das respetivas funções.
2 - Quando se verifiquem delegações de poderes, de tarefas, ou de assinatura, só existirá responsabilidade partilhada, entre o delegado e o delegante, se as omissões ou violações forem do conhecimento prévio deste, ou, se assim que tenha delas conhecimento não revogue, de imediato, total ou parcialmente a delegação incluso com avocação das matérias em causa.
3 - As hierarquias dos serviços da autarquia, são corresponsáveis, nas omissões ou violações ao RGPD, dos seus subordinados, exceto se for evidenciado de forma objetiva, a exoneração da sua responsabilidade, no ato administrativo concreto que levou à omissão ou violação, designadamente, através de orientações formais, formação e sensibilização junto dos colaboradores.
Secção III
Obrigações
Artigo 16.º
Obrigatoriedade quanto ao DPO
1 - Nos termos da alínea a), do n.º 1, Artigo 37.º do RGPD, conjugado com a alínea c), do n.º 2, do Artigo 12.º, e ainda com a alínea d), do n.º 3, do mesmo Artigo, da Lei 58/2019, de 8 de agosto, a Freguesia da Encosta do Sol, enquanto pessoa coletiva de direito público, está obrigada à nomeação de um DPO, sendo a sua existência perpétua.
2 - A Freguesia da Encosta do Sol disponibiliza ao DPO as condições necessárias ao cabal desempenho das suas funções, proporcionando um espaço físico próprio, com mobiliário próprio - secretaria e armário com fechadura - e equipamento adequado - computador com acesso a internet.
3 - No caso do DPO ser interno, a Freguesia proporciona-lhe as formações que venham a ser consideradas necessárias ao cabal desempenho da função, designadamente nos domínios da Formação, Auditoria, Direito, Informática e Segurança.
Artigo 17.º
Avaliação do Impacto do Tratamento de Dados
A Freguesia da Encosta do Sol está obrigada a proceder a uma avaliação do impacto do tratamento de dados pessoais, nos casos e condições previstas, no Artigo 35.º do RGPD. A estrutura mínima desta avaliação está expressa na Orientação Técnica - OTR-001, cuja elaboração e aprovação compete à Junta de Freguesia da Encosta do Sol.
Artigo 18.º
Registo das Atividades de Tratamento
Nos termos do Artigo 30.º do RGPD, a Freguesia da Encosta do Sol está obrigada a manter um registo, atualizado, das suas atividades de tratamento, devendo observar-se o seguinte:
1 - Deverá ser utilizado o modelo que a Comissão Nacional de Proteção de Dados disponibiliza no seu sítio eletrónico;
2 - O mapa deverá ser validado pelo órgão executivo, e registado na ata respeitante à reunião em que foi aprovado;
3 - As revisões ao mapa deverão ocorrer, ordinariamente, a cada quadrimestre, e extraordinariamente sempre que se mostre adequado.
4 - O DPO acompanha essas revisões, podendo emitir parecer não vinculativo.
Artigo 19.º
Política de Privacidade
A Freguesia da Encosta do Sol publica e mantém, no seu sítio eletrónico, uma Politica de Privacidade, cujo conteúdo mínimo está definido na Orientação Técnica - OTR-002, cuja elaboração e aprovação compete à Junta de Freguesia da Encosta do Sol.
Artigo 20.º
Sensibilização dos Colaboradores e outras Formações
A Freguesia da Encosta do Sol proporciona a todos os colaboradores, cujo vínculo seja ao abrigo de relação jurídica de trabalho dependente, prestação de serviços, ou de cariz eletivo, ações de sensibilização e outras atividades de cariz formativo tidas por necessárias, nos termos da Orientação Técnica - OTR-03, cuja elaboração e aprovação compete à Junta de Freguesia da Encosta do Sol.
Artigo 21.º
Responsabilidades Especificas
Cabe ao responsável pelo tratamento assegurar que as operações de tratamento de dados sejam efetuadas em conformidade com o RGPD, devendo poder demonstrar que as disposições deste Regulamento são cumpridas. Incumbem ao responsável pelo tratamento, em particular, as seguintes responsabilidades:
1 - Dar execução a medidas técnicas e organizativas adequadas para efeitos de aplicação dos princípios de proteção dos dados desde a conceção e por defeito;
2 - Dar ao pessoal sob a sua autoridade instruções adequadas para assegurar a legalidade, a lealdade, a transparência e a confidencialidade do tratamento dos dados e um nível de segurança adequado face aos riscos apresentados por tal tratamento;
3 - Cooperar com o encarregado da proteção de dados e com a Autoridade Nacional para a Proteção de Dados no exercício das respetivas funções, nomeadamente comunicando-lhes informações em resposta aos seus pedidos;
4 - Informar e envolver em tempo útil o encarregado da proteção de dados, nomeadamente no que se refere a projetos relativos a novas operações de tratamento de dados ou a alterações significativas das operações existentes.
Artigo 22.º
Notificação de Violações de Dados Pessoais
1 - O responsável pelo tratamento notifica a violação à Autoridade Nacional para a Proteção de Dados sem demora indevida e, se possível, no prazo de 72 horas após ter tido conhecimento da violação, salvo se essa violação não for suscetível de constituir um risco para os direitos e para as liberdades das pessoas singulares. Caso não seja feita no prazo de 72 horas, a notificação à Autoridade Nacional para a Proteção de Dados deve ser acompanhada dos motivos do atraso.
2 - O subcontratante deve notificar o responsável pelo tratamento sem demora indevida após tomar conhecimento de uma violação de dados pessoais.
3 - A notificação referida no n.1 deve, pelo menos:
a) Descrever a natureza da violação de dados pessoais, incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, e as categorias e o número aproximado de registos de dados pessoais em causa;
b) Comunicar o nome e os contactos do encarregado da proteção de dados;
c) Descrever as consequências prováveis da violação de dados pessoais;
d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.
4 - Caso, e na medida em que, não seja possível comunicar todas as informações ao mesmo tempo, as informações podem ser comunicadas por fases, sem demora indevida.
5 - O responsável pelo tratamento deve informar o encarregado da proteção de dados acerca da violação de dados pessoais.
6 - O responsável pelo tratamento deve documentar todas as violações de dados pessoais, incluindo os factos relacionados com a violação, os seus efeitos e as medidas de reparação adotadas. Essa documentação deve permitir à Autoridade Europeia para a Proteção de Dados verificar o respeito do presente artigo.
Artigo 23.º
Comunicação de violações de dados pessoais ao titular dos dados
1 - Caso uma violação de dados pessoais seja suscetível de constituir um elevado risco para os direitos e para as liberdades das pessoas singulares, o responsável pelo tratamento deve comunicá-la ao titular dos dados sem demora indevida.
2 - A comunicação ao titular dos dados a que se refere o n.1 do presente artigo deve descrever em linguagem clara e simples a natureza da violação de dados pessoais e incluir, pelo menos, as informações e as medidas referidas no artigo 20.º, n.º 3, alíneas b), c) e d).
3 - A comunicação ao titular dos dados a que se refere o n.1 não é obrigatória caso esteja satisfeita uma das seguintes condições:
a) O responsável pelo tratamento aplicou medidas técnicas e organizativas de proteção adequadas aos dados pessoais afetados pela violação, nomeadamente medidas como, por exemplo, a cifragem, que tornam os dados pessoais incompreensíveis para as pessoas não autorizadas a aceder a esses dados;
b) O responsável pelo tratamento tomou medidas subsequentes que asseguram que o elevado risco para os direitos e para as liberdades dos titulares dos dados a que se refere o n.1 já não é suscetível de se concretizar;
c) A comunicação implicaria um esforço desproporcionado. Nesse caso, é feita uma comunicação pública, ou tomada uma medida semelhante, através da qual os titulares dos dados são informados de forma igualmente eficaz.
4 - Se o responsável pelo tratamento ainda não tiver comunicado a violação de dados pessoais ao titular dos dados, a Autoridade Nacional para a Proteção de Dados, tendo avaliado a probabilidade de a violação de dados pessoais implicar um elevado risco, pode exigir-lhe que proceda a essa comunicação, ou pode constatar que está satisfeita uma das condições referidas no n.3.
CAPÍTULO III
O Responsável pela Proteção de Dados Pessoais (DPO)
Secção I
Características do Titular
Artigo 24.º
Perfil, Estatuto e Competências Habilitacionais e Funcionais
1 - Ao profissional nomeado para esta função, para além de capacitado com as características expressas no n.º 5, do Artigo 37.º, e do Artigo 39.º ambos do RGPD, assim como as do n.º 2, do Artigo 9.º, e do Artigo 10.º e 11.º todos da Lei 58/2019, de 8 de agosto, é exigível o cumprimento da Orientação Técnica - OTR-004, cuja elaboração e aprovação compete à Junta de Freguesia da Encosta do Sol.
2 - O encarregado da proteção de dados pode ser consultado ou prestar aconselhamento, a requerimento dos serviços da autarquia e/ou dos seus eleitos.
3 - O encarregado da proteção de dados participa regularmente em reuniões dos órgãos representativos da autarquia e, sendo caso disso, a convite de outros encarregados da proteção de dados das outras instituições e órgãos, públicos, a fim de facilitar a boa cooperação.
4 - O encarregado da proteção de dados está permanentemente sujeito às regras e disposições do Estatuto dos Trabalhadores em funções públicas, ou do Regime Aplicável aos Outros Agentes, consoante aplicável.
Artigo 25.º
Informações e acesso
1 - O responsável pelo tratamento informa imediatamente o encarregado da proteção de dados no que concerne à criação de um novo procedimento administrativo ou à alteração de um procedimento administrativo existente que afete operações de tratamento de dados pessoais.
2 - O encarregado da proteção de dados tem acesso, em qualquer momento, aos dados pessoais que estão a ser tratados, às instalações de tratamento de dados e aos suportes de informação.
Artigo 26.º
Auditoria interna
O encarregado da proteção de dados colabora com o auditor interno, caso exista, quando tal lhe for solicitado por este último no âmbito das suas competências, em particular para facilitar a realização de auditorias internas que envolvam o tratamento de dados pessoais, sem prejuízo das atividades de auditoria interna em RGPD especifica que por aquele venham a ser determinadas.
Artigo 27.º
Abordagem baseada nos riscos
1 - O encarregado da proteção de dados, mediante pedido ou por sua própria iniciativa, fornece informações sobre procedimentos administrativos novos ou alterados ou sobre medidas técnicas ou organizativas que envolvam o tratamento de dados pessoais e assiste o responsável pelo tratamento na avaliação dos riscos para os direitos e as liberdades dos titulares dos dados.
2 - O encarregado da proteção de dados aconselha o responsável pelo tratamento, na sequência da avaliação dos riscos, sobre a eventual necessidade de realizar uma avaliação de impacto relativa à proteção de dados.
Artigo 28.º
Medidas técnicas e organizativas
1 - O encarregado da proteção de dados aconselha o responsável pelo tratamento relativamente à avaliação de soluções técnicas e organizativas para dar execução às operações de tratamento.
2 - O encarregado da proteção de dados pode recomendar ao Executivo medidas técnicas ou organizativas, caso conclua, com base numa avaliação, que uma operação de tratamento não garante o pleno cumprimento do RGPD.
Artigo 29.º
Relatório anual
O encarregado da proteção de dados elabora um relatório anual de atividades destinado ao Executivo, sobre as atividades desenvolvidas no âmbito da proteção de dados pessoais da Autarquia. O encarregado da proteção de dados divulga o relatório pelos serviços da Autarquia.
Artigo 30.º
Eleitos e grupos políticos da Autarquia
1 - Os deputados ao órgão deliberativo da Autarquia e os grupos políticos com assento nela, bem assim como os eleitos do órgão executivo, podem solicitar aconselhamento ao encarregado da proteção de dados sobre questões relacionadas com a aplicação do RGPD. Sem prejuízo da responsabilidade que incumbe aos deputados ao órgão deliberativo da Autarquia e aos grupos políticos da mesma de aplicar o RGPD, na qualidade de responsável pelo tratamento na aceção do artigo 10.º, 11.º e 12.º do presente Regulamento, o encarregado da proteção de dados pode, a pedido de um membro da Assembleia ou de um grupo político da mesma, oferecer o seu aconselhamento, aplicando, as disposições pertinentes do presente regulamento.
2 - O encarregado da proteção de dados determina caso a caso as modalidades detalhadas da assistência a que se refere o n.º 1, em conformidade com a presente regulamento. O exercício dessa função de aconselhamento não deve colidir com as outras funções do encarregado da proteção de dados.
CAPÍTULO IV
Exercício de Direitos pelos Titulares dos Dados
Artigo 31.º
Regras gerais de Exercício
1 - O direito de ser informado, o direito de acesso, o direito de retificação, o direito ao apagamento dos dados, o direito à limitação do tratamento, o direito dos destinatários a serem notificados, o direito de portabilidade dos dados, o direito de oposição e os direitos relativos a decisões automatizadas, incluindo a definição de perfis, só podem ser exercidos pelo titular dos dados ou pelo seu representante legal.
2 - O titular dos dados apresenta ao responsável pelo tratamento os pedidos de exercício de um dos seus direitos referidos no n.º 1. Em formato livre para o efeito, Os pedidos devem conter:
a) O apelido, o nome próprio e os contactos do titular dos dados;
b) Uma indicação do direito que se pretende exercer;
c) Documentos que justifiquem o pedido, se for caso disso;
d) A categoria ou as categorias dos dados pessoais em questão;
e) A assinatura do titular dos dados e a data do pedido.
3 - O pedido pode ser apresentado por correio interno ou externo, por correio eletrónico ou por qualquer outro meio escrito.
4 - O responsável pelo tratamento solicita os esclarecimentos necessários caso os pedidos sejam pouco claros ou incompletos. Enquanto não forem definitivamente esclarecidas todas as questões, não começa a correr o prazo aplicável de trinta dias.
5 - O responsável pelo tratamento verifica a identidade do titular dos dados. A identidade do titular dos dados é verificada da forma menos intrusiva possível.
6 - O responsável pelo tratamento responde aos pedidos de exercício dos direitos apresentados pelos titulares dos dados, mesmo nos casos em que a Autarquia não detenha dados pessoais pertinentes. Um aviso de receção é enviado ao titular dos dados no prazo de cinco dias úteis a contar da receção do pedido. No entanto, o responsável pelo tratamento não fica obrigado a enviar um aviso de receção caso, no mesmo prazo de cinco dias úteis, seja dada uma resposta ao pedido quanto à questão de fundo.
7 - A resposta é transmitida ao titular dos dados, nos prazos previstos, pelo mesmo meio de comunicação utilizado pelo titular dos dados, salvo pedido seu em contrário.
8 - Ao tratar um pedido, o responsável pelo tratamento tem em conta a eventual necessidade de aplicar obrigações legais que limitem o pedido feito ou as respostas a fornecer.
9 - No caso de um pedido ser particularmente complexo ou se for provável que o seu correto tratamento seja suscetível de constituir um risco para os direitos e as liberdades de outros titulares de dados, o responsável pelo tratamento consulta o encarregado da proteção de dados.
Artigo 32.º
Direito de ser informado
1 - O responsável pelo tratamento presta as informações adequadas, inclusive quando exista a intenção de proceder ao tratamento posterior, de forma generalizada na Internet ou na Intranet.
2 - Se possível, e sem prejuízo dos meios alternativos de comunicação, as informações são transmitidas aos titulares dos dados em questão de maneira individualizada, por escrito ou por meios eletrónicos.
Artigo 33.º
Direito de acesso
1 - Sem prejuízo do disposto no n.º 2, quando o titular dos dados apresentar um pedido de acesso aos seus dados pessoais, o responsável pelo tratamento recupera os dados em questão do local onde se encontram conservados, incluindo documentos eletrónicos ou em papel, e disponibiliza-os ao titular dos dados por um dos seguintes meios:
a) Compilação elaborada pelo responsável pelo tratamento;
b) Cópia em papel ou em formato eletrónico;
c) Outros meios à disposição do responsável pelo tratamento e adequados à configuração do ficheiro.
2 - Se o titular dos dados apresentar um pedido de acesso por meios eletrónicos, e salvo pedido em contrário, o responsável pelo tratamento faculta as informações num formato eletrónico de uso corrente.
Artigo 34.º
Direito de retificação
1 - Os pedidos de retificação devem especificar os dados pessoais a retificar ou a completar, demonstrar o caráter inexato ou incompleto dos dados e indicar a correção que deve ser efetuada. Podem ser acompanhados por documentos justificativos, se for caso disso.
2 - O titular dos dados é notificado da realização da retificação. Em caso de indeferimento do pedido, o responsável pelo tratamento informa o titular dos dados sobre os motivos dessa decisão, de forma fundamentada, nos termos do Código do Procedimento Administrativo, por escrito.
Artigo 35.º
Direito ao apagamento dos dados
1 - Os pedidos de apagamento de dados devem especificar os dados pessoais a apagar e indicar os motivos do apagamento.
2 - O titular dos dados é notificado da realização do apagamento. Em caso de indeferimento do pedido, o responsável pelo tratamento informa o titular dos dados sobre os motivos dessa decisão, de forma fundamentada, nos termos do Código do Procedimento Administrativo, por escrito.
3 - O apagamento pressupõe o desaparecimento físico dos dados pessoais sem que seja necessário substituí-los por um código.
Artigo 36.º
Direito à limitação do tratamento
1 - Os pedidos de limitação do tratamento devem especificar os dados pessoais em causa e os motivos da limitação.
2 - O titular dos dados é notificado da realização da limitação do tratamento. Em caso de indeferimento do pedido, o responsável pelo tratamento informa o titular dos dados sobre os motivos dessa decisão, de forma fundamentada, nos termos do Código do Procedimento Administrativo, por escrito.
Artigo 37.º
Direito de portabilidade dos dados
1 - Os pedidos apresentados devem especificar os dados pessoais em questão.
2 - Em caso de indeferimento do pedido, o responsável pelo tratamento informa o titular dos dados sobre os motivos dessa decisão, de forma fundamentada, nos termos do Código do Procedimento Administrativo, por escrito.
Artigo 38.º
Direito de oposição
1 - Em caso de oposição, é necessário especificar os dados pessoais em questão e os motivos relacionados com a situação pessoal que justificam a oposição.
2 - Em caso de rejeição da oposição, o responsável pelo tratamento informa o titular dos dados dos motivos dessa decisão, de forma fundamentada, nos termos do Código do Procedimento Administrativo, por escrito.
Artigo 39.º
Entrada em vigor
O presente Regulamento entra em vigor no dia seguinte à sua publicação no Diário da República.
5 de junho de 2020. - O Presidente, Dr. Armando Jorge Paulino Domingos.
313300129
