Aprova o Regulamento do Código de Conduta do Município de Monchique.

Edital 1329/2024



Paulo Jorge Duarte Alves, presidente da Câmara Municipal de Monchique, ao abrigo da competência que lhe confere a alínea t) do n.º 1 do artigo 35.º do Anexo I da Lei 75/2013, de 12 de setembro, na sua atual redação, torna público que a Assembleia Municipal de Monchique, na reunião de 21-jun-2024, da 3.ª sessão ordinária de 2024, no uso da competência prevista na alínea g) do n.º 1 do artigo 25.º do mesmo diploma legal, aprovou a proposta de Regulamento de Código de Conduta do Município de Monchique, sob proposta da Câmara Municipal, aprovada na reunião ordinária de 21-mai-2024, no uso da competência que lhe confere a alínea k) do n.º 1 do artigo 33.º daquele regime jurídico.

Mais torna público que o projeto de regulamento, foi objeto de consulta pública pelo período de 30 dias, previsto no artigo 101.º do Código do Procedimento Administrativo, e publicado no Diário da República, 2.ª série, n.º 56, parte H, de 19-mar-2024, através do Aviso 5982/2024/2.

Nos termos e para os efeitos do disposto no artigo 56.º da referida lei, para conhecimento geral, publica-se o presente edital e outros de igual teor, que vão ser afixados no edifício dos Paços do Concelho e nos habituais locais de estilo do concelho de Monchique, no Diário da República e no sítio da Internet do Município.

O regulamento é reproduzido em anexo ao presente edital.

12 de agosto de 2024. - O Presidente da Câmara Municipal, Paulo Jorge Duarte Alves.

Regulamento Código de Conduta do Município de Monchique

Redigido nos termos do artigo 40.º do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, com aplicação direta em Portugal a partir de 25 de maio de 2018 e complementado com a Lei 58/2019, de 08 de agosto, o Município de Monchique, implementou medidas e boas práticas consideradas necessárias para a implementação do RGPD.

O presente Código de Conduta tem por objetivo sistematizar as regras e procedimentos inerentes ao tratamento de dados pessoais que se encontrem em formato físico ou digital.

Artigo 1.º

Definições

Para efeitos do presente código, o sentido que deve ser atribuído aos principais conceitos que relevam para efeitos do tratamento de dados pessoais efetuados no Município de Monchique são os que expressamente constam das definições previstas no artigo 4.º do Regulamento Geral de Proteção de Dados (RGPD), e que se reproduzem de seguida:

1) "Dados pessoais", informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

2) "Tratamento", uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

3) "Responsável pelo tratamento", a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;

4) "Subcontratante", uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;

5) "Destinatário", uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;

6) "Ficheiro", qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

7) "Consentimento" do titular dos dados, uma manifestação de vontade, livre, específica, informada e inequívoca, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento (Retificação, JO L 74 de 4.3.2021, p. 35 (2016/679);

8) "Definição de perfis", qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

9) "Pseudonimização", o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

10) "Violação de dados pessoais", uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

11) "Dados biométricos", dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados datiloscópicos;

12) "Dados relativos à saúde", dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.

Artigo 2.º

Objeto e Âmbito

1 - O presente Código de Conduta emana da Política de Privacidade Proteção de Dados Pessoais do Município de Monchique e é aplicável a todas as pessoas e entidades que se relacionam com a organização, incluindo Trabalhadores, Subcontratantes, Fornecedores de bens e serviços e outros eventuais parceiros.

2 - Este Código abrange transversalmente toda a organização, designadamente as metodologias de trabalho e processos que envolvam o tratamento de dados pessoais, bem como a utilização de materiais ou equipamentos, programas ou softwares, canais de comunicação e suportes em papel.

3 - As regras de conduta definidas no presente código aplicam-se tanto ao tratamento, independentemente do modo como os dados pessoais são conservados.

Artigo 3.º

Subcontratantes

Na seleção e contratação de subcontratantes, o Município de Monchique certifica-se que estes cumprem as seguintes regras no tratamento dos dados pessoais:

1) Tratam os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União ou do Estado-Membro a que está sujeito, informando nesse caso o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;

2) Asseguram que as pessoas autorizadas a tratar os dados pessoais nas respetivas organizações assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;

3) Adotam todas as medidas exigidas nos termos do artigo 32.º do RGPD;

4) Tomam em conta a natureza do tratamento, e na medida do possível, prestam assistência ao responsável pelo tratamento através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos seus direitos;

5) Presta assistência ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.º a 36.º, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante;

6) Consoante a escolha do responsável pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo do direito da União ou dos Estados-Membros;

7) Disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo responsável pelo tratamento ou por outro auditor por este mandatado. No que diz respeito ao ponto 7, o subcontratante informa imediatamente o responsável pelo tratamento se, no seu entender, alguma instrução violar o presente regulamento ou outras disposições do direito da União ou dos Estados-Membros em matéria de proteção de dados.

8) Se o subcontratante contratar outro subcontratante para a realização de operações específicas de tratamento de dados por conta do responsável pelo tratamento, são impostas a esse outro subcontratante, por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou outro ato normativo entre o responsável pelo tratamento e o subcontratante, em particular a obrigação de apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do presente regulamento. Se esse outro subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o subcontratante inicial continua a ser plenamente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações desse outro subcontratante.

Artigo 4.º

Recolha de dados

1 - A recolha de dados pessoais para tratamento tem de ser lícita, leal e transparente em relação ao titular dos dados.

2 - Os dados só poderão ser recolhidos para finalidades determinadas, explicitas e legitimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades.

3 - A recolha de dados pessoais quer pelo Município de Monchique, quer pelos seus subcontratantes, junto dos respetivos titulares, deve ser precedida de informação aos mesmos sobre a finalidade que a determinou e processar-se em estrita adequação e pertinência a essa finalidade.

Artigo 5.º

Direito dos titulares

Os titulares dos dados pessoais têm, a qualquer momento, o direito de acesso, retificação, atualização, limitação e apagamento dos seus dados pessoais (sempre que legalmente aplicável), o direito de oposição à utilização dos mesmos fora do âmbito da finalidade do registo, bem como o direito à portabilidade dos seus dados.

Artigo 6.º

Boas práticas

Na prossecução das suas atividades, o Município de Monchique utiliza um conjunto de tecnologias e procedimentos de segurança adequados à proteção dos dados pessoais, protegendo o acesso ou divulgação não autorizados, nomeadamente através de medidas técnicas e organizativas adequadas para promover um nível de segurança adequado ao risco, incluindo, consoante o que for adequado, tais como:

a) A pseudonimização e/ou a cifragem dos dados pessoais;

b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;

c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;

d) Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento;

e) Controle dos acessos e autenticação nos sistemas aplicacionais.

Artigo 7.º

Utilização de recursos informáticos e tecnologias de informação

1 - Os trabalhadores devem utilizar o material e os recursos informáticos que lhes são disponibilizados pelo Município de Monchique de forma diligente, zelando pela respetiva manutenção, sendo proibida a troca de periféricos ou a abertura de equipamentos informáticos sem autorização expressa dos serviços de informática;

2 - É da responsabilidade de cada utilizador a manutenção segura das suas palavras-passe.

Artigo 8.º

Segredo Profissional

1 - Todos os trabalhadores, bem como todos os prestadores de serviços e fornecedores, que tratem dados pessoais estão obrigados a manter o segredo sobre os mesmos, nomeadamente de não poder revelar, divulgar, fornecer ou utilizar estes dados fora do contexto profissional, salvo obrigação legal ou decisão judicial.

2 - Esta obrigação de confidencialidade manter-se-á em vigor, mesmo após a cessação das funções ou dos contratos celebrados, seja qual for a causa da cessação dos mesmos e por todo o tempo que seja necessário ao cumprimento da lei.

Artigo 9.º

Responsabilidades existentes

1 - Os Trabalhadores são responsáveis disciplinarmente pela violação ou transmissão ilegal de dados a que tenham acesso, devido ou indevido, bem como do presente código de conduta.

2 - Os restantes Colaboradores, fornecedores ou prestadores de serviços são responsáveis nos termos contratuais e legalmente estabelecidos.

Artigo 10.º

Violação de dados pessoais

1 - Caso o responsável pelo tratamento tenha conhecimento de uma violação de dados pessoais, suscetível de implicar um risco para os direitos e liberdades das pessoas singulares, deve notificá-la à autoridade de controlo, sem demora injustificada e, sempre que possível, no prazo de 72 horas após o conhecimento do ocorrido.

2 - Não sendo possível cumprir o prazo referido no número anterior, a notificação deve ser acompanhada dos motivos do atraso, podendo as informações ser fornecidas por fases sem demora injustificada.

3 - Quando se verifique uma situação como a referida no presente artigo deve o Município de Monchique abrir um processo de averiguações interno para apurar as causas dessa mesma violação.

4 - É dever de todos os trabalhadores que tenham conhecimento de qualquer situação que possa implicar uma violação de dados pessoais comunicá-la, por escrito, com caráter de urgência, ao Encarregado de Proteção de Dados, através do correio eletrónico dpo@cm-monchique.pt ou por qualquer outro meio mais expedito.

Artigo 11.º

Entrada em vigor

Após a publicação no site do Município juntamente com a deliberação que o aprovou.

318021336

Este documento liga aos seguintes documentos (apenas ligações para documentos da Serie I do DR):

• 2013-09-12 - Lei 75/2013 - Assembleia da República

  Estabelece o regime jurídico das autarquias locais, aprova o estatuto das entidades intermunicipais, estabelece o regime jurídico da transferência de competências do Estado para as autarquias locais e para as entidades intermunicipais e aprova o regime jurídico do associativismo autárquico.

• 2019-08-08 - Lei 58/2019 - Assembleia da República

  Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados