Aprova o Regulamento da Proteção de Dados Pessoais do Município de Setúbal

Aviso 2210/2024

Sumário: Aprova o Regulamento da Proteção de Dados Pessoais do Município de Setúbal.

André Valente Martins, Presidente da Câmara Municipal de Setúbal, torna público que nos termos e para os efeitos do disposto nos Artigos 139.º e 140.º, do novo Código do Procedimento Administrativo (CPA), aprovado pelo Decreto-Lei 4/2015, de 7 de janeiro, foi aprovado o "Regulamento da Proteção de Dados Pessoais do Município de Setúbal", que foi presente à reunião ordinária da Câmara Municipal realizada em 26 de julho de 2023 e aprovada em sessão da Assembleia Municipal de 11 de janeiro de 2024, entrará em vigor no dia útil seguinte ao da sua publicação no Diário da República, podendo ser consultado na página oficial do Município na internet em www.mun-setubal.pt.

15 de janeiro de 2024. - O Presidente da Câmara, André Valente Martins.

Regulamento da Proteção de Dados Pessoais do Município de Setúbal

CAPÍTULO I

Disposições gerais

Artigo 1.º

Lei habilitante

O presente Regulamento é aprovado ao abrigo do disposto no artigo 241.º da Constituição da República Portuguesa; no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares quanto ao tratamento de dados pessoais e à circulação desses dados, na Lei 58/2019, de 8 de agosto, com respeito pelas exigências constantes no artigo 135.º do Código do Procedimento Administrativo, aprovado pelo Decreto-Lei 4/2015, de 7 de janeiro.

Artigo 2.º

Objeto

1 - O presente Regulamento estabelece as regras, os termos e as condições pelas quais se rege a atuação do Município de Setúbal, tendo em consideração o disposto na legislação atualmente em vigor.

2 - O presente Regulamento visa:

a) Disciplinar, sistematizar e uniformizar a proteção de dados pessoais no âmbito do Município de Setúbal;

b) Promover, defender e garantir, de forma complementar ao regime legal vigente, os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais e os seus direitos enquanto titulares dos dados, aquando da sua interação com o Município de Setúbal;

c) Consolidar a implementação do RGPD no âmbito da ação e da atuação do Município de Setúbal, enquanto responsável pelo tratamento de dados pessoais;

d) Definir a atuação dos serviços municipais, no âmbito da recolha e do tratamento de dados pessoais.

3 - As regras constantes do presente Regulamento abrangem todo o tratamento de dados pessoais, por meios total ou parcialmente automatizados e por meios não automatizados, e a livre circulação desses dados, em defesa dos direitos e das liberdades fundamentais dos seus titulares, quando a responsabilidade do tratamento seja do Município de Setúbal.

4 - O presente regulamento não se aplica ao tratamento de dados pessoais, quando efetuado pelas autoridades competentes, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

Artigo 3.º

Âmbito

1 - O presente Regulamento aplica-se às operações de tratamento de dados pessoais que sejam realizadas na sequência de qualquer procedimento efetuado junto da Câmara Municipal de Setúbal.

2 - São destinatários do presente Regulamento:

a) As unidades orgânicas do Município de Setúbal;

b) Os trabalhadores do Município de Setúbal;

c) Os contraentes de aquisições de bens, serviços e empreitadas;

d) Todas as pessoas singulares que, a qualquer título, se relacionem, com o Município de Setúbal.

3 - Por força da qualidade em que intervêm, os destinatários do presente Regulamento referidos nas alíneas a), b) e c) do número anterior têm um dever especial de confidencialidade relativamente à proteção de dados pessoais de que tomem conhecimento, quer no estrito âmbito da sua atividade, quer por forma eventual ou fortuita.

Artigo 4.º

Definições

Para efeitos do presente Regulamento, entende-se por:

a) Autoridade de controlo: uma autoridade pública independente criada por um Estado-Membro, nos termos do artigo 51.º do RGPD;

b) Avaliação de impacto sobre a proteção de dados (AIPD): diligência e estudo prévio obrigatório no âmbito da proteção de dados, daqueles dados cujo tratamento seja suscetível de resultar num alto risco para os direitos e liberdades dos respetivos titulares, designadamente quando se esteja na presença de dados pessoais especiais.

c) Consentimento: uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

d) Dados biométricos: dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;

e) Dados genéticos: dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular, que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta, designadamente, de uma análise de uma amostra biológica proveniente da pessoa singular em causa;

f) Dados pessoais: informação relativa a uma pessoa singular (titular dos dados) identificada ou identificável, sendo considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

g) Dados relativos à saúde: dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;

h) Definição de perfis: qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

i) Destinatário: uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebe comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro;

j) Encarregado de Proteção de Dados: pessoa designada envolvida nas questões relativas à proteção de dados pessoais com funções específicas nessa matéria;

k) Limitação do tratamento: a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

l) Ficheiro: qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

m) Privacidade desde a conceção (privacy by design): abordagem pró-ativa que assenta na necessidade de garantir a privacidade durante todo o processo de desenvolvimento de um novo processo, considerando-se o risco que tal representa para a privacidade na sua conceção e não apenas posteriormente;

n) Privacidade por defeito (privacy by default): representa a obrigação de assegurar que são adotados os mecanismos necessários para garantir que, por defeito, só vão ser recolhidos, utilizados e conservados para cada tratamento os dados pessoais necessários;

o) Pseudonimização: tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

p) Responsável pelo tratamento: a pessoa singular ou coletiva, no caso vertente o Município de Setúbal, através da Câmara Municipal de Setúbal, que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais;

q) Subcontratante: uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;

r) Tratamento: uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

s) Violação de dados pessoais: uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

t) «Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais.

u) «Compliance», verificação da conformidade da atuação do Município com o RGPD, designadamente quanto às suas regras, políticas, diretrizes e atividades, sem prejuízo da deteção de desvios e inconformidades e da sua resolução.

v) «Accountability», responsabilização ética do Município, no sentido do serviço público e do cumprimento do RGPD, mediante a adoção de adequados procedimentos de controlo interno e de transparência na prestação de contas aos munícipes e aos demais que interagem com a Câmara Municipal de Setúbal.

Artigo 5.º

Princípios relativos ao tratamento de dados pessoais

Nos termos do artigo 5.º do RGPD, o tratamento de dados pessoais é pautado pelo:

a) Princípio da licitude: O tratamento de dados pessoais só pode ser realizado ao abrigo das condições previstas na legislação em vigor, entenda-se o RGPD, a Lei 58/2019, de 8 de agosto, e as demais disposições legais e regulamentares em matéria de proteção de dados pessoais;

b) Princípio da lealdade e transparência: O tratamento de dados pessoais deve ser realizado sempre de forma leal e transparente perante os titulares dos dados pessoais;

c) Princípio da limitação das finalidades: Os dados pessoais devem ser recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de forma incompatível com as finalidades de recolha;

d) Princípio da minimização: Os dados pessoais devem ser os adequados, pertinentes e restritos ao que seja necessário para o fim em vista, não podendo ser feito o seu tratamento quando a finalidade subjacente possa ser alcançada por outros meios;

e) Princípio da exatidão: Os dados pessoais devem ser exatos e atualizados sempre que necessário, sendo que, caso se verifiquem inexatos, são apagados ou retificados sem demora;

f) Princípio da limitação da conservação: Os dados pessoais devem ser conservados de forma a permitir a identificação dos titulares dos dados, apenas durante o período estritamente necessário, para as finalidades para as quais são tratados;

g) Princípio da integralidade e confidencialidade: Os dados pessoais devem ser tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, mediante adoção de medidas técnicas ou organizativas adequadas;

h) Princípio da responsabilidade: O responsável pelo tratamento tem de cumprir todos os princípios indicados e conseguir comprovar esse cumprimento.

CAPÍTULO II

Responsável pelo tratamento de dados

Artigo 6.º

Responsável pelo tratamento de dados pessoais

1 - O responsável pelo tratamento de dados é o Município de Setúbal, o qual, nos termos da lei, é representado pelo Presidente da Câmara Municipal em juízo e fora dele.

2 - O responsável pelo tratamento determina a aplicação das medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o RGPD e o presente Regulamento.

3 - As medidas referidas no número anterior são revistas e atualizadas consoante as necessidades, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis.

4 - As medidas devem incluir a adoção e o modo de aplicação das políticas adequadas em matéria de proteção de dados, códigos de conduta, políticas de privacidade e procedimentos de certificação, os quais constituem evidências do cumprimento das obrigações por parte do responsável pelo tratamento.

Artigo 7.º

Competências do responsável pelo tratamento de dados pessoais

1 - Sem prejuízo das demais competências constantes no RGPD, o responsável pelo tratamento de dados deve determinar a aplicação, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, das medidas técnicas e organizativas adequadas, destinadas a aplicar com eficácia os princípios da proteção de dados, e a incluir as garantias necessárias no tratamento, de forma que este cumpra os requisitos do RGPD e do presente Regulamento, protegendo os direitos dos titulares dos dados.

2 - Incumbe ao responsável pelo tratamento determinar a aplicação de medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento, bem como não sejam disponibilizados, sem intervenção humana, a um número indeterminado de pessoas singulares.

3 - A obrigação referida no número anterior aplica-se:

a) À quantidade de dados pessoais recolhidos;

b) À extensão do seu tratamento;

c) Ao seu prazo de conservação;

d) À sua acessibilidade.

4 - São competências do responsável pelo tratamento de dados pessoais, nomeadamente, as a seguir elencadas:

a) Comunicar à autoridade de controlo as violações dos dados pessoais que lhe sejam comunicadas pelo encarregado da proteção de dados, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar risco para os direitos e liberdades das pessoas singulares;

b) Comunicar ao titular dos dados pessoais, sem demora injustificada, a violação destes, se a mesma for suscetível de implicar um elevado risco para os seus direitos e liberdades, exceto quando se verifique um dos seguintes casos:

i) O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, nomeadamente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;

ii) O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados já não é suscetível de se concretizar; ou

iii) Implicar um esforço desproporcionado.

c) Solicitar pareceres ao encarregado da proteção de dados, nos termos da alínea anterior;

d) Apoiar o encarregado da proteção de dados no exercício das suas funções, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.

5 - Se a notificação à autoridade de controlo referida na alínea a) do número anterior não for transmitida no prazo de 72 horas, esta deve ser acompanhada dos motivos do atraso.

6 - O responsável pelo tratamento de dados deve conservar um registo de todas as atividades de tratamento sob a sua responsabilidade, do qual devem constar todas seguintes informações:

a) O nome e os contactos do responsável pelo tratamento e do encarregado da proteção de dados;

b) As finalidades do tratamento dos dados;

c) A descrição das categorias de titulares de dados e das categorias de dados pessoais;

d) As categorias de destinatários a quem os dados pessoais são divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;

e) Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais;

f) Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;

g) Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança.

7 - O responsável pelo tratamento de dados deve determinar, antes que seja iniciado o respetivo tratamento, uma Avaliação de Impacto da Proteção de Dados (AIPD) quando o mesmo for suscetível de resultar num alto risco para os direitos, liberdades e garantias das pessoas, devendo tal avaliação contar com o parecer obrigatório do EPD.

8 - Previamente ao tratamento, ao responsável pelo tratamento de dados incumbe consultar a autoridade de controlo sempre que, no âmbito de uma AIPD, se concluir que o mesmo, na ausência de garantias e de medidas e procedimentos de segurança para atenuar os riscos, implica um elevado risco para os direitos e liberdades das pessoas singulares que não pode ser atenuado através de medidas razoáveis, atendendo à tecnologia disponível e aos custos de aplicação.

CAPÍTULO III

Encarregado da proteção de dados

Artigo 8.º

Encarregado da proteção de dados

1 - Compete ao Município de Setúbal, enquanto órgão público e responsável pelo tratamento dos dados pessoais, a designação do EPD, que deverá ser designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como nas suas capacidades para desempenhar as funções referidas no Artigo 39.º do RGPD.

2 - O EPD não recebe instruções relativamente ao exercício das suas funções, assim como não pode ser destituído nem penalizado pelo responsável pelo tratamento dos dados pessoais por força do exercício das mesmas, exercendo-as com total independência e autonomia em relação à estrutura hierárquica municipal.

3 - O EPD está obrigado ao dever de sigilo durante o exercício de funções, mantendo-se tal dever após o termo das mesmas.

4 - O Encarregado da proteção de dados, quando exerça outras funções ou atribuições, não deve estar sujeito a qualquer conflito de interesses e, na eventualidade de tal se verificar em momento superveniente à sua nomeação, deve optar entre as mesmas.

Artigo 9.º

Funções do encarregado da proteção de dados

1 - O EPD serve como intermediário entre a autoridade de controlo, os titulares dos dados e o responsável pelo tratamento dos dados, exercendo as seguintes funções:

a) Informar e aconselhar o responsável pelo tratamento dos dados, bem como os trabalhadores que tratem os dados pessoais, a respeito das suas obrigações nos termos do presente Regulamento;

b) Controlar de forma contínua a conformidade com o RGPD, legislação nacional, bem como com o presente Regulamento relativo à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados e as auditorias correspondentes;

c) Assegurar a realização de auditorias, quer periódicas, quer não programadas;

d) Assegurar as relações com os titulares dos dados pessoais nas matérias abrangidas pelo RGPD, pela legislação nacional e pelo presente Regulamento na proteção dos dados;

e) Prestar aconselhamento e emitir pareceres, quando tal lhe for solicitado pelo responsável pelo tratamento dos dados, no que respeita à avaliação de impacto sobre a proteção de dados, controlando a sua realização;

f) Cooperar com a autoridade de controlo, sendo o seu ponto de contacto quanto a questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.º do RGPD, consultando ainda esta entidade quando for necessário;

g) Colaborar com o responsável pelo tratamento dos dados pessoais no reporte de qualquer violação de dados pessoais no prazo máximo de 72 horas.

2 - No desempenho das suas funções, o EPD deve ter em consideração os riscos associados às operações de tratamento, observando a sua natureza, o âmbito, o contexto e as finalidades do tratamento.

Artigo 10.º

Direitos

1 - O EPD tem direito a:

a) Dispor dos recursos necessários ao desempenho das suas funções;

b) Ter acesso a todas as informações existentes nos serviços que lhe permitam exercer a sua função de forma célere e independente;

c) Aceder, de forma pontual e pelo tempo estritamente necessário, aos servidores e computadores do Município de Setúbal para aferir os dados existentes, devendo ser justificada ao Presidente da Câmara Municipal a necessidade de acesso.

2 - O Município de Setúbal deve prever e providenciar os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.

CAPÍTULO IV

Proteção de dados

Secção I

Direitos e Tratamento dos Dados Pessoais

Artigo 11.º

Licitude do tratamento de dados pessoais em geral

O tratamento de dados pessoais em geral, por parte do Município de Setúbal, é lícito sempre que se verifique uma das seguintes situações:

a) O titular dos dados tiver dado o seu consentimento para o tratamento dos dados pessoais para uma ou mais finalidades específicas;

b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências pré-contratuais a pedido do titular dos dados;

c) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

d) O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

Artigo 12.º

Licitude do tratamento de categorias especiais de dados pessoais e/ou de dados pessoais sensíveis

1 - As categorias especiais de dados pessoais e/ou dados pessoais sensíveis englobam os dados ou informações que implicam maiores riscos para os direitos e liberdades fundamentais da pessoa humana, como origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos que permitam identificar uma pessoa de forma inequívoca, dados relativos à saúde, dados relativos à vida sexual ou orientação sexual.

2 - Nos termos do n.º 1 do artigo 9.º do RGPD, é proibido o tratamento destes dados pessoais, salvo nos seguintes casos:

a) Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se a legislação europeia e nacional previr que a proibição não pode ser anulada pelo titular dos dados;

b) Tratamento necessário para cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social;

c) Tratamento necessário para medicina preventiva ou do trabalho, para avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social;

d) Tratamento se refira a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;

e) Tratamento necessário para interesse público importante, legalmente previsto, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados;

f) Tratamento necessário para arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, previsto na lei, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas para a defesa dos direitos fundamentais e dos interesses do titular dos dados, respeitando o disposto no artigo 31.º da Lei 58/2019, de 8 de agosto.

Artigo 13.º

Registos de atividades de tratamento de dados pessoais

1 - O Município de Setúbal, enquanto responsável pelo tratamento, conserva registos de todas as atividades de tratamento de dados pessoais sob a sua responsabilidade.

2 - Dos registos das atividades de tratamento devem constar todos os elementos e informações legalmente exigidos.

Artigo 14.º

Finalidades do tratamento de dados pessoais

1 - Consideram-se como finalidades do tratamento de dados pessoais no Município de Setúbal:

a) As previstas para o seu normal funcionamento;

b) As previstas na alínea b) do n.º 1 do artigo 5.º do RGPD;

c) A tramitação nos serviços municipais, por exigência legal, de procedimentos administrativos ou a celebração de contratos, seja oficiosamente ou a requerimento dos titulares dos dados;

d) O cumprimento pelo Município de Setúbal das suas atribuições ou obrigações legais e das suas funções de interesse público ou autoridade pública enquanto órgão da Administração Pública;

e) O exercício pelos titulares dos dados ou pelo Município de Setúbal de direitos e obrigações previstos na legislação.

2 - É vedada qualquer recolha e tratamento de dados pessoais que não sejam determinadas, explícitas e legítimas.

Artigo 15.º

Transmissão de dados pessoais

A transmissão de dados pessoais é permitida quando prevista em disposição legal, para cumprimento de direitos ou obrigações legalmente previstas e/ou se absolutamente necessária à prossecução do interesse público ou exercício de autoridade pública.

Artigo 16.º

Direitos dos titulares dos dados pessoais

1 - Nos termos do RGPD, e identificadas as disposições específicas no que diz respeito ao Município de Setúbal, são direitos dos titulares dos dados:

a) Confirmação de que os dados pessoais são objeto de tratamento;

b) Direito de acesso aos dados pessoais: O titular dos dados tem direito de obter do responsável pelo tratamento confirmação de que os seus dados pessoais são, ou não, objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados e às seguintes informações:

i) As finalidades a que se destina o tratamento;

ii) As categorias dos dados pessoais em questão;

iii) Os destinatários, ou categorias de destinatários a quem são comunicados os dados pessoais;

iv) O prazo previsto para conservação dos dados pessoais, ou os critérios utilizados para fixar esses prazos;

v) A existência do direito de solicitar ao responsável pelo tratamento a retificação, o apagamento ou a limitação do tratamento dos dados pessoais no que diz respeito ao titular dos dados, ou o direito de se opor a esse tratamento;

vi) O direito de apresentar reclamação a uma autoridade de controlo;

vii) As informações disponíveis sobre as origens dos dados, caso não tenham sido recolhidos junto do titular;

viii) A existência de decisões automatizadas.

c) Direito de retificação: O titular dos dados tem o direito de obter, sem demora injustificada, a retificação dos dados pessoais inexatos que lhe digam respeito;

d) Direito à limitação do tratamento: O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento nos seguintes casos:

i) Tenha contestado a exatidão dos dados pessoais, durante um período que permita ao responsável pelo tratamento verificar a sua exatidão;

ii) O tratamento seja ilícito e se tenha oposto ao apagamento dos dados pessoais, solicitando, em contrapartida, a limitação da sua utilização;

iii) O responsável pelo tratamento já não necessite dos dados pessoais para fins de tratamento, mas os mesmos sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;

iv) Tenha exercido o direito de oposição, até se verificar que os motivos legítimos do responsável pelo tratamento prevalecem sobre os do titular dos dados.

e) Direito de apresentar reclamação à entidade de controlo, a CNPD.

2 - Ao consentimento prestado pelos titulares dos dados pessoais no sítio eletrónico do Município de Setúbal, está associado o direito de retirá-lo em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.

Artigo 17.º

Direitos a serem exercidos com condicionantes especiais

1 - São direitos dos titulares dos dados, a serem exercidos com restrições especiais, os seguintes:

a) Direito ao apagamento dos dados: O titular dos dados tem o direito de solicitar ao responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, quando se verifique alguma das seguintes circunstâncias:

i) Os dados pessoais deixaram de ser necessários para a finalidade que sustentou a sua recolha ou tratamento;

ii) O titular dos dados retira o consentimento em que se baseia o tratamento dos dados pessoais e não existe outro fundamento jurídico para o tratamento dos mesmos;

iii) O titular dos dados opõe-se ao tratamento dos dados e o responsável pelo tratamento não demonstra que existem interesses legítimos prevalecentes que justifiquem o tratamento;

iv) Os dados foram tratados ilicitamente;

v) O apagamento dos dados seja necessário para o cumprimento de uma obrigação legal a que o responsável pelo tratamento esteja sujeito.

b) Direito de portabilidade dos dados: O titular dos dados tem o direito de receber, do responsável pelo tratamento dos dados, os seus dados pessoais, num formato seguro, de uso corrente e de leitura automática, e transferi-los para outro responsável pelo tratamento, sendo exercido este direito nas seguintes situações:

i) Em caso de tratamento automatizado de dados;

ii) Relativamente a dados fornecidos pelo titular ao responsável pelo tratamento;

c) Direito de oposição ao tratamento: O titular dos dados tem o direito de se opor, a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito.

2 - No exercício do direito previsto na alínea a) do número anterior, o responsável pelo tratamento tem obrigação de apagar os dados pessoais, sem demora injustificada e, quando este os tenha tornado públicos e for obrigado a apagá-los, por força do disposto na referida alínea, deve tomar as medidas que forem razoáveis, incluindo de caráter técnico, tendo em consideração a tecnologia disponível e os custos da sua aplicação, para o apagamento das ligações para esses dados pessoais, bem como das cópias ou reproduções dos mesmos.

3 - Nos termos da alínea b) do n.º 1 do presente artigo, o titular dos dados apenas pode exigir que os seus dados sejam transmitidos diretamente entre os responsáveis pelo tratamento se tal for tecnicamente possível.

4 - Nos termos da alínea c) do n.º 1 do presente artigo, o responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

5 - Estes direitos não podem ser exercidos quando o tratamento se revela necessário ao cumprimento de obrigações legais que exigem o tratamento, ao exercício de funções de interesse público e ao exercício da autoridade pública.

6 - O tratamento, quando baseado no cumprimento de obrigações legais, no exercício de funções de interesse público e/ou no exercício da autoridade pública por parte do Município de Setúbal, não é precedido pelo consentimento do titular dos dados.

7 - Nos tratamentos que são realizados com base no consentimento do titular dos dados, os direitos referidos no n.º 1 do presente artigo podem ser exercidos.

Artigo 18.º

Deveres gerais dos titulares dos dados

1 - Os titulares dos dados devem exercer os seus direitos com respeito pelo princípio da boa-fé, prestando informações adequadas, claras, corretas e precisas ao responsável pelo tratamento de dados, por forma a viabilizar um tratamento lícito, leal e transparente dos dados pessoais.

2 - Sem prejuízo da ponderação penal que possa ocorrer, a prestação de dados falsos ao Município de Setúbal é sancionável nos termos do presente Regulamento e do artigo 52.º da Lei 59/2019, de 8 de agosto.

Artigo 19.º

Informações sobre o tratamento e os direitos dos titulares no momento da recolha dos dados pessoais

1 - No momento da recolha dos dados pessoais, o Município de Setúbal, enquanto responsável pelo tratamento, faculta informações sobre o tratamento dos dados pessoais e sobre os direitos dos titulares.

2 - Para que a prestação das referidas informações ocorra no momento da recolha dos dados e fique devidamente documentada e comprovada, estas são prestadas nos formulários dos requerimentos dos diversos procedimentos.

Artigo 20.º

Tratamento de dados pessoais através de subcontratantes

1 - O Município de Setúbal recorre a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas por forma a salvaguardar que o tratamento satisfaz os requisitos do RGPD e assegurando a defesa dos direitos do titular dos dados.

2 - O tratamento de dados através da subcontratação é regulado por contrato, ou outro ato normativo previsto na lei, que vincula os subcontratantes à Câmara Municipal de Setúbal.

Artigo 21.º

Recolha de dados pessoais no sítio eletrónico do Município de Setúbal

O acesso e a utilização do sítio eletrónico do Município de Setúbal (www.mun-setubal.pt) não implica, em geral, a disponibilização e recolha de dados pessoais, o que sucede apenas através da utilização de funcionalidades pontuais, designadamente as que impliquem submissão de formulários, mediante o preenchimento dos dados pessoais solicitados e a submissão do formulário.

Artigo 22.º

Consentimento dos titulares dos dados pessoais no sítio eletrónico do Município de Setúbal

Quando os dados pessoais são recolhidos através do sítio eletrónico do Município de Setúbal, considera-se que os utilizadores estão a dar o seu consentimento ao preencherem os seus dados pessoais e ao submeterem os respetivos formulários para cada finalidade em concreto.

Artigo 23.º

Consentimento dos titulares dos dados pessoais para participação das reuniões dos órgãos autárquicos

1 - As reuniões dos órgãos autárquicos do Município de Setúbal são transmitidas em direto em plataforma digital e, posteriormente, disponibilizados online.

2 - Os titulares dos dados pessoais que, na qualidade de participantes, quer façam intervenções, que facilmente resultam na exposição da sua vida privada e familiar, quer intervenham através da mera presença, em reuniões dos órgãos autárquicos, devem prestar o seu consentimento livre, específico e informado, para a captação, tratamento e respetiva difusão da imagem.

Artigo 24.º

Finalidades da recolha de dados pessoais no sítio eletrónico do Município de Setúbal

1 - Os dados pessoais submetidos no formulário de contacto destinam-se a esclarecer dúvidas, pedidos de informação ou esclarecimentos e, em geral, qualquer solicitação apresentada no formulário em questão.

2 - A comunicação dos dados pessoais não constitui uma obrigação legal nem contratual.

3 - O titular não está obrigado a fornecer os dados pessoais, mas não os fornecendo, não pode usufruir das respetivas funcionalidades oferecidas pelo sítio eletrónico.

Artigo 25.º

Outras informações sobre o tratamento de dados pessoais

1 - Em geral, a comunicação dos dados pessoais à Câmara Municipal de Setúbal é necessária para o exercício de direitos e cumprimento de obrigações legais ou contratuais.

2 - A não disponibilização dos dados pessoais pelos titulares é impeditiva do exercício de direitos e do respetivo cumprimento de obrigações legais ou contratuais.

3 - Não existem decisões automatizadas, nem a definição de perfis.

4 - Para além do cumprimento da obrigação legal de tratamento para arquivo, não há tratamento posterior de dados pessoais para finalidades distintas das que justificaram a recolha.

Secção II

Procedimentos Administrativos para Exercício dos Direitos do Titular dos Dados Pessoais

Artigo 26.º

Forma de exercício dos direitos pelos titulares dos dados pessoais

1 - O titular dos dados inicia o processo de exercício dos seus direitos, com o preenchimento de um formulário, a ser disponibilizado no sítio eletrónico do Município de Setúbal, dirigido ao responsável pelo tratamento, o qual solicita um parecer ao EPD.

2 - No âmbito do pedido, o titular dos dados deve identificar-se com rigor e comprovar a sua identidade ao Município de Setúbal, sem fornecer mais dados do que aqueles que estão a ser tratados pelo responsável pelo tratamento.

3 - O titular dos dados deve justificar e fundamentar o seu pedido de exercício de direitos.

4 - O Município de Setúbal deve facultar aos titulares dos dados as informações solicitadas, quer os dados tenham sido ou não recolhidos junto dos mesmos.

5 - Sempre que o titular dos dados pretenda exercer o direito ao apagamento e à eliminação, o Município de Setúbal deve notificar todas as entidades para onde os respetivos dados tenham sido partilhados, para que estas procedam em conformidade com o pedido efetuado.

6 - O Município de Setúbal facilita o exercício de direitos pelos titulares dos dados e fornece-lhes as informações sobre as medidas tomadas por forma a garantir o exercício dos referidos direitos no prazo de 30 (trinta) dias a contar da data de receção do pedido de exercício de direitos.

7 - O prazo referido no número anterior pode ser prorrogado por igual período, quando necessário, tendo em conta a complexidade e o número de pedidos.

8 - Relativamente ao pedido de exercício dos direitos do titular dos dados são, preferencialmente, utilizados os meios eletrónicos e as comunicações do Município com os requerentes, ao longo do procedimento, só podem processar-se através dos meios indicados no formulário disponibilizado, mediante seu prévio consentimento, prestado por escrito.

9 - As informações prestadas e quaisquer comunicações e medidas tomadas são facultadas a título gratuito, sem prejuízo do exposto no n.º 11 do presente artigo.

10 - Se o titular dos dados o solicitar a informação pode ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.

11 - Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, o responsável pelo tratamento pode:

a) Exigir o pagamento de uma taxa razoável, tendo em conta os custos administrativos do fornecimento das informações, ou da comunicação, ou da tomada das medidas solicitadas;

b) Recusar-se a dar seguimento ao pedido, devendo-se notificar o interessado/titular dos dados sobre os motivos de recusa.

12 - Nos casos referidos no número anterior, cabe ao Município de Setúbal demonstrar o caráter manifestamente infundado ou excessivo do pedido.

13 - No cumprimento das obrigações de transparência, e para facilitar o exercício de direitos pelos titulares, o Município de Setúbal disponibiliza aos titulares dos dados um formulário para o requerimento de exercício de direitos.

Artigo 27.º

Procedimentos administrativos

1 - Apenas podem ser recolhidos os dados pessoais estritamente necessários para os efeitos processuais.

2 - A lei, ou qualquer outro normativo, previamente definido, determina quais são os dados pessoais que são necessários recolher para efeitos processuais.

3 - Caso os serviços identifiquem a necessidade de recolher dados pessoais adicionais que não se encontrem legitimados pelo artigo 6.º do RGPD, devem obter o consentimento do titular dos dados.

4 - O exercício dos direitos dos titulares dos dados pessoais, referidos nos artigos 16.º e 17.º do presente Regulamento, deve ser feito mediante o preenchimento de um formulário, em suporte digital ou em papel.

5 - A documentação rececionada no atendimento ao público deve ser imediatamente remetida para os serviços competentes ou, quando tal não seja possível, deve ser mantida de modo a não estar visível a terceiros.

6 - Na receção de documentação via correio eletrónico, o consentimento para a recolha e tratamento dos dados pessoais, deve ser assegurado junto do titular.

Secção III

Conservação dos Dados Pessoais

Artigo 28.º

Prazo de conservação de dados pessoais

O prazo necessário para a tramitação de procedimentos administrativos, bem como o da duração de contratos, acresce ao prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento Arquivístico para as Autarquias Locais, aprovado pela Portaria 112/2023, de 27 de abril, ou outra que lhe suceder.

CAPÍTULO V

Medidas de segurança

Artigo 29.º

Segurança do tratamento de dados pessoais

Nos termos do artigo 32.º do RGPD, e considerando as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o Município de Setúbal, enquanto responsável pelo tratamento, aplica medidas técnicas e organizativas para garantir um nível de segurança adequado ao risco, incluindo, consoante se afigure adequado:

a) A pseudonimização e a cifragem dos dados pessoais;

b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;

c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;

d) A adoção de procedimentos para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.

Artigo 30.º

Inquérito

A constatação de uma violação dos dados pessoais, desde que comprovada em prova documental ou pericial, implica a imediata abertura de inquérito disciplinar a determinar pelo Presidente da Câmara Municipal, sob proposta do Encarregado da Proteção de Dados.

Artigo 31.º

Notificação da violação de dados pessoais à autoridade de controlo

Nos termos do artigo 33.º do RGPD, caso se verifique uma violação da segurança que provoque, de modo acidental ou ilícita, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, o Município de Setúbal, enquanto responsável pelo tratamento, notifica esse facto à autoridade de controlo, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma. Se a notificação não for transmitida dentro desse prazo, deve ser acompanhada dos motivos do atraso.

Artigo 32.º

Comunicação da violação de dados pessoais aos seus titulares

Nos termos do artigo 34.º do RGPD, caso se verifique uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o Município de Setúbal, enquanto responsável pelo tratamento, comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.

Artigo 33.º

Proibições

No desempenho das atividades de cada utilizador, são aplicáveis as seguintes proibições:

a) Proibição do acesso aos dados pessoais sob o controlo da organização a partir de dispositivos pessoais;

b) Proibição da utilização de dispositivos da organização fora das instalações, incluindo para fins pessoais, exceto os devidamente autorizados;

c) Proibição da utilização de dispositivos de armazenamento removíveis, exceto mediante prévia autorização;

d) Proibição da utilização do correio eletrónico institucional para fins pessoais;

e) Proibição da modificação, incluindo a tentativa, de qualquer aplicação informática ou de software de utilização do Município;

f) Proibição do acesso, incluindo a tentativa, a áreas para as quais não tenham sido especificamente autorizados;

g) Proibição do uso, acesso e/ou modificação não autorizada a equipamentos informáticos, programas e dados.

Artigo 34.º

Acesso e arquivamento

1 - O acesso aos dados pessoais recolhidos deve estar devidamente acautelado, no sentido de apenas poderem aceder aos mesmos os trabalhadores que em determinado momento processual estejam a desenvolver algum procedimento que os legitime, devendo ser criado um registo que confirme o acesso e o mesmo seja informatizado, onde conste o nome do trabalhador, o motivo para a consulta, a data e a identificação do documento/processo.

2 - Sempre que os dados pessoais se encontrem disponíveis fisicamente, estes devem estar devidamente arquivados em locais fechados, sendo que as chaves devem igualmente estar na posse de trabalhadores determinados pelos respetivos dirigentes e/ou responsáveis das unidades orgânicas, devendo, neste caso, ser guardado um registo de acesso aos mesmos, onde conste o nome do trabalhador, o motivo para a consulta, a data e a identificação do documento/processo.

3 - Sempre que os dados pessoais constem de processos arquivados fisicamente, ou em plataformas eletrónicas, os dirigentes e/ou responsáveis pelas unidades orgânicas devem identificar quem tem permissões para aceder aos mesmos e os momentos em que o podem fazer.

Artigo 35.º

Sigilo profissional

Os responsáveis pelo tratamento, os subcontratantes, bem como qualquer outra pessoa que, no exercício das suas funções, tenha acesso a dados pessoais, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.

Artigo 36.º

Segurança das redes e sistemas de informação

A recolha, tratamento e salvaguarda dos dados pessoais, deve estar assente numa conceção que tenha a segurança como principal objetivo do seu desenho, por forma a garantir, nomeadamente, o seguinte:

a) Devem ser cumpridos, em todas as aplicações e sistemas de informação do Município de Setúbal, os requisitos técnicos constantes na Resolução do Conselho de Ministros n.º 41/2018, de 28 de março de 2018, ou outra que lhe suceder, que define as orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais;

b) É da competência dos dirigentes e/ou responsáveis pelas unidades orgânicas determinar os requisitos gerais indicados no número anterior, nomeadamente, quem tem permissões para recolher e tratar dados pessoais, no âmbito dos processos que coordenam, e o momento em que cada um o pode fazer e solicitar ao responsável dos serviços competentes em Tecnologia da Informação a implementação das medidas;

c) É da responsabilidade dos serviços competentes em Tecnologia da Informação definir e implementar os requisitos específicos indicados na alínea a) do presente artigo;

d) Adicionalmente, podem ser acauteladas e desenvolvidas medidas tecnológicas e procedimentais tendentes a aumentar e garantir os níveis de segurança de todos os dados pessoais e restante informação à sua guarda.

Artigo 37.º

Avaliação de impacto sobre a proteção de dados

1 - A avaliação de impacto sobre a proteção de dados consiste num processo que visa estabelecer e demonstrar a conformidade com o RGPD, legislação nacional e o presente Regulamento.

2 - Nos casos em que as operações de tratamento de dados sejam suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo seu tratamento deve encarregar-se da realização de uma avaliação de impacto da proteção de dados para determinação da origem, natureza, particularidade e gravidade desse risco.

3 - A avaliação de impacto sobre a proteção de dados deve conter:

a) Uma descrição do tratamento e das suas finalidades;

b) Uma avaliação da necessidade e da proporcionalidade do tratamento;

c) Uma apreciação sobre os riscos para os direitos e liberdades do titular;

d) Medidas previstas para diminuir os riscos em conformidade com o RGPD, legislação nacional, orientações das autoridades de controlo e o presente Regulamento.

4 - Para além das operações de tratamento sujeitas a uma avaliação de impacto sobre a proteção de dados definidas no RGPD, na legislação nacional e na lista que a autoridade de controlo tornar pública, o Município de Setúbal deve efetuar avaliação aquando das seguintes situações:

a) Celebração de protocolos com entidades fora do âmbito territorial do RGPD, quando exista transferência de dados pessoais que implique um elevado risco para os direitos e liberdades das pessoas singulares;

b) Nas transferências de base de dados ou de ferramentas eletrónicas na nuvem/internet ou correio eletrónico, de forma a assegurar que o fluxo de transferência dos dados e seu arquivo ocorra em território da União Europeia.

Artigo 38.º

Consulta prévia à autoridade de controlo

Nos termos do artigo 36.º do RGPD, o Município de Setúbal, enquanto responsável pelo tratamento dos dados, consulta a autoridade de controlo antes de proceder ao tratamento quando a avaliação de impacto sobre a proteção de dados indicar que do tratamento decorre um elevado risco, em caso de ausência de medidas tomadas pelo responsável pelo tratamento para atenuar esse risco.

Artigo 39.º

Atendimento

1 - A comunicação de informação que envolva dados pessoais via telefone, serviços eletrónicos ou correio eletrónico só pode ser realizada se o titular dos dados tiver dado previamente o consentimento expresso nesse sentido.

2 - No atendimento presencial ao público deve ser reservada e mantida a distância necessária para uma maior salvaguarda e proteção da privacidade no tratamento dos dados pessoais das pessoas singulares.

Artigo 40.º

Política de privacidade e proteção de dados pessoais

O Município de Setúbal deve elaborar e manter atualizado e disponível ao público, na sua página oficial na Internet, um documento sobre política de privacidade e proteção de dados pessoais.

CAPÍTULO VI

Situações especiais

Artigo 41.º

Cooperação com a autoridade de controlo

Nos termos do artigo 8.º da Lei 58/2019, de 8 de agosto, o Município de Setúbal, enquanto responsável pelo tratamento, coopera e colabora com a autoridade de controlo, a pedido desta, na prossecução das suas atribuições e competências.

Artigo 42.º

Proteção de dados pessoais e o direito de acesso aos documentos administrativos

Nos termos do artigo 86.º do RGPD, do artigo 26.º da Lei 58/2019, de 8 de agosto, e da Lei 26/2016, de 22 de agosto, os dados pessoais que constem de documentos oficiais na posse do Município de Setúbal, para a prossecução de atribuições de interesse público, podem ser divulgados nos termos da legislação de acesso a documentos administrativos, com o intuito de conciliar o acesso do público a documentos oficiais com o direito à proteção dos dados pessoais.

Artigo 43.º

Tratamento de dados pessoais no contexto laboral

Nos termos do artigo 88.º do RGPD e do artigo 28.º da Lei 58/2019, de 8 de agosto, o Município de Setúbal pode tratar os dados pessoais dos seus trabalhadores para as finalidades e com os limites definidos no Código do Trabalho e respetiva legislação complementar, ou noutros regimes setoriais, bem como nos termos do clausulado do contrato de trabalho em funções públicas.

Artigo 44.º

Utilização e reprodução de documentos de identificação

A utilização e reprodução dos documentos de identificação dos titulares dos dados só pode ser realizada mediante consentimento escrito dos mesmos e nos termos legalmente em vigor.

Artigo 45.º

Consentimento de menores

1 - O tratamento dos dados pessoais de menores é lícito quando os mesmos deem formalmente o consentimento e já tenham completado 13 (treze) anos de idade.

2 - Caso a criança tenha idade inferior a 13 (treze) anos, o tratamento só é lícito se for dado pelos representantes legais desta e, de preferência, com recurso a meios de autenticação segura.

Artigo 46.º

Recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos

1 - O titular dos dados deve dar o prévio consentimento para a recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos por parte do Município, devendo-lhe ser prestada toda a informação em linguagem clara e simples e qual o destino de arquivamento.

2 - Quando a recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos por parte do Município disser respeito a menores, deve ser obtido o prévio consentimento dos seus representantes legais, privilegiando-se, no entanto, os direitos dos menores optando por captação de imagem de longe e de ângulos em que os mesmos não sejam facilmente identificáveis.

3 - Sempre que existam eventos organizados pelo Município de Setúbal, onde não seja proibida a recolha de imagens, som e vídeo, deve o mesmo ser informado aos titulares dos dados pessoais.

Artigo 47.º

Proteção de dados pessoais de pessoas falecidas

1 - Quando forem recolhidos ou tratados dados de pessoas falecidas, os dados pessoais relativos à origem racial ou étnica, sobre opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual, torna-se necessário solicitar o consentimento escrito à pessoa que haja sido designada para o efeito pelo titular dos dados em vida ou, na sua falta, aos respetivos herdeiros para divulgar esses mesmos dados pessoais, podendo colocar-se duas situações:

a) Se o titular dos dados, em vida, tiver manifestamente tornado público os dados acima mencionados, não é necessário o consentimento;

b) Caso contrário, tem de ser obtido o consentimento escrito e expresso.

2 - Todos os dados pessoais que não sejam identificados no número anterior, podem ser divulgados sem a necessidade de consentimento.

3 - A notificação da deliberação da Câmara Municipal sobre o voto de pesar para um determinado endereço postal ou eletrónico, depende sempre do consentimento escrito dos herdeiros do falecido, assim como em situações idênticas que envolvam os dados pessoais de pessoas falecidas.

4 - Os direitos de acesso, retificação e apagamento são exercidos por quem a pessoa falecida haja designado para o efeito ou, na sua falta, pelos respetivos herdeiros.

5 - Os titulares dos dados podem, igualmente, nos termos legais aplicáveis, deixar determinada a impossibilidade de exercício dos direitos referidos no número anterior após a sua morte.

Artigo 48.º

Publicação de dados pessoais

1 - A publicação de dados pessoais em jornais oficiais e plataformas eletrónicas, que sejam da responsabilidade do Município, devem obedecer aos princípios base mencionados no artigo 5.º do presente Regulamento, nomeadamente ao princípio da limitação da finalidade.

2 - Sempre que o dado pessoal "nome" seja suficiente para garantir a identificação do titular dos dados e a eficácia do tratamento, não devem ser publicados outros dados pessoais.

Artigo 49.º

Dados biométricos

O tratamento de dados biométricos dos trabalhadores da Câmara Municipal de Setúbal só pode ser considerado legítimo por razões de controlo de assiduidade e controlo de acessos às instalações do Município.

Artigo 50.º

Tratamento e prazo de conservação de dados pessoais

1 - O tratamento e o prazo de conservação de dados pessoais é o que estiver fixado por norma legal, regulamento municipal ou norma associada à finalidade para a recolha de dados.

2 - O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização dos mesmos, sempre que os fins visados possam ser atingidos por uma destas vias.

3 - Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos, ficam prejudicados os direitos de acesso, retificação, limitação do tratamento e de oposição, na medida do necessário, se esses direitos forem suscetíveis de tornar impossível ou prejudicar gravemente a realização desses fins.

CAPÍTULO VII

Responsabilidades

Artigo 51.º

Responsabilidade dos diretores e/ou responsáveis das unidades orgânicas

1 - Todos os diretores do Município e/ou responsáveis por unidades orgânicas devem identificar as diferentes atividades que são desenvolvidas nas mesmas, bem como os dados pessoais que são recolhidos e o respetivo tratamento.

2 - Os diretores e/ou responsáveis pelas unidades orgânicas devem comunicar ao encarregado da proteção de dados a informação recolhida no ponto anterior e mantê-la atualizada.

Artigo 52.º

Responsabilidade civil, criminal ou disciplinar

A violação das normas do RGPD, legislação nacional, orientações das autoridades de controlo e do presente Regulamento, pode gerar responsabilidade civil, criminal, contraordenacional e disciplinar.

Artigo 53.º

Cumprimento do dever omitido

Sempre que a contraordenação resulte de omissão de um dever, o pagamento da coima não dispensa o infrator de dar cumprimento ao dever omitido, se este ainda for possível.

CAPÍTULO VIII

Fiscalização e contraordenações

Artigo 54.º

Fiscalização

1 - Sem prejuízo das competências atribuídas por lei a outras entidades, a fiscalização do cumprimento do disposto no presente Regulamento compete ao EPD do Município de Setúbal.

2 - Sem prejuízo do cumprimento do disposto nos artigos 33.º e 34.º do RGPD, as violações ao presente Regulamento são comunicadas pelo EPD ao Presidente da Câmara Municipal, o qual pode determinar a instauração de processo disciplinar ou inquérito, ou comunicar às autoridades competentes as violações contraordenacionais, criminais ou cíveis.

CAPÍTULO IX

Disposições finais

Artigo 55.º

Legislação subsidiária

A tudo o que não esteja especialmente previsto no presente Regulamento aplica-se, subsidiariamente, o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, a Lei 58/2019, de 8 de agosto, e as demais disposições legais que sejam aplicáveis em razão da matéria.

Artigo 56.º

Interpretação e casos omissos

1 - As lacunas, as dúvidas interpretativas e os casos omissos suscitados na aplicação do presente Regulamento são preenchidos ou resolvidos mediante despacho fundamentado do Presidente da Câmara Municipal de Setúbal.

2 - As menções referentes aos serviços municipais, nomeadamente departamentos, divisões, unidades orgânicas e gabinetes, constantes do presente Regulamento reportam-se, em caso de alteração da estrutura orgânica da Câmara Municipal de Setúbal, àquelas que as sucederem nas respetivas funções.

Artigo 57.º

Entrada em vigor

O presente Regulamento entra em vigor no dia seguinte após a sua publicação no Diário da República.

317262707

Este documento liga aos seguintes documentos (apenas ligações para documentos da Serie I do DR):

• 2016-08-22 - Lei 26/2016 - Assembleia da República

  Aprova o regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos, transpondo a Diretiva 2003/4/CE, do Parlamento Europeu e do Conselho, de 28 de janeiro, e a Diretiva 2003/98/CE, do Parlamento Europeu e do Conselho, de 17 de novembro

• 2019-08-08 - Lei 58/2019 - Assembleia da República

  Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados

• 2019-08-08 - Lei 59/2019 - Assembleia da República

  Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016