Aprova o Regulamento do Municipal de Proteção de Dados
Bruno José da Graça Gomes, Presidente da Câmara Municipal de Ferreira do Zêzere, no uso das competências conferidas pelas alíneas b) e t) do n.º 1 do artigo 35.º do Anexo I da Lei 75/2013, de 12 de setembro, em cumprimento e, para os efeitos do disposto no artigo 56.º do mesmo Anexo, e do artigo 139.º do Código de Procedimento Administrativo, aprovado pelo Decreto Lei 4/2015, de 7 de janeiro, torna público que, ao abrigo do artigo 241.º da Constituição da República Portuguesa, do artigo 7.º do Decreto Lei 109-E/2021, de 9/12, e dos artigos 96.º e seguintes do CPA, a Câmara Municipal de Ferreira do Zêzere, no uso da competência conferida pela alínea k) do n.º 1 do Artigo 33.º do Anexo I da mencionada Lei 75/2013, aprovou em 08 de outubro de 2025, e na sequência, a Assembleia Municipal, ao abrigo do artigo 25.º n.º 1 alínea g) do mesmo anexo à Lei 75/2013, aprovou, igualmente, em 28 de novembro de 2025, o Regulamento Municipal de Proteção de Dados.
12 de dezembro de 2025.-O Presidente da Câmara Municipal, Bruno José da Graça Gomes.
Regulamento Municipal de Proteção de Dados Preâmbulo O Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679), de 27 de abril de 2016, doravante designado de RGPD, entrou em vigor no dia 25 de maio de 2018, aprovado pela Comissão Europeia e relativo à proteção de pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revogando assim a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados).
No âmbito nacional, aplica-se a Lei de Execução Nacional do RGPD (Lei 58/2019, de 08 de agosto), sendo a Comissão Nacional de Proteção de Dados, doravante designada CNPD, a Autoridade de Controlo Nacional para efeitos do RGPD, da Lei de Execução Nacional do RGPD e demais disposições legais e regulamentares aplicáveis, em matéria de proteção de dados pessoais, com o objetivo de defender os direitos, liberdades e garantias das pessoas, no âmbito do tratamento desses mesmos dados pessoais.
Esta matéria não é recente tendo a Diretiva 95/46/CE do Parlamento Europeu e do Conselho procurado anteriormente harmonizar a defesa dos direitos e das liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados e assegurar a livre circulação de dados pessoais entre os EstadosMembros.
O Município de Ferreira do Zêzere como qualquer entidade pública ou privada que proceda ao tratamento de dados pessoais, encontra-se abrangido pelo RGPD e, através do presente Regulamento Municipal de Proteção de Dados (doravante RMPD), pretende contribuir para a realização de um espaço de liberdade, segurança e bemestar das pessoas singulares.
Nesta medida, integrado numa política de salvaguarda dos dados pessoais dos cidadãos que interagem com o Município de Ferreira do Zêzere e para auxiliar os serviços municipais, os cidadãos e as empresas na prossecução do disposto no RGPD e na Lei 58/2019, de 08 agosto, o Município de Ferreira do Zêzere elaborou e aprovou o Regulamento Municipal de Proteção de Dados do Município de Ferreira do Zêzere (RMPD).
O presente RMPD apresenta-se como complementar à legislação em vigor, sendo considerado fundamental para a atuação do Município de Ferreira do Zêzere, como responsável pelo tratamento de dados pessoais.
O RMPD não substitui o disposto no RGPD, na Lei 58/2019, de 08 agosto, nem em demais legislação especial relativa à proteção de dados pessoais bem como nas demais disposições legais e regulamentares existentes em matéria de proteção de dados pessoais. O que o RMPD pretende é dar resposta à implementação do RGPD e da Lei 58/2019, de 08 agosto, tendo em conta as especificidades dos serviços do Município de Ferreira do Zêzere, apresentando um conjunto de minutas e documentos necessários ao cumprimento das obrigações do mesmo enquanto responsável pelo tratamento de dados pessoais, em tudo o que não contraria a legislação supramencionada.
As situações não previstas e/ou não contempladas e/ou não referenciadas no presente Regulamento regem-se pelo disposto no RGPD, na Lei 58/2019, de 08 agosto e nas demais disposições legais e regulamentares existentes, no que concerne a proteção de dados pessoais.
O presente Regulamento, apesar de fazer referência a normas e medidas organizativas internas, excede uma lógica meramente interna, uma vez que estas normas e medidas produzem um efeito externo, isto é, influenciam a relação entre os titulares dos dados pessoais e o Município de Ferreira do Zêzere, enquanto responsável pelo tratamento desses dados.
Procura-se, deste modo, contribuir com um elemento orientador e de auxílio aos colaboradores do município e, concomitantemente, prestar informação a um número indeterminado de destinatários que interagem com a mesma nas relações jurídicoadministrativos na parte de tratamento dos seus dados pessoais.
No que se refere à ponderação dos custos e benefícios das medidas projetadas e de acordo com o artigo 99.º do Código de Procedimento Administrativo, verifica-se que a implementação do presente regulamento irá proporcionar um elevado número de benefícios face aos baixos custos que lhe estão associados, uma vez que permitirá salvaguardar o município de Ferreira do Zêzere na medida em institui uma maior certeza no que respeita ao tratamento de dados pessoais e à melhoria do processo de implementação nesta matéria, bem como uma melhoria contínua, procurando agilizar e racionalizar a tramitação atual, conseguindo assim prestar um serviço de qualidade ao serviços e aos que se relacionam com o Município de Ferreira do Zêzere.
Para tanto, foi elaborado o presente RMPD que sob a forma de projeto foi submetido a Consulta Pública durante o período de 30 dias úteis, através do Aviso (extrato) n.º 19381/2025/2 do dia 01/08/2025, publicado no site do município na Internet em:
www.ferreiradozezere.pt, e afixado nos lugares públicos de costume, para recolha de sugestões/contributos que pudessem ser considerados relevantes no âmbito do projeto em causa.
O período de Consulta Pública terminou em 15/09/2025, sem que se verificasse o registo de quaisquer participações que pudessem aprimorar o presente instrumento regulamentar.
Nesta senda, após aprovação pela Câmara Municipal em Reunião realizada em 08/10/2025 e pela Assembleia Municipal na sua sessão extraordinária realizada em 28/11/2025, foi aprovado o presente “Regulamento de Proteção de Dados do Município de Ferreira do Zêzere”.
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.º
Lei Habilitante O Regulamento Municipal de Proteção de Dados do Município de Ferreira de Zêzere é elaborado ao abrigo e nos termos do disposto no artigo 241.º da Constituição da República Portuguesa, no artigo 135.º e seguintes do Código do Procedimento Administrativo, no artigo 4.º, no n.º 1 do artigo 23.º, na alínea g) do n.º 1 do artigo 25.º e na alínea k) do n.º 1 do artigo 33.º do Regime Jurídico das Autarquias Locais, aprovado como anexo I da Lei 75/2013, de 12 de setembro, na sua redação atual; no artigo 24.º do Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679), de 27 de abril de 2016 Lei Habilitante O Regulamento Municipal de Proteção de Dados do Município de Ferreira de Zêzere é elaborado ao abrigo e nos termos do disposto no artigo 241.º da Constituição da República Portuguesa, no artigo 135.º e seguintes do Código do Procedimento Administrativo, no artigo 4.º, no n.º 1 do artigo 23.º, na alínea g) do n.º 1 do artigo 25.º e na alínea k) do n.º 1 do artigo 33.º do Regime Jurídico das Autarquias Locais, aprovado como anexo I da Lei 75/2013, de 12 de setembro, na sua redação atual; no artigo 24.º do Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679), de 27 de abril de 2016; e na Lei 58/2019, de 8 de agosto.
Artigo 2.º
Objeto, Âmbito e Objetivos Gerais 1-O presente RMPD estabelece as regras, os termos e as condições pelas quais se rege a atuação do Município de Ferreira do Zêzere, enquanto responsável pelo tratamento de dados pessoais, tendo em consideração os direitos e os legítimos interesses dos titulares dos dados e de terceiros, em conformidade com o RGPD, bem como da legislação nacional aplicável e orientações da Comissão Nacional de Proteção de Dados (CNPD) e do Comité Europeu para a Proteção de Dados.
2-O presente RMPD aplica-se a todos os tratamentos de dados pessoais realizados exclusivamente por parte dos órgãos, serviços e colaboradores do Município de Ferreira do Zêzere.
3-O presente RMPD visa:
a) Disciplinar, sistematizar e uniformizar a proteção de dados pessoais no âmbito do Município de Ferreira do Zêzere;
b) Promover, defender e garantir, de forma complementar o regime legal vigente, os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais e os seus direitos enquanto titulares dos dados, aquando da sua interação com o Município de Ferreira do Zêzere, de forma indiscriminada.
c) Consolidar a implementação do RGPD no âmbito da ação e da atuação do Município de Ferreira do Zêzere, enquanto responsável pelo tratamento de dados pessoais.
d) Definir a atuação dos serviços municipais, no âmbito da recolha e do tratamento de dados pessoais.
4-São destinatários do presente RMPD:
a) Os serviços municipais inseridos na Estrutura Orgânica Interna do Município de Ferreira do Zêzere;
b) Os funcionários, trabalhadores e outros colaboradores do Município de Ferreira do Zêzere;
c) Os contraentes de aquisições de bens e serviços, empreitadas ou detentores de concessão municipal, ou entidades terceiras que tenham relações contratuais com o Município de Ferreira do Zêzere;
d) Pessoas singulares que se relacionem com o Município de Ferreira do Zêzere.
CAPÍTULO II
POLÍTICA GERAL DE PRIVACIDADE
Artigo 3.º
Responsável pelo Tratamento O responsável pelo tratamento é o Município de Ferreira do Zêzere, sita na Praça Dias Ferreira, 38, 2240-341 Ferreira do Zêzere, contactável através do site https:
//cm-ferreiradozezere.pt/, via email:
geral@cm-ferreiradozezere.pt, telefone:
+351 249 360 150, e ainda presencialmente.
Artigo 4.º
Encarregado de Proteção de Dados 1-Nos termos do artigo 37.º do RGPD e dos artigos 9.º e 12.º da Lei 58/2019, de 08 agosto, o Município de Ferreira do Zêzere designa um Encarregado de Proteção de Dados, o qual pode ser contactado através do email:
dpo@cm-ferreiradozezere.pt.
2-O Encarregado de Proteção de Dados é designada com base nas suas qualificações profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito nacional e europeu de proteção de dados, no conhecimento das operações de processamento realizadas, das tecnologias de informação, das práticas de segurança de dados, bem como da estrutura organizacional do Município de Ferreira do Zêzere.
3-Nos termos dos artigos 37.º a 39.º do RGPD e do artigo 11.º da Lei 58/2019, de 08 agosto, são funções do Encarregado de Proteção de Dados:
a) Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos da legislação em vigor.
b) Controlar a conformidade com a legislação em vigor e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados e as auditorias correspondentes.
c) Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados, controlando a sua realização nos termos do artigo 35.º do RGPD e artigo 7.º da Lei 58/2019, de 08 agosto.
d) Cooperar com a CNPD, sendo o seu ponto de contacto quanto a questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.º do RGPD, consultando ainda esta entidade, quando achar necessário.
e) Assegurar a realização de auditorias, quer periódicas, quer não programadas.
f) Sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança.
g) Assegurar as relações com os titulares de dados nas matérias abrangidas pelo RGPD, pela legislação nacional e pelo presente RMPD, em matéria de proteção de dados.
4-Nos termos do n.º 2 do artigo 39.º do RGPD, no desempenho das suas funções, o encarregado de proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades de tratamento.
5-Nos termos do n.º 5 do artigo 38.º do RGPD e do artigo 10.º da Lei 58/2019, de 08 agosto, o Encarregado de Proteção de Dados, bem como os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade, que se mantém após o termo das funções que lhe deram origem, que acresce aos deveres de sigilo profissional legalmente previstos.
6-As funções do Encarregado de Proteção de Dados são exercidas com total independência e autonomia em relação à estrutura dos serviços, isenção, distanciamento e não subordinação à hierarquia municipal, não podendo ser prejudicado nem penalizado pelo exercício das mesmas ou pelo teor dos pareceres que emite ou pelas iniciativas que desenvolve no âmbito das suas funções e competências.
7-No âmbito e na prossecução das suas funções, de forma célere e independente, o Encarregado de Proteção de Dados do Município de Ferreira do Zêzere tem acesso ao sistema, à documentação e à informação da organização.
8-O Município de Ferreira do Zêzere deve providenciar ao Encarregado de Proteção de Dados os meios necessários de ordem logística e tecnológica necessários ao desempenho da sua função e das suas competências.
Artigo 5.º
Definições Relevantes 1-Para efeitos do presente RMPD, entende-se por:
i) “Dados pessoais”
:
informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
ii) “Tratamento”
:
uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
iii) “Limitação do tratamento”
:
a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro.
iv) “Ficheiro”
:
qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico.
v) “Responsável pelo tratamento”
:
a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais, sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um EstadoMembro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estadomembro; a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais, sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um EstadoMembro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estadomembro; a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais, sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um EstadoMembro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estadomembro; a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais, sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um EstadoMembro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estadomembro;
vi) “Subcontratante”
:
uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
vii) “Destinatário”
:
uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebe comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro.
viii) “Terceiro”
:
a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais.
ix) “Consentimento”
:
do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
x) “Avaliação de impacto” sobre a proteção de dados, é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais, avaliandoos e determinando as medidas necessárias para fazer face a esses riscos.
xi) “Violação de dados pessoais”
:
uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
xii) “Dados biométricos”
:
dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos.
xiii) “Dados relativos à saúde”
:
dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde.
Artigo 6.º
Princípios Relativos ao Tratamento de Dados Pessoais 1-Os princípios base do RGPD, e do presente RMPD, são a licitude do tratamento, a minimização dos dados, a transparência, a finalidade, a exatidão, a limitação da conservação, a integridade e confidencialidade e a responsabilização dos intervenientes no tratamento de dados pessoais no campo de ação das competências legais do Município de Ferreira do Zêzere.
2-No que se reporta aos princípios acima mencionados, entende-se o seguinte:
a) O princípio da licitude de tratamento significa que o tratamento de dados pessoais apenas é possível se se verificar um fundamento legítimo para tal operação, elencando o artigo 6.º do RGPD as situações em que o tratamento é considerado lícito:
i) Genericamente, sendo o Município de Ferreira do Zêzere uma entidade pública, os seus tratamentos de dados pessoais assentam em dois fundamentos basilares, a previsão legal (ou regulamentar) e a prossecução do interesse público. Os tratamentos de dados pessoais enquadrados nestes dois fundamentos não carecem de consentimento do titular dos dados;
ii) Nos casos não incluídos no inciso i. a licitude do tratamento deve basear-se no consentimento do titular dos dados, nomeadamente quando:
I. Tratamento de dados incluídos nas categorias especiais de dados pessoais;
II. Finalidade que não a que originou a recolha dos dados junto do titular dos mesmos;
III. Transferência de dados no âmbito de Acordos relativos a tratamento de dados pessoais.
b) O princípio da minimização significa que os dados a tratar devem ser adequados, pertinentes e limitados ao que é exigido pelas finalidades que determinam o tratamento:
i) Os dados pessoais recolhidos devem corresponder ao “mínimo indispensável” para se satisfazer a finalidade pretendida;
ii) Os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios;
iii) Caso se verifique que foram solicitados dados excessivos, o tratamento passará a ser ilícito.
c) Por princípio da transparência o processamento dos dados pessoais deve ser feito de forma licita, leal e transparente, com respeito pelos direitos do titular dos direitos de personalidade:
i) O Município de Ferreira do Zêzere manterá um registo das atividades de processamento de dados pessoais sob sua responsabilidade;
ii) O prazo de conservação dos dados pessoais deverá ser dado a conhecer ao titular dos dados pessoais no momento da recolha, ou, se não for possível, os critérios usados para definir esse prazo.
d) O princípio da finalidade determina que os dados devem ser recolhidos para finalidades determinadas, explícitas e legítimas e, não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades:
i) Nesta medida, afigura-se que não podem ser recolhidos dados pessoais para finalidades futuras, ainda não determinadas no momento da recolha.
ii) Este princípio assume uma importância fundamental uma vez que só depois de conhecida a finalidade do tratamento é possível apurar se a informação pessoal recolhida é necessária e não excessiva.
e) Por princípio da exatidão os dados pessoais devem ser exatos e atualizados sempre que necessário e quando estejam inexatos devem os mesmos ser retificados, utilizando para tal todas as medidas adequadas:
i) Será dada resposta aos pedidos de retificação do titular dos dados sem demora injustificada, no prazo máximo de um mês e quando for intenção de recusa do pedido do titular dos dados deverá ser apresentada a correspondente justificação.
f) Por princípio da limitação da conservação, o prazo limite da conservação de dados pessoais, não pode exceder o tempo necessário para a concretização da finalidade para as quais os dados pessoais foram recolhidos.
g) Por princípio da integridade e confidencialidade o legislador estabelece o dever de integridade e confidencialidade no tratamento de dados pessoais:
i) Os dados pessoais serão tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando-se as medidas técnicas ou organizativas adequadas.
h) Por princípio da responsabilização dos operacionais do tratamento de dados pessoais, está consagrada a responsabilidade do Município de Ferreira do Zêzere por qualquer tratamento de dados pessoais realizado por esta ou por sua conta. Em especial, o Município de Ferreira do Zêzere executará as medidas que forem adequadas e eficazes, e em simultâneo ser capaz de comprovar que as atividades de tratamento são efetuadas em conformidade com o RGPD, incluindo a eficácia das medidas. Essas medidas levarão em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como o risco que possa implicar para os direitos e liberdades das pessoas singulares;
i) A fim de comprovar a observância do RGPD, o Município de Ferreira do Zêzere e seus subcontratantes, nos termos do artigo 30.º do RGPD, sempre que abrangidos por normativo legal, deverão conservar registos de atividades de tratamento sob a sua responsabilidade.
Artigo 7.º
Licitude do Tratamento de Dados Pessoais em Geral 1-Nos termos do artigo 6.º do RGPD, o tratamento de dados pessoais em geral, por parte do Município de Ferreira do Zêzere, é lícito sempre que se verifique uma das seguintes situações:
a) Consentimento:
O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas. Porém, de acordo com o disposto no considerando 43 do RGPD, este afirma que o consentimento não pode ser utilizado como fundamento de licitude do tratamento de dados pessoais pelo Município de Ferreira do Zêzere, isto porque, a fim de assegurar que o consentimento é dado de livre vontade, este não deverá constituir fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento, nomeadamente quando o responsável pelo tratamento é uma autoridade pública, sendo considerado improvável que o consentimento tenha sido dado de livre vontade em todas as circunstâncias associadas à situação específica em causa.
b) Contratos:
O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências précontratuais a pedido do titular dos dados.
c) Obrigação jurídica:
O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito, entenda-se competências e atribuições legais do Município de Ferreira do Zêzere.
d) Interesse vital:
O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular.
e) Interesse público e autoridade pública:
O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento.
f) Interesse legítimo:
O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.
Artigo 8.º
Licitude do Tratamento de Categorias Especiais de Dados Especiais e/ou de Dados Pessoais Sensíveis 1-As categorias especiais de dados pessoais e/ou dados pessoais sensíveis englobam os dados ou informações que implicam maiores riscos para os direitos e liberdades fundamentais da pessoa humana, como:
origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos que permitam identificar uma pessoa de forma inequívoca, dados relativos à saúde, dados relativos à vida sexual ou orientação sexual.
2-Nos termos do n.º 1 do artigo 9.º do RGPD, é proibido o tratamento destes dados pessoais, exceto nos casos previstos nos termos do n.º 2 e do n.º 3 do artigo 9.º do RGPD, a saber:
a) Consentimento:
Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se a legislação europeia e nacional previr que a proibição não pode ser anulada pelo titular dos dados.
b) Tratamento necessário para cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social.
c) Tratamento necessário para medicina preventiva ou do trabalho, para avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social.
d) Tratamento que se refira a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular.
e) Tratamento necessário para interesse público importante, legalmente previsto, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados.
f) Tratamento for necessário para arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, previsto na lei, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas para a defesa dos direitos fundamentais e dos interesses do titular dos dados, respeitando o disposto no artigo 31.º da Lei 58/2019, de 8 de agosto.
Artigo 9.º
Finalidades do Tratamento de Dados Pessoais Como finalidades do tratamento de dados pessoais, o Município de Ferreira do Zêzere tem em consideração:
a) A tramitação nos serviços municipais, por exigência legal, de procedimentos administrativos ou a celebração de contratos, seja oficiosamente ou a requerimento dos titulares dos dados.
b) O cumprimento pelo Município de Ferreira do Zêzere das suas atribuições ou obrigações legais e das suas funções de interesse público ou autoridade pública enquanto órgão da Administração Pública.
c) O exercício pelos titulares dos dados ou pelo Município de Ferreira do Zêzere de direitos e obrigações previstos na legislação.
Artigo 10.º
Transmissão de Dados Pessoais A transmissão de dados pessoais ocorrerá apenas quando prevista em disposição legal e/ou para cumprimento de direitos ou obrigações legalmente previstas e/ou se absolutamente necessária à prossecução do interesse público ou exercício de autoridade pública.
Artigo 11.º
Prazo de Conservação de Dados Pessoais O prazo de conservação de dados pessoais será o prazo necessário para a tramitação dos procedimentos administrativos, duração de contratos, acrescido do prazo de conservação arquivística aplicável à Administração Localconforme estabelecido no Regulamento para a Classificação e Avaliação da Informação Arquivística da Administração Local, aprovado pela Portaria 112/2023, de 27 de abril-sem prejuízo da sua conservação, para além daquele prazo, em caso de pendência de ação judicial Artigo 12.º Direitos dos Titulares dos Dados Pessoais 1-Nos termos do Capítulo III do RGPD (Direitos do Titular dos Dados), e identificadas as disposições específicas no que ao Município de Ferreira do Zêzere diz respeito, os direitos dos titulares são:
a) Confirmação de que os dados pessoais são objeto de tratamento;
b) Direito de informação;
c) Direito de acesso aos dados pessoais;
d) Direito de retificação;
e) Direito ao apagamento;
f) Direito à limitação do tratamento;
g) Direito de portabilidade dos dados;
h) Direito de oposição ao tratamento;
i) Direito de apresentar reclamação à Autoridade de controlo, a CNPD.
2-Relativamente ao consentimento dos titulares dos dados pessoais no website oficial do Município de Ferreira do Zêzere, está associado o direito de se retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.
3-No que diz respeito ao direito ao apagamento dos dados, à portabilidade dos dados e à oposição ao tratamento, estes direitos poderão ser exercidos, sem prejuízo de outra fundamentação legal admissível, quando:
a) Quando o tratamento se revela necessário ao cumprimento de obrigações legais que exigem o tratamento e ao exercício de funções de interesse público e ao exercício da autoridade pública de que esteja investido ao Município de Ferreira do Zêzere.
b) Quando o tratamento, baseado no cumprimento de obrigações legais, no exercício de funções de interesse público e/ou no exercício da autoridade pública por parte do Município de Ferreira do Zêzere, não é precedido pelo consentimento do titular dos dados.
Artigo 13.º
Consentimento de menores 1-O tratamento dos dados pessoais de menores relativos à oferta direta de serviços da sociedade de informação disponibilizados pelo Município de Ferreira do Zêzere e especificamente definidos, é lícito, quando as mesmas deem formalmente o consentimento e já tenham completado 13 anos de idade.
2-Caso a criança tenha idade inferior a 13 anos, o tratamento só é lícito se o consentimento for dado pelos representantes legais desta, de preferência com recurso a meios de autenticação segura, nomeadamente através de assinatura digital qualificada ou Chave Móvel Digital.
Artigo 14.º
Transparência do Tratamento e o Exercício dos Direitos pelos Titulares dos Dados Pessoais 1-Nos termos do n.º 1 artigo 12.º do RGPD, o Município de Ferreira do Zêzere, enquanto responsável pelo tratamento dos dados pessoais, deve fornecer aos titulares dos dados as informações relativas ao tratamento dos dados e aos direitos dos titulares dos dados de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, por escrito ou por outros meios, incluindo, se aplicável, por meios eletrónicos. Se o titular dos dados o solicitar, a informação pode ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.
2-O Município de Ferreira do Zêzere enquanto responsável pelo tratamento dos dados pessoais, facilita o exercício dos direitos pelos titulares dos dados e fornece aos titulares dos dados as informações sobre as medidas tomadas, para garantir o exercício dos direitos pelos titulares dos dados, no prazo de um mês a contar da data de receção do pedido de exercício dos direitos.
3-O prazo presente no n.º 2 do presente artigo pode ser prorrogado até dois meses, quando necessário, tendo em conta a complexidade do pedido e o número de pedidos, devendo-se informar o titular dos dados de alguma prorrogação e dos motivos da demora, no prazo de um mês a contar da data de receção do pedido.
4-Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida através de meios eletrónicos, salvo pedido em contrário do titular.
5-Se não for dado seguimento ao pedido apresentado pelo titular dos dados, este deve ser informado no prazo de um mês, a contar da data de receção do pedido, das razões que o levaram a não tomar medidas e da possibilidade de apresentar reclamação à autoridade de controlo (CNPD) e de intentar a respetiva ação judicial.
6-As informações fornecidas e quaisquer comunicações e medidas tomadas são fornecidas a título gratuito.
7-Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, o responsável pelo tratamento pode:
a) Exigir o pagamento de uma taxa razoável, tendo em conta os custos administrativos do fornecimento das informações ou da comunicação, ou de tomada das medidas solicitadas;
b) Recusar-se a dar seguimento ao pedido.
8-Na sequência do n.º 7 do presente artigo, cabe ao Município de Ferreira do Zêzere demonstrar o caráter manifestamente infundado ou excessivo do pedido.
9-Em cumprimento das obrigações de transparência e para facilitar o exercício dos direitos pelos titulares, o Município de Ferreira do Zêzere disponibiliza um formulário de requerimento de exercício de direitos para ser utilizado pelo titular dos dados, presente no Anexo I-A.
Artigo 15.º
Informações sobre o Tratamento e os Direitos dos Titulares no Momento da Recolha dos Dados Pessoais 1-No momento da recolha dos dados pessoais, o Município de Ferreira do Zêzere, enquanto responsável pelo tratamento, faculta informações sobre o tratamento dos dados pessoais e sobre os direitos dos titulares.
2-Para que a prestação das informações ocorra no momento da recolha dos dados e fique devidamente documentada e comprovada, estas são prestadas nos formulários dos requerimentos dos diversos procedimentos.
3-Nos casos em que haja recolha de dados pessoais, sem que o titular dos dados apresente o formulário do requerimento disponibilizado pelo Município de Ferreira do Zêzere, seja por apresentar um requerimento elaborado pelo próprio, seja por simplesmente não apresentar qualquer requerimento, é utilizado o formulário presente no Anexo I-C, exclusivamente destinado a comprovar a prestação das informações sobre o tratamento de dados e direitos dos titulares.
Artigo 16.º
Outras Informações sobre o Tratamento de Dados Pessoais 1-A comunicação dos dados pessoais ao Município de Ferreira do Zêzere é em geral necessária para exercício de direitos e cumprimento de obrigações legais ou contratuais.
2-A não disponibilização dos dados pessoais pelos titulares é, em geral, impeditiva do exercício de direitos e cumprimento de obrigações legais ou contratuais.
3-Não existem decisões automatizadas, nem a definição de perfis.
4-Para além do cumprimento da obrigação legal de tratamento para arquivo, não haverá tratamento posterior de dados pessoais para finalidades distintas das que presidiram à recolha.
5-As informações sobre o tratamento de dados pessoais e direitos dos titulares, de uma forma genérica, estão presentes no Anexo I-C.
6-As informações sobre o tratamento de dados pessoais e direitos dos titulares, relativamente a contactos eletrónicos e através do website do Município de Ferreira do Zêzere, estão presentes no Anexo I-G.
Artigo 17.º
Segurança do Tratamento de Dados Pessoais 1-Nos termos do artigo 32.º do RGPD e tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o Município de Ferreira do Zêzere, enquanto responsável pelo tratamento, aplica medidas técnicas e organizativas para garantir um nível de segurança adequado ao risco, incluindo, manter a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento e a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada, no caso de um incidente físico ou técnico; bem como, adotar procedimentos para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
2-Estas medidas técnicas e organizativas estão referenciadas e especificadas no Capítulo III do presente RMPD.
Artigo 18.º
Notificação da Violação de Dados Pessoais à Autoridade de Controlo (CNPD) Nos termos do artigo 33.º do RGPD, caso se verifique uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, o Município de Ferreira do Zêzere, enquanto responsável pelo tratamento, notifica desse facto a autoridade de controlo (CNPD) utilizando o procedimento implementado para esse efeito, presente no Anexo I-D.
Artigo 19.º
Comunicação da Violação de Dados Pessoais aos seus Titulares Nos termos do artigo 34.º do RGPD, caso se verifique uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o Município de Ferreira do Zêzere, enquanto responsável pelo tratamento, comunica a violação de dados pessoais ao titular dos dados sem demora injustificada, utilizando o procedimento implementado para esse efeito, presente no Anexo I-E.
Artigo 20.º
Sigilo Profissional Os responsáveis pelo tratamento, neste caso todos os colaboradores e entidades do Município de Ferreira do Zêzere, bem como, os subcontratantes, bem como qualquer outra pessoa que, no exercício das suas funções, tenha acesso a dados pessoais, estão obrigados a sigilo profissional, mesmo após o termo das suas funções.
Artigo 21.º
Tratamento de Dados Pessoais através de Subcontratantes 1-O Município de Ferreira do Zêzere, enquanto responsável pelo tratamento, só recorre a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de forma que o tratamento satisfaça os requisitos do RGPD e assegure a defesa dos direitos do titular dos dados.
2-O tratamento em subcontratação é regulado por contrato ou outro ato normativo previsto na lei, que vincula os subcontratantes ao Município de Ferreira do Zêzere.
Artigo 22.º
Registos de atividades de tratamento de dados pessoais 1-O Município de Ferreira do Zêzere, enquanto responsável pelo tratamento, conserva registos das atividades de tratamento de dados pessoais sob a sua responsabilidade, sendo que desses registos das atividades de tratamento constam todos os elementos e informações legalmente exigidos.
2-O Município de Ferreira do Zêzere conserva os registos de atividades de tratamento desenvolvidos atualizados.
3-Os registos de atividades de tratamento deverá reunir um conjunto de informações devidamente definidas e que identifique, cada tratamento de dados, conforme estabelecido no artigo 30.º do RGPD.
Artigo 23.º
Avaliações de Impacto sobre a Proteção de Dados Pessoais 1) A avaliação de impacto sobre a proteção de dados (AIPD) consiste num processo que visa estabelecer e demonstrar a conformidade com o RGPD, legislação nacional e o presente RMPD.
2) Nos casos em que as operações de tratamento de dados sejam suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo seu tratamento deverá encarregar-se da realização de uma avaliação de impacto da proteção de dados para determinação, nomeadamente, da origem, natureza, particularidade e gravidade desse risco.
3) Uma avaliação de impacto sobre a proteção de dados deve conter:
a) Uma descrição do tratamento e das suas finalidades;
b) Uma avaliação da necessidade e da proporcionalidade do tratamento medida em mapa de risco;
A análise do risco e a adoção de medidas baseadas na mitigação resume o sistema de gestão de riscos da informação a mapear, através dos seguintes procedimentos simplificados:
i) A aceção do Risco será o resultado da conjugação da relação Valor da informação vs Probabilidade de ocorrência;
ii) Identificação dos Ativos de Informação (Tratamentos):
(1) São designados ativos da informação, sistemas, portais, servidores, base de dados, equipamentos de comunicação, contratos, etc. que devem ser identificados no âmbito da segurança da informação;
(2) Serão identificados qualquer operação ou conjunto de operações efetuados sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, limitação da conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, comparação ou interconexão, bem como a limitação, apagamento ou destruição.
iii) Determinação do Valor da Informação (Criticidade):
(1) Para cada ativo de informação identificado, é efetuada a classificação no que se refere à confidencialidade, integridade e disponibilidade.
(2) Será determinado o Valor do Ativo da Informação que caracterize o impacto da perda para cada propriedade (confidencialidade, integridade e disponibilidade):
(a) Alto:
Se a combinação Confidencialidade, Integridade e Disponibilidade for do tipoAlta | Alta | Alta ou Alta | Alta;
(b) Médio:
Se a combinação Confidencialidade, Integridade e Disponibilidade for do tipoMédia ou Média | Média ou Média | Média | Média;
(c) Baixo:
Se a combinação Confidencialidade, Integridade e Disponibilidade for do tipoBaixa | Baixa ou Baixa | Baixa | Baixa.
iv) Determinação da Probabilidade de Ocorrência de riscos (Vulnerabilidades):
(a) Para cada ativo de informação identificado devem ser identificadas as vulnerabilidades e possível impacto, de acordo com as seguintes definições:
(i) Vulnerabilidade:
É uma condição ou um conjunto de condições que permitem que ameaças afetem os ativos;
(b) Impacto:
Deve ser classificado na ótica do impacto que a exposição dos dados pessoais pode causar para os titulares dos dados, através da exploração de uma vulnerabilidade:
(i) InsignificanteOs titulares não são afetados ou poderão encontrar uns pequenos inconvenientes que conseguem superar sem problema;
(ii) LimitadoOs titulares podem encontrar inconvenientes significantes que conseguem superar apesar de algumas dificuldades;
(iii) SignificanteOs titulares podem enfrentar consequências significantes que devem conseguir superar, embora com dificuldades sérias e reais;
(iv) MáximoOs titulares podem enfrentar consequências significantes ou até irreversíveis que podem não conseguir superar.
(c) Probabilidade de Ocorrência:
Probabilidade que uma ameaça tem de explorar inerentes ao ativo:
(i) InsignificanteNão parece possível que os riscos se materializem através da exploração das vulnerabilidades;
(ii) LimitadaParece difícil que os riscos se materializem através da exploração das vulnerabilidades;
(iii) SignificanteParece possível que os riscos se materializem através da exploração das vulnerabilidades;
(iv) Máximo-É quase certo que os riscos se materializem através da exploração das vulnerabilidades.
v) Determinação do Risco:
(1) O risco será determinado levando em conta uma escala de classificação de probabilidade de ocorrência e impacto (valor) de acordo com uma matriz com graduação de cores, permitindo assim a priorização dos riscos em termos de grau de premência de atuação;
c) Graduação do Risco:
(i) Baixo (Verde)
(ii) Médio (Amarelo)
(iii) Alto (Laranja)
(iv) Elevado (Vermelho)
d) Identificação dos Controlos a Aplicar:
(1) O risco associado às ameaças identificadas deverá ser possível de ser eliminado ou reduzido por implementação de metodologias de controlo a identificar.
(2) Implementação do Plano de Ação de Mitigação:
(a) Para cada controlo com necessidade de implementação de plano de ação, devem ser estabelecidas um conjunto de ações, responsabilidades e prazos que permitam assegurar a execução dos controlos definidos.
(3) Revisão da Avaliação de Riscos:
(i) Dever-se-á efetuar uma reavaliação dos riscos periodicamente, por forma a:
1-Incluir alterações nos ativos de informação;
2-Incorporar mudanças nas prioridades e necessidades;
3-Considerar novas ameaças e vulnerabilidades;
4-Verificar se os controlos permanecem eficazes e apropriados.
(ii) O resultado desta avaliação, permite identificar e quantificar os riscos que podem afetar a segurança da informação.
e) Uma apreciação sobre os riscos para os direitos e liberdades do titular;
f) Medidas previstas para diminuir os riscos em conformidade com o RGPD, legislação nacional, orientações da CNPD e o presente RMPD.
4) Para além das operações de tratamento sujeitas a uma avaliação de impacto sobre a proteção de dados definidas no RGPD, em legislação nacional, bem como na lista que a CNPD publicou através do Regulamento 798/2018, de 30 de novembro (Diário da República, 2.ª série, n.º 231, de 30 de novembro de 2018), da CNPD, deverá o Município de Ferreira do Zêzere efetuar uma avaliação de impacto sobre a proteção de dados, nas seguintes situações:
a) A celebração de protocolos de geminação com outros municípios fora do âmbito territorial do RGPD, quando exista transferência de dados pessoais que implique um elevado risco para os direitos e liberdades das pessoas singulares;
b) Tratamento de dados pessoais, no âmbito de projetos, programas ou eventos realizados, que digam respeito a categorias especiais de dados pessoais.
5) As transferências de base de dados ou de ferramentas eletrónicas na nuvem/internet ou correio eletrónico devem assegurar que o fluxo de transferência dos dados e seu arquivo ocorra em território da União.
6) Sempre que a avaliação de impacto sobre a proteção de dados indicar que o tratamento apresenta um elevado risco que o responsável pelo tratamento não poderá atenuar através de medidas adequadas, atendendo à tecnologia disponível e aos custos de aplicação, será necessário consultar a CNPD antes de se proceder ao tratamento de dados pessoais.
7) O Encarregado de Proteção de Dados (EPD) poderá, caso tal lhe seja solicitado, prestar assistência ao responsável pelo tratamento de dados pessoais na realização de uma AIPD. Aplicando o princípio da proteção de dados desde a conceção, ao efetuar uma AIPD, o responsável pelo tratamento deve solicitar parecer do EPD, sobre as seguintes questões:
a) A necessidade da realização de uma AIPD;
b) Qual a metodologia a seguir na realização de uma AIPD;
c) Se a AIPD deverá ser realizada internamente ou se deverá externalizála;
d) As salvaguardas (incluindo medidas técnicas e organizativas) a aplicar no sentido de atenuar os eventuais riscos para os direitos e interesses dos titulares de dados;
e) Se a AIPD foi ou não corretamente efetuada e se as suas conclusões (se o tratamento deve ou não ser realizado e quais as salvaguardas a aplicar) estão em conformidade com o RGPD.
8) O parecer do EPD e as decisões tomadas pelo responsável pelo tratamento de dados pessoais deverão ser documentadas e integradas na AIPD.
9) Existem operações de tratamento de dados pessoais realizadas pelo Município de Ferreira do Zêzere que, sem prejuízo de outras, se enquadram nas condições previstas no RGPD e no Regulamento 1/2018, de 16 de outubro, relativo à lista de tratamento de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados, da CNPD, a saber:
a) Tratamento de dados pessoais através de sistemas de videovigilância:
por se enquadrar como uma operação de “Controlo sistemático de zonas acessíveis ao público em grande escala”, tipificado no n.º 3 do artigo 35.º RGPD, que não foi, contudo, submetido a Avaliação de Impacto Sobre a Proteção de Dados, porque de acordo com as Orientações do Grupo de Trabalho do artigo 29.º, não é necessária a realização da AIPD para operações de tratamento que tenham sido previamente controladas ou autorizadas pela autoridade de controlo (CNPD) e não tenham sofrido alterações nas condições de tratamento.
b) Tratamento de dados biométricos:
Por se enquadrar como uma operação de “Tratamento de dados biométricos para identificação inequívoca dos seus titulares, com exceção de tratamentos previstos e regulados por lei que tenha sido precedida de uma avaliação de impacto sobre a proteção de dados”, nos termos previstos no Regulamento 1/2018 da CNPD e no considerando 91 do RGPD.
Artigo 24.º
Consulta prévia à Autoridade de Controlo Nos termos do artigo 36.º do RGPD, o Município de Ferreira do Zêzere enquanto responsável pelo tratamento, consulta a autoridade de controlo (CNPD) antes de proceder ao tratamento quando a avaliação de impacto sobre a proteção de dados indicar que do tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar esse risco.
Artigo 25.º
Cooperação com a autoridade de controlo Nos termos do artigo 8.º da Lei 58/2019, de 8 de agosto, o Município de Ferreira do Zêzere, enquanto responsável pelo tratamento, coopera e colabora com a autoridade de controlo (CNPD) a pedido desta, na prossecução das suas atribuições e competências.
Artigo 26.º
A Proteção de Dados Pessoais e o Direito de Acesso aos Documentos Administrativos Nos termos do artigo 86.º do RGPD, do artigo 26.º da Lei 58/2019, de 8 de agosto, e da Lei 26/2016, de 22 de agosto (com as devidas atualizações), os dados pessoais que constem de documentos oficiais na posse do Município de Ferreira do Zêzere, para a prossecução de atribuições de interesse público, podem ser divulgados nos termos da legislação de acesso a documentos administrativos, a fim de conciliar o acesso do público a documentos oficiais com o direito à proteção dos dados pessoais, devendo, sempre que necessário ser articulado com o responsável pelo Acesso à Informação, a respetiva análise e parecer sobre o acesso.
Artigo 27.º
Utilização e Reprodução de Documentos de Identificação A utilização e reprodução dos documentos de identificação dos titulares dos dados pode ser apenas realizada mediante consentimento escrito dos mesmos.
Artigo 28.º
Tratamento de Dados Pessoais no Contexto Laboral Nos termos do artigo 88.º do RGPD e do artigo 28.º da Lei 58/2019, de 8 de agosto, o Município de Ferreira do Zêzere pode tratar os dados pessoais dos seus trabalhadores para as finalidades e com os limites definidos no Código do Trabalho e respetiva legislação complementar ou noutros regimes setoriais.
CAPÍTULO III
EQUIPA DE PRIVACIDADE
Artigo 29.º
Equipa de Privacidade 1-A estrutura da equipa de privacidade do Município de Ferreira do Zêzere é constituída pelo Encarregado de Proteção de Dados do Município de Ferreira do Zêzere e por, pelo menos, um representante designado de cada um/a dos/as gabinetes/divisões que compõem a sua estrutura orgânica, conforme o Organograma publicado no Diário da República.
2-O modelo de governação de privacidade adotado e que se mostra adequado ao Município de Ferreira do Zêzere foi o Modelo federal descentralizado, exigindo um maior envolvimento das unidades, potencializando uma cultura de Privacidade dentro do Município.
3-Os representantes pertencem aos/às seguintes gabinetes/divisões:
Gabinete de Apoio à Presidência, Gabinete de Apoio Jurídico, Gabinete de Serviço Municipal de Proteção Civil, Gabinete de Planeamento Estratégico, Gabinete de Serviço Veterinário Municipal, Gabinete de Gestão de Recursos Humanos, Higiene e Segurança Informática, Divisão de Administração e Serviços Instrumentais, Divisão de Ação Social e Saúde;
Biblioteca, Documentação e Arquivo;
Educação;
Juventude e Desporto;
Comunicação, Cultura e Turismo, Divisão de Obras Municipais, Planeamento, Ambiente, Serviços Urbanos e Trânsito e a Divisão de Licenciamento, Operações Urbanísticas.
5-Sem prejuízo do disposto no artigo 3.º do presente RMPD, incumbe ao Encarregado de Proteção de dados, no âmbito da Equipa de Privacidade, as seguintes funções:
a) Verificar a conformidade com as políticas e procedimentos internos;
b) Produzir evidências da auditoria;
c) Aconselhar em matéria de proteção de dados;
d) Aconselhar, definir e coordenar as atividades operacionais no âmbito da Privacidade;
e) Identificar as atividades de processamento de dados, analisando a sua conformidade;
f) Identificar incidentes, informando e aconselhando o Responsável pelo Tratamento de Dados ou Subcontratante (se aplicável);
g) Garantir a atualização contínua do registo de atividades de tratamento de dados pessoais da organização;
h) Monitorizar o compliance relativo a proteção de dados;
i) Estabelecer os contactos com a Autoridade de Controlo (CNPD) e entidades externas, quando aplicável;
j) Aconselhar e acompanhar as Avaliações de Impacto de Privacidade (AIPD), elaboradas pela Equipa de Privacidade;
k) Elaborar pareceres relativos às AIPD’s executadas com base em evidências recolhidas;
l) Monitorizar os controlos implementados;
m) Gerir e comunicar os incidentes de Privacidade (violações de dados);
n) Promover uma cultura de proteção de dados dentro da entidade.
CAPÍTULO IV
TRATAMENTO ESPECÍFICOS EM MATÉRIA DE PROTEÇÃO DE DADOS
Artigo 30.º
Atendimento 1-A comunicação de informação que envolva dados pessoais via telefone, serviços eletrónicos ou correio eletrónico só poderá ser realizada se previamente o titular dos dados tiver dado o consentimento expresso nesse sentido.
2-No atendimento presencial ao público deverá ser reservada e mantida a distância necessária para uma maior salvaguarda e proteção da privacidade no tratamento dos dados pessoais das pessoas singulares.
Artigo 31.º
Recolha de Dados Pessoais no Website Oficial do Município de Ferreira do Zêzere ou por solução tecnológica 1-O acesso e a utilização do website oficial do Município de Ferreira do Zêzere (https:
//cm-ferreiradozezere.pt/) não implica, em geral, a disponibilização e recolha de dados pessoais, o que sucederá apenas através da utilização de funcionalidades pontuais, designadamente as que impliquem submissão de formulários, mediante o preenchimento dos dados pessoais solicitados e a submissão do formulário.
2-Os formulários disponibilizados pelo município no seu website oficial ou por qualquer solução tecnológica de recolha de dados deverá cumprir com o princípio do direito à informação identificando o responsável pelo tratamento, a finalidade do tratamento, a fundamentação jurídica do tratamento, as categorias dos dados pessoais, o prazo de conservação dos dados pessoais, bem como a demais informação necessária para o esclarecimento do titular dos dados pessoais.
3-O desenvolvimento de soluções tecnológicas que recolham dados pessoais de terceiros deverão ser sujeitas a avaliação de impacto de proteção de dados.
4-Para mais informações, poderá ser consultada a política de privacidade presente no Website (https:
//cm-ferreiradozezere.pt/component/content/article/114-politica-de-privaciadade).
Artigo 32.º
Videovigilância e Autorizações para Tratamento de Dados Pessoais 1-A instalação ou renovação de um sistema de videovigilância tem de atender a vários requisitos legais, que podem incluir além do RGPD e da lei nacional que o executa, outros normativos como a Lei 34/2013, de 16 de maio, que regula a atividade de segurança privada, ou o Código do Trabalho, consoante o que for aplicável à sua situação concreta, sendo um procedimento que obriga a ponderações específicas para que a sua instalação e manutenção seja realizada de acordo com a Lei e parecer positivo do Encarregado de Proteção de Dados do Município.
2-Nos termos do artigo 31.º da Lei 34/2013, de 16 de maio, e não contrariando o disposto no artigo 19.º da Lei 58/2019, de 8 de agosto, o Município de Ferreira do Zêzere tem as seguintes autorizações de tratamento de dados pessoais, emitidas pela CNPD, antes da entrada em vigor do RGPD:
a) Autorização 4652/2010-tratamento de dados biométricos para controlo de assiduidade dos funcionários;
b) Autorização 10521/2011-Videovigilância-Rua das EscolasAreias
c) Autorização 10522/2011-Videovigilância-Rua Padre Joaquim ClaroFerreira do Zêzere;
3-As informações sobre o tratamento de dados pessoais e direitos dos titulares relativamente à videovigilância estão presentes no Anexo I-H e serão sujeitos a norma interna a desenvolver pelo Encarregado de Proteção de Dados designada por “Orientação interna para instalação e utilização de sistemas de videovigilância”.
4-A operacionalização e adequação dos sistemas de videovigilância deverão ser avaliados de forma recorrente pelos serviços municipais responsáveis que deverá confirmar se:
a) O sistema de videovigilância continua a servir a sua finalidade;
b) Avaliar se as medidas de redução de risco identificadas na Avaliação de Impacto continuam ativas e suficientes (nomeadamente filtros e outras medidas que poderão ser colocadas nos sistemas para diminuir os riscos de privacidade);
c) As obrigações de informação estão em identificadas e nos locais próprios, nos termos do artigo 31.º, n.os 5 e 6, da Lei 34/2013 e no artigo 115.º e no Anexo VIII da respetiva portaria regulamentar;
d) O sistema de conservação de imagem garante o cumprimento das obrigações legais, nomeadamente, se conserva as imagens pelo período de 30 dias, sendo obrigatório eliminar as imagens até 48 horas após os 30 dias. Isto sem prejuízo de ser necessário manter as imagens por mais tempo, no âmbito de processo criminal em curso;
e) Se o espaço para captação de imagem não sofreu obras ou modificações que obrigue a uma nova avaliação de impacto;
f) Se há restrições ou proibições à localização das respetivas câmaras;
g) Se foram realizadas avaliações periódicas e regulares das respetivas imagens e sua conservação;
h) Existem alternativas adequadas; e, i) As disposições internas continuam a estar em conformidade com o quadro normativo vigente.
Artigo 33.º
Recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos 1-A recolha, a divulgação e as demais operações de tratamento de imagens, fotografias e/ou vídeos por parte da do Município de Ferreira do Zêzere dependem de consentimento do titular dos dados, a quem deverá ser prestada toda a informação, em linguagem clara e simples, também sobre o destino de arquivamento.
2-Quando a recolha, tratamento e divulgação de imagens, fotografias e/ou vídeos por parte do Município de Ferreira do Zêzere disser respeito a menores deverá ser obtido o prévio consentimento dos seus representantes legais, privilegiando-se, no entanto, os direitos dos menores optando por captação de imagem de longe e de ângulos em que os mesmos não sejam facilmente identificáveis.
Artigo 34.º
Reuniões do Executivo Municipal ou da Assembleia municipal 1-Quando os membros do Executivo Municipal ou os eleitos da Assembleia Municipal, dirigentes e outros colaboradores intervierem nas reuniões e/ou nas sessões, deverá ser solicitado o prévio consentimento dos mesmos, ainda que oralmente, para recolha e subsequente tratamento de dados pessoais, quando esta situação se verificar, nomeadamente para a transmissão da sua imagem e o som da sua voz, que resultem das intervenções nestas reuniões para a transmissão online.
2-Quando existirem intervenções por parte do público inscrito para participar nas reuniões e/ou sessões, deverá ser solicitado o prévio consentimento dos mesmos, para recolha e subsequente tratamento de dados pessoais, quando esta situação se verificar, nomeadamente para transmissão da sua imagem e o som da sua voz, que resultem das intervenções nestas reuniões para a transmissão online.
3-A recolha e subsequente tratamento dos dados pessoais mencionados nos números anteriores, com ou sem meios automatizados, incluem a recolha, o registo, a organização, a limitação da conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição.
4-A gravação de som para efeitos de redação de ata não carece de consentimento dos titulares dos dados pessoais, uma vez que o fundamento de licitude para esta recolha assenta no cumprimento de uma obrigação legal.
5-Sempre que necessário deverá ser avaliada a orientação da CNPD sobre esta matéria cujo procedimento deverá ser adequado pelo responsável/coordenador/presidente do respetivo órgão do Município.
Artigo 35.º
Publicação de dados pessoais em jornais oficiais e plataformas eletrónicas 1-A publicação de dados pessoais em jornais oficiais e plataformas eletrónicas, que sejam da responsabilidade do Município de Ferreira do Zêzere, devem obedecer aos princípios base do RGPD, nomeadamente ao princípio da finalidade e da minimização.
2-Sempre que o dado pessoal “nome” seja suficiente para garantir a identificação do titular dos dados e a eficácia do tratamento, não devem ser publicados outros dados pessoais.
CAPÍTULO V
MEDIDAS TÉCNICAS E ORGANIZATIVAS DE PROTEÇÃO DE DADOS PESSOAIS
Artigo 36.º
Regras gerais Para efeito de cumprimento das medidas técnicas e organizativas de proteção de dados pessoais as entidades responsáveis pelos sistemas tecnológicos do Município de Ferreira do Zêzere deverão assegurar o cumprimento e manutenção dos seguintes requisitos/pressupostos:
a) Criar e manter um registo atualizado de todos os ativos tecnológicos (hardware, firmware e software).
b) Garantir um nível de segurança forte dos dados pessoais e dos recursos de tratamento.
c) Dar formação adequada a todos os utilizadores sobre segurança do sistema e dos dados pessoais.
d) Implementar diferentes tipos de mecanismos de segurança, criando diferentes camadas de proteção.
e) Assegurar que cada mecanismo de segurança contribuiu, separadamente e/ou em combinação com outros mecanismos, para atingir os objetivos de segurança.
f) Anular ou, pelo menos, mitigar quaisquer deficiências na segurança que possam existir, mantendo um risco residual num nível aceitável a cada caso.
g) Efetuar alterações de hardware, firmware e software não devem enfraquecer a segurança do sistema.
h) Definir políticas e procedimentos relativos à gestão do ciclo de vida dos utilizadores, incluindo a criação, atribuição, manutenção e atualização das contas de utilizadores do sistema.
i) Definir e manter atualizados os procedimentos e políticas de segurança que visem a operação segura do sistema e garantir a sua divulgação por todos os utilizadores.
j) Sensibilizar todos os utilizadores para as respetivas responsabilidades individuais na segurança do sistema e dos dados pessoais.
k) Obter a aceitação de todos os utilizadores, que tenham perfis de privilégios de escrita, leitura e eliminação de dados pessoais, das condições definidas num termo de responsabilidade.
l) Garantir a assistência técnica a todos os utilizadores quando e onde necessário.
m) Criar e manter registos (logs), de modo a permitir o rastreamento das atividades com impacto na segurança dos dados pessoais.
n) Garantir a salvaguarda e a capacidade de recuperação de informações relevantes para a reposição total do sistema, incluindo os dados pessoais (backups e disaster recovery).
o) Assegurar a manutenção do sistema não deve violar a sua segurança.
p) Conduzir visitas técnicas para determinar se as medidas de segurança no local são suficientes e adequadas.
q) Realizar auditorias internas e a entidades subcontratadas, cujos resultados devem ficar versados em relatório.
r) Procurar a melhoria contínua da segurança do sistema, através do planeamento e implementação de novas medidas, monitorização e verificação da adequação das mesmas e adoção de medidas corretivas sempre que necessário.
s) Determinar/requerer investigações nos casos de violações de segurança ou de suspeitas de violação, integrando o Encarregado de Proteção de Dados no respetivo desenvolvimento.
Artigo 37.º
Medidas Técnicas e Organizativas de Proteção de Dados de Categorias Especiais 1-Para efeito de cumprimento das medidas técnicas e organizativas de proteção de dados pessoais de categorias especiais as entidades responsáveis pelos sistemas tecnológicos do Município de Ferreira do Zêzere deverão assegurar a implementação e manutenção das seguintes medidas:
a) Controlo dos suportes de dados:
impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada.
b) Controlo da inserção:
impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos.
c) Controlo da utilização:
impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas.
d) Controlo de acesso:
garantir que pessoas autorizadas só possam ter acesso aos dados abrangidos pela autorização.
e) Controlo da transmissão:
garantir a verificação das entidades a quem possam ser transferidos os dados pessoais através da instalação de transmissão de dados.
f) Controlo da introdução:
garantir que se possa verificar a posteriori, em prazo adequado à natureza do tratamento, quais os dados pessoais introduzidos, quando e por quem.
g) Controlo do transporte:
impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada.
2-As medidas identificadas no presente artigo não limitem de qualquer forma outras medidas ou procedimentos que se entendam por úteis e necessários para redução e controlo de risco de incidentes de dados pessoais.
Artigo 38.º
Definição de Áreas de Acesso Restrito e Controlado 1-Deverá ser identificado, definido e atualizada pelo responsável as áreas de acesso restrito e controlado através de mecanismos que permitam o acesso unicamente a pessoas autorizadas.
2-Criação e atualização de lista de pessoas autorizadas a aceder às áreas referidas no n.º 1 do presente artigo.
3-Criação e preservação de registos de acesso às áreas referidas no n.º 1 do presente artigo.
4-Para se obter um grau satisfatório de segurança é necessário que todos conheçam as suas responsabilidades e saibam agir em conformidade, devendo ser elaboradas instruções claras, e procedimentos específicos para cada um dos perfis de acesso a áreas físicas.
Artigo 39.º
Responsabilidades Coletivas e Individuais 1-Cada utilizador deve ser individualmente responsável por respeitar as políticas e medidas de segurança implementadas.
2-Todas as atividades realizadas no sistema devem estar sujeitas a monitorização e auditorias regulares pelo serviço de informática do município ou por terceiro contratado para o efeito.
3-Existência de uma política de segregação de funções, de modo a reduzir a probabilidade de erro humano no tratamento de dados pessoais.
4-É limitado o acesso aos dados pessoais sob o controlo da organização a partir de dispositivos pessoais, exceto nos casos devidamente autorizados para o efeito.
5-É limitada a utilização de dispositivos da organização fora das instalações, incluindo para fins pessoais, exceto nos casos devidamente autorizados para o efeito.
6-A proibição expressa no n.º 5 do presente artigo não abrange os membros do executivo municipal, os dirigentes ou outros funcionários autorizados.
7-A utilização de dispositivos de armazenamento removíveis está limitada a situações de prévia autorização.
8-O correio eletrónico da organização deverá ser utilizado apenas para fins profissionais.
9-A instalação, remoção ou alteração de qualquer programa ou software a instalar no computador deverá ser realizada apenas pelo Gabinete de Gestão de RH, Higiene e Segurança e Informática do município ou por terceiro autorizado pelo mesmo.
Artigo 40.º
Em Caso de Violação de Segurança de Dados Pessoais 1-Em Caso de Violação de Segurança de Dados Pessoais deverão ser implementadas medidas para deteção, identificação e investigação das circunstâncias que permita a adoção de medidas mitigadoras, de um circuito de informação entre responsáveis e subcontratante, e avaliação de responsabilidades.
2-O Município de Ferreira do Zêzere definiu um procedimento interno de resposta a incidente que deverá ser seguido em caso de ocorrência do mesmo.
3-O procedimento interno de resposta a incidentes deverá ser anualmente atualizado pela Equipa de Privacidade e validado pelo Encarregado de Proteção de Dados.
Artigo 41.º
Proteção dos Dados e dos Recursos de Tratamento contra Código Malicioso (malware) 1-Deverá ser garantida a existência de software antivírus e antispam, devidamente licenciados e de atualização preferencialmente automática, em todas as estações de trabalho e servidores.
2-Deverá ser verificada de forma regular a presença de código malicioso em dados, sistema operativo instalado, pacotes de software e aplicações, dispositivos de armazenamento removíveis, emails e anexos recebidos de fontes externas e internas.
Artigo 42.º
Identificação e Prevenção de Incidentes de Segurança pelos Utilizadores 1-Em caso de Identificação e Prevenção de Incidentes de Segurança pelos Utilizadores deverá ser dada informação imediata ao responsável pela segurança, sempre que for detetado código malicioso.
2-Caso se identifique um incidente de segurança deverá ser imediatamente suspenso qualquer processamento em curso, desconectar o sistema potencialmente infetado da rede e identificar o responsável pela segurança em caso de suspeita.
4-Entende-se como responsável pela segurança o Gabinete de Gestão de Recursos Humanos, Higiene e Segurança e Informática.
Artigo 43.º
Privilégios de Acesso, Utilização do Sistema e Credenciais de Autenticação 1-O acesso ao sistema deve ocorrer apenas mediante prévio procedimento de registo.
2-Os pedidos de criação ou modificação de uma conta de utilizador, nomeadamente relativa a permissões, devem ser efetuados através de um formulário próprio, devidamente preenchido e assinado, presente no anexo I-F.
3-A aprovação concedida para a criação referida no n.º 2 do presente artigo irá despoletar geração de uma nova conta individual para o utilizador e uma palavrapasse inicial que lhe irão permitir aceder às funções do sistema para as quais foi autorizado.
4-Não são permitidas contas compartilhadas.
5-As credenciais de autenticação de cada utilizador devem ser únicas e intransmissíveis.
6-A palavrapasse de autenticação deve ser alterada, no máximo, a cada 180 dias para perfis de utilizador ou quando for comprometida ou se suspeite que venha a ser comprometida.
7-A reutilização de palavraspasse anteriores deverá ser evitada, recomendando-se que não seja igual ou semelhante às últimas vinte e quatro palavraspasse utilizadas.
8-Cada utilizador deve possuir somente os privilégios necessários para realizar a sua função na organização.
9-Deve existir e ser mantida uma listagem atualizada das pessoas autorizadas a utilizar o sistema, incluindo quais os softwares autorizados, e a extensão da respetiva autorização.
10-A listagem referida no n.º 9 do presente artigo deve ser disponibilizada ao encarregado de proteção de dados, sempre que este assim o solicite, para controlo interno e verificação de conformidade.
Artigo 44.º
Controlo das Contas dos Utilizadores 1-As contas dos utilizadores são bloqueadas, automaticamente, após três tentativas não sucedidas.
2-Ocorrerá um bloqueio manual quando houver a suspeita de que a conta está a ser usada incorretamente.
3-As contas desnecessárias devem ser bloqueadas.
4-O encarregado de proteção de dados deve ser avisado das situações de bloqueio de contas de forma periódica, no início de cada mês, aviso referente ao mês imediatamente anterior, ou no início de cada mês, de forma intervalada, aviso referente aos dois meses imediatamente anteriores, sempre que se verifiquem estas situações.
5-O bloqueio da estação de trabalho (Windows+L) deve ser ativado por cada utilizador, em caso de ausência do local de trabalho, sendo apenas desbloqueado com recurso às credenciais de acesso.
6-No final de cada ciclo de trabalho, a respetiva sessão deve ser encerrada.
Artigo 45.º
Registo e Monitorização das Atividades dos Utilizadores 1-Devem ser criados, atualizados e analisados periodicamente os registos de atividade (logs).
2-Os registos devem conter detalhes suficientes sobre as atividades dos utilizadores do sistema, que permitam a reconstrução do histórico de eventos:
quem, onde, quando e ação efetuada sobre o dado pessoal.
3-Os registos devem abranger qualquer atividade de criação, leitura, alteração, pesquisa, consulta, transmissão de dados a terceiros ou eliminação de dados pessoais, incluindo o registo temporal da ação e o respetivo resultado.
Artigo 46.º
Proteção dos Registos da Atividade dos Utilizadores 1-A gravação, os backups e a manutenção dos registos de atividade são obrigatórios e devem incluir todo o tipo de eventos, tanto eventos bemsucedidos como falhados.
2-Os acessos aos registos de atividade dos utilizadores devem ser limitados a pessoas devidamente autorizadas e para os fins legalmente previstos, nomeadamente auditorias.
Artigo 47.º
Controlo dos Sistemas em Produção 1-As configurações dos sistemas em produção devem estar em conformidade com as regras de segurança para que possam ser aprovadas.
2-As alterações ao sistema em produção devem ser, logo que possível, comunicadas ao encarregado de proteção de dados, por meio de relatórios.
Artigo 48.º
Instalação de novo hardware e software 1-Apenas se procede à instalação de novo hardware e/ou software e/ou componentes de hardware e software mediante autorização prévia do Gabinete de Gestão de Recursos Humanos, Higiene e Segurança e Informática.
2-A configuração local de hardware e software do sistema não deve ser alterada sem autorização prévia.
3-As alterações à configuração local de hardware e/ou software do sistema devem ser, logo que possível, comunicadas ao encarregado de proteção de dados.
4-Os equipamentos devem ser instalados e protegidos de modo a se reduzir os riscos de ameaças, os perigos ambientais e as oportunidades para acesso não autorizado.
Artigo 49.º
Cópias de Segurança A realização de cópias de segurança (backups) dos dados e do software é feita periodicamente para a proteção contra perdas e danos, bem como para garantir, quando necessário, uma rápida e correta recuperação do sistema.
Artigo 50.º
Computação em Nuvem (Cloud) 1-Determinar os requisitos técnicos (flexível e escalável) e definir os requisitos de segurança.
2-No caso das redes e sistemas de informação que utilizem os serviços de computação em nuvem públicos ou híbridos, devem ser avaliados o regime de responsabilidade e os níveis de serviço-Service Level Agreement (SLA)-particularmente no que respeita à disponibilidade do sistema, à segurança dos dados; e à reposição de serviço.
3-As políticas de segurança definidas devem ter em conta que a segurança na computação em nuvem também compreende a segurança da infraestrutura de rede, a segurança das aplicações em nuvem, a segurança das instalações físicas onde se encontram os dados e a possibilidade de realização de auditorias (periódicas e esporádicas) ao provedor de serviço.
4-Os centros de dados devem ficar alojados em instalações com as condições de segurança adequadas à proteção dos dados pessoais e serviços contratados.
5-Os prestadores de serviços devem possuir referenciais internacionais de segurança, demonstrar a conformidade com o RGPD (subcontratantes), possuir servidores físicos dentro do território nacional e/ou da União Europeia e possuir a opção por nuvens controladas por entidades públicas.
7-Apresentar tecnologias de melhoria da privacidade, favorecendo a aplicação de tecnologias Privacy Enhancing Technologies (PET).
8-Reforçar a segurança de dados pessoais sensíveis através de controlos de acesso mais rígidos, do uso de técnicas de cifragem, da opção pelo sistema de gestão de identidades e acessos (Identity and Access Management) e da adoção de medidas tecnológicas para assegurar que dados específicos não são enviados (e recebidos) para a (e da) nuvem se não estiverem cifrados.
Artigo 51.º
Proteção dos Suportes de Dados 1-O Município de Ferreira do Zêzere disponibiliza os seus próprios suportes de dados eletrónicos.
2-A utilização dos suportes de dados removíveis deve ser gerida em todas as suas fases, incluindo a aquisição, distribuição, utilização e destruição.
3-Antes da eliminação ou reutilização de equipamentos que contenham suportes de dados deve verificar-se se todos os dados foram efetivamente removidos ou eliminados.
4-No caso do suporte de dados em papel, a impressão e/ou cópia de documentos contendo dados pessoais deve ser limitada ao estritamente necessário.
5-A reprodução dos documentos deve ser efetuada com recurso a um sistema de impressão segura, as máquinas fotocopiadoras pressupõem a autenticação do utilizador.
6-Os utilizadores devem garantir que nenhuma impressão e/ou cópia fica esquecida na impressora/fotocopiadora.
Artigo 52.º
Eliminação dos Suportes de Dados 1-Os suportes de dados devem ser eliminados de forma segura.
2-Devem ser eliminados todos os dados armazenados nos equipamentos em fim de vida.
3-Os equipamentos em fim de vida devem ser desmagnetizados e/ou fisicamente destruídos.
4-Os documentos em papel devem ser destruídos com recurso a máquinas trituradoras próprias.
5-No caso de dados pessoais sensíveis, a destruição do suporte de dados (eletrónicos e em papel) deve ser testemunhada presencialmente pelo encarregado de proteção de dados.
6-A destruição de suportes de dados contendo dados pessoais sensíveis deve ser acompanhada da elaboração de certificados de destruição, que devem ser conservados por um período mínimo de 5 anos.
Artigo 53.º
Segurança Documental 1-Nas áreas de trabalho de acesso restrito devem existir armários apropriados (fechados com chave, fechadura de segredo ou tranca com cadeado).
2-As chaves não deverão ser levadas para fora do perímetro de segurança.
3-Os documentos em papel que contêm dados pessoais, principalmente aqueles localizados em espaços físicos acessíveis aos munícipes e a entidades externas, devem estar devidamente acautelados, não possibilitando a sua visualização.
Artigo 54.º
Segurança Eletrónica Os sistemas de informação devem estar desenhados e concebidos para abranger qualquer tratamento de dados pessoais garantindo o cumprimento dos seguintes pressupostos:
a) Todas as aplicações e sistemas de informação do Município de Ferreira do Zêzere deverão cumprir os requisitos técnicos constantes na Resolução do Conselho de Ministros n.º 41/2018, de 28 de março, que define as orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais;
b) É da competência dos dirigentes e/ou responsáveis pelos serviços identificar os colaboradores com permissões para o tratamento de dados pessoais no âmbito dos processos que coordenam e ainda solicitar ao dirigente e/ou responsável pelo Gabinete de Gestão de Recursos Humanos, Higiene e Segurança e Informática do Município de Ferreira do Zêzere a sua implementação nos sistemas de informação;
c) É da competência do Gabinete de Gestão de Recursos Humanos, Higiene e Segurança e Informática do Município de Ferreira do Zêzere definir e implementar os requisitos específicos indicados na alínea a) do presente artigo.
d) Adicionalmente poderão ser acauteladas e desenvolvidas medidas tecnológicas e procedimentais tendentes a aumentar e garantir os níveis e segurança de todos os dados pessoais e restante informação à sua guarda.
CAPÍTULO IV
DISPOSIÇÕES FINAIS
Artigo 55.º
Obrigações Gerais 1-O Município de Ferreira do Zêzere, os seus serviços e os seus funcionários e colaboradores estão legalmente obrigados a cumprir o disposto no RGPD, na Lei 58/2019, de 8 de agosto, no PMPD do Município de Ferreira do Zêzere e nas demais disposições legais em vigor, bem como deverão recorrer às orientações da Comissão Nacional de Proteção de Dados.
2-Devem os funcionários e os colaboradores do Município de Ferreira do Zêzere notificar o respetivo superior hierárquico aquando da deteção de violação e/ou suspeita de violação de dados pessoais, sob pena de sanção prevista nas disposições legais em vigor.
3-Devem os serviços municipais prestar as informações necessárias e auxiliar o encarregado de proteção de dados no âmbito e na prossecução das suas funções.
4-A assinatura de requerimentos ou outros documentos, sempre que efetuada perante funcionário Município de Ferreira do Zêzere, deve ser acompanhada da conferência da identidade com o cartão de cidadão respeitando as normas de utilização deste documento, nos termos da Lei 7/2007, de 5 de fevereiro, e sucessivas atualizações, pela Lei 91/2015, de 12 de agosto, e pela Lei 32/2017, de 1 de junho, e demais que venham a surgir.
5-Sempre que seja necessária a conferência da identidade, devem os serviços recorrer a uma de três opções:
a) Exibição do cartão de cidadão para conferência de identidade;
b) Reprodução com o consentimento do titular, que deverá ficar documentado;
c) Reprodução que esteja legalmente prevista.
6-Sempre que se inicie um procedimento de tratamento de dados, devem obrigatoriamente os serviços municipais, na pessoa dos respetivos funcionários, notificar os titulares dos dados, no que ao RGPD, à Lei 58/2019, de 8 de agosto e ao RMPD diz respeito.
7-A cláusula presente no Anexo II-A, relativamente à proteção de dados, deve estar presente em todos os formulários e/ou requerimentos dos diversos procedimentos e nos contratos a celebrar pelo Município de Ferreira do Zêzere, com exceção dos procedimentos e contratos respeitantes aos serviços municipais referidos no n.º 8 do presente artigo.
8-Em substituição da cláusula referida no n.º 7 do presente artigo, os serviços municipais concretamente referidos no Capítulo IV do presente RMPD utilizam cláusulas específicas, referenciadas nos respetivos artigos.
9-Aquando da criação de novos formulários e/ou requerimentos, deve o encarregado de proteção de dados do Município de Ferreira do Zêzere ser notificado de tal situação.
Artigo 56.º
Representação dos titulares dos dados Sem prejuízo da observância das regras relativas ao patrocínio judiciário, o titular dos dados tem o direito de mandatar um organismo, uma organização ou uma associação sem fins lucrativos constituída em conformidade com o direito nacional, cujos fins estatutários sejam de interesse público e cuja atividade abranja a defesa dos direitos, liberdades e garantias do titular dos dados quanto à proteção de dados pessoais para, em seu nome, exercer os direitos previstos nos artigos 77.º, 78.º, 79.º e 82.º do RGPD.
Artigo 57.º
Legislação subsidiária A tudo o que não esteja especialmente previsto no presente RMPD aplica-se subsidiariamente o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, a Lei 58/2019, de 8 de agosto, e as demais disposições legais que sejam aplicáveis em razão da matéria.
Artigo 58.º
Interpretação e casos omissos 1-As lacunas, as dúvidas interpretativas e os casos omissos suscitados na aplicação do presente regulamento são preenchidos ou resolvidos, na linha do seu espírito, por deliberação da Assembleia Municipal, sob proposta da Câmara Municipal.
2-As menções referentes aos serviços municipais, nomeadamente divisões, gabinetes e setores, constantes do presente Regulamento reportam-se, em caso de alteração da estrutura orgânica da Câmara Municipal de Ferreira do Zêzere, àquelas que as sucederem nas respetivas funções.
3-Em tudo o que não se encontrar previsto no presente Regulamento, aplica-se subsidiariamente o RGPD, a legislação nacional e as orientações da CNPD
Artigo 59.º
Entrada em vigor O presente Regulamento entra em vigor no dia seguinte ao da sua publicação no Diário da República.
ANEXO I
Procedimentos de notificação e comunicação ANEXO I-A Requerimento para o exercício de direito pelos titulares de dados pessoais Exmo. Sr. Presidente da Câmara Municipal de Ferreira do Zêzere Titular dos dados:
Nome:
Morada:
E-mail:
Telemóvel:
Documento de identificação:
N.º de documento de identificação:
Validade de documento de identificação:
Representante do titular dos dados (a ser aplicável):
Nome:
Morada:
E-mail:
Telemóvel:
Documento de identificação:
N.º de documento de identificação:
Validade de documento de identificação:
Na qualidade de:
Vem, relativamente aos dados pessoais que são objeto de tratamento pelo Município de Ferreira do Zêzere, nos seguintes assuntos (indique qual o assunto, o número do processo e o que pretende):
Assunto:
N.º do processo:
Pretensão:
Direitos que pode exercer (assinalar):
Confirmação de que os dados pessoais são objeto de tratamento.
Direito de acesso aos dados pessoais.
Direito de retificação.
Direito à limitação do tratamento.
Direito ao apagamento dos dados (“direito a ser esquecido”).
Direito de portabilidade dos dados.
Direito de oposição.
Informações e direitos sobre o tratamento de dados pessoais neste procedimento:
Responsável pelo tratamento dos dados:
Município de Ferreira do Zêzere, sita na Praça Dias Ferreira, 38, 2240-341 Ferreira do Zêzere, contactável através do website:
https:
//cm-ferreiradozezere.pt/ ou email:
geral@cm-ferreiradozezere.pt ou telefone:
+351 249 360 150 ou presencialmente no horário de atendimento.
Encarregado de proteção de dados:
Encarregado de Proteção de Dados do Município de Ferreira do Zêzere, sita Praça Dias Ferreira, 38, 2240-341 Ferreira do Zêzere, contactável através do email:
dpo@cm-ferreiradozezere.pt ou telefone:
+351 249 360 150 ou presencialmente na morada indicada.
Finalidade do tratamento:
O exercício pelo titular dos dados dos direitos e pelo responsável do tratamento das obrigações previstas na legislação de proteção de dados pessoais.
Licitude do tratamento:
Cumprimento pelo Município das suas obrigações legais, e das suas funções de interesse público e autoridade pública enquanto órgão da Administração Pública.
Dados pessoais e categorias:
Os dados pessoais dos titulares e legais representantes constantes deste requerimento, não envolvendo a recolha de dados de categorias especiais.
Destinatários dos dados pessoais:
Os serviços municipais.
Prazo de conservação dos dados pessoais:
o prazo necessário para a tramitação do procedimento, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados, conforme estabelecido no Regulamento para a Classificação e Avaliação da Informação Arquivística da Administração Local, aprovado pela Portaria 112/2023, de 27 de abril.
Direitos que pode exercer:
Confirmação de que os dados pessoais são objeto de tratamento, Direito de acesso aos dados pessoais, Direito de retificação, Direito à limitação do tratamento, Direito ao apagamento dos dados, Direito de oposição e Direito de apresentar reclamação à autoridade de controlo (CNPD).
Outras informações:
A comunicação dos dados pessoais neste procedimento é necessária para cumprir uma obrigação legal ou contratual, caso não forneça os dados o seu pedido ou pretensão não poderá ser tratado pelo Município. Não existem decisões automatizadas, nem a definição de perfis. Para além do cumprimento da obrigação legal de tratamento para arquivo, não haverá tratamento posterior dos dados pessoais para finalidade distinta das que presidiram à recolha. Qualquer violação de dados pessoais será levada a conhecimento do interessado no prazo legal.
Como pretende apresentar este pedido (assinale e cumpra as indicações):
VerbalmenteEste requerimento deverá ser preenchido pelos serviços municipais de acordo com as informações e pedido do titular dos dados que deverá exibir o documento de identificação e assinar o requerimento.
Em papelEste requerimento deverá ser preenchido e assinado pelo titular dos dados que no momento da entrega nos serviços municipais deverá exibir o documento de identificação para conferência da assinatura.
EletronicamenteEste requerimento deverá ser preenchido e convertido em PDF e assinado mediante assinatura eletrónica qualificada do Cartão de Cidadão pelo titular dos dados e remetido através do email indicado.
Como pretende que seja prestada a informação (assinale e cumpra as indicações):
Verbalmente-O requerente deverá dirigir-se aos serviços municipais fazendo-se acompanhar do documento de identificação ou outro documento que ateste a representação, onde serão prestadas as informações de acordo com o seu pedido devendo assinar um documento que comprove que as informações foram prestadas.
Papel presencialmente-O requerente deverá dirigir-se aos serviços municipais fazendo-se acompanhar do documento de identificação ou outro documento que ateste a representação, onde será entregue documento com as informações de acordo com o seu pedido, devendo assinar um duplicado desse documento para comprovar que as informações foram prestadas.
Pelos correios-O requerente receberá na morada indicada documento com as informações de acordo com o seu pedido.
Eletronicamente-O requerente receberá no email indicado o documento com as informações de acordo com o seu pedido.
Pede deferimento, Ferreira do Zêzere, ___ de ___ de 20___ Pede deferimento, Ferreira do Zêzere, ___ de ___ de 20___ O(A) Requerente, (Assinatura conforme documento de identificação verificada por conferência) Pede deferimento, Ferreira do Zêzere, ___ de ___ de 20___ Pede deferimento, Ferreira do Zêzere, ___ de ___ de 20___ O(A) Requerente, (Assinatura conforme documento de identificação verificada por conferência) ANEXO I-B Resposta ao requerimento de exercício de direitos dos titulares Exmo.(a). Sr.(a) Nome:
Morada:
Enquanto titular ou representante do titular dos dados pessoais, prestamos informações sobre o exercício dos seguintes direitos:
Confirmação de que os dados pessoais são objeto de tratamento:
SIM ou NÃO
Se SIM, no exercício do direito de acesso aos dados pessoais, prestamos as seguintes informações:
Dados pessoais em tratamento:
Finalidades do tratamento dos dados:
Destinatários ou categorias de destinatários de dados pessoais:
Prazo previsto para conservação dos dados pessoais ou critérios usados para fixar esse prazo:
o prazo necessário para a tramitação do procedimento acrescido do prazo legal de arquivo dos documentos onde os dados estão registados conforme estabelecido no Regulamento para a Classificação e Avaliação da Informação Arquivística da Administração Local.
Os dados foram recolhidos junto do titular:
SIM ou NÃO
Se NÃO, foram cedidos ao Município de Ferreira do Zêzere por:
Existem decisões automatizadas:
SIM ou NÃO
Se SIM, prestamos informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados:
Existe a definição de perfis:
SIM ou NÃO
Se SIM, prestamos informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados:
Tem o direito de solicitar ao responsável pelo tratamento, a retificação, o apagamento ou a limitação do tratamento dos dados pessoais ou o direito de se opor a esse tratamento nos termos previstos na lei.
Tem ainda o direito de apresentar reclamação à autoridade de controlo (CNPD).
Segue em anexo uma cópia dos dados pessoais em fase de tratamento.
Direito de retificação:
SIM ou NÃO
Se SIM, foram retificados os seguintes dados:
Se NÃO, os fundamentos foram os seguintes:
Direito à limitação do tratamento:
SIM ou NÃO
Se SIM, os fundamentos foram os seguintes:
Se NÃO, os fundamentos foram os seguintes:
Comunicação aos destinatários da retificação ou apagamento ou limitação do tratamento dos dados pessoais:
SIM ou NÃO
Se SIM, quais os destinatários:
Ferreira do Zêzere, ___ de ___ de 20___ O(A) Funcionário(a), (Assinatura conforme documento de identificação) Ferreira do Zêzere, ___ de ___ de 20___ O(A) Funcionário(a), (Assinatura conforme documento de identificação) ANEXO I-C Informação sobre o tratamento de dados e direitos dos titulares Responsável pelo tratamento dos dados:
Município de Ferreira do Zêzere, sita na Praça Dias Ferreira, 38, 2240-341 Ferreira do Zêzere, contactável através do website:
https:
//cm-ferreiradozezere.pt/ ou email:
geral@cm-ferreiradozezere.pt ou telefone:
+351 249 360 150 ou presencialmente no horário de atendimento.
Encarregado de proteção de dados:
Encarregado de Proteção de Dados do Município de Ferreira do Zêzere, sita Praça Dias Ferreira, 38, 2240-341 Ferreira do Zêzere, contactável através do email:
dpo@cm-ferreiradozezere.pt ou telefone:
+351 249 360 150 ou presencialmente na morada indicada.
Finalidade do tratamento:
A tramitação nos serviços municipais, por exigência legal, de procedimentos administrativos ou a celebração de contratos, seja oficiosamente ou a requerimento dos titulares dos dados. O exercício pelo titular dos dados ou pelo responsável pelo tratamento de direitos e ou obrigações previstas em legislação.
Licitude do tratamento:
Cumprimento pelo Município das suas obrigações legais, e das suas funções de interesse público e autoridade pública enquanto órgão da Administração Pública.
Dados pessoais e categorias:
Os dados pessoais dos titulares e legais representantes constantes deste requerimento, não envolvendo a recolha de dados de categorias especiais.
Destinatários dos dados pessoais:
Os serviços municipais.
Prazo de conservação dos dados pessoais:
o prazo necessário para a tramitação do procedimento, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados, conforme estabelecido no Regulamento para a Classificação e Avaliação da Informação Arquivística da Administração Local, aprovado pela Portaria 112/2023, de 27 de abril.
Direitos que pode exercer:
Confirmação de que os dados pessoais são objeto de tratamento, Direito de acesso aos dados pessoais, Direito de retificação, Direito à limitação do tratamento, Direito ao apagamento dos dados, Direito de oposição e Direito de apresentar reclamação à autoridade de controlo (CNPD).
Outras informações:
A comunicação dos dados pessoais neste procedimento é necessária para cumprir uma obrigação legal ou contratual, caso não forneça os dados o seu pedido ou pretensão não poderá ser tratado pelo Município de Ferreira do Zêzere. Não existem decisões automatizadas, nem a definição de perfis. Para além do cumprimento da obrigação legal de tratamento para arquivo, não haverá tratamento posterior dos dados pessoais para finalidade distinta das que presidiram à recolha. Qualquer violação de dados pessoais será levada a conhecimento do interessado no prazo legal.
Tomei conhecimento, Ferreira do Zêzere, ___ de ___ de 20___ Tomei conhecimento, Ferreira do Zêzere, ___ de ___ de 20___ O(A) Requerente, (Assinatura conforme documento de identificação verificada por conferência) Tomei conhecimento, Ferreira do Zêzere, ___ de ___ de 20___ Tomei conhecimento, Ferreira do Zêzere, ___ de ___ de 20___ O(A) Requerente, (Assinatura conforme documento de identificação verificada por conferência) ANEXO I-D Formulário de comunicação da violação de dados pessoais à autoridade de controlo (CNPD) O formulário de comunicação da violação de dados pessoais à autoridade de controlo é preenchido no website da Comissão Nacional de Proteção de Dados, através do link:
https:
//www.cnpd.pt/DataBreach/
Este formulário é submetido pelo encarregado de proteção de dados do Município de Ferreira do Zêzere, em representação da mesma.
Aquando do início do preenchimento do formulário, deve ser selecionada uma de duas opções, consoante a tipologia da pretensão:
-Notificar uma nova violação de dados pessoais
OUAlterar uma notificação anteriormente submetida Caso selecione uma nova violação de dados pessoais, deve o encarregado de proteção de dados preencher os campos presentes nos seguintes separadores:
-Dados da entidadeDados de contactoInformação sobre a violação de dadosConsequências da violação de dadosDados pessoais envolvidosTitulares dos dadosInformação aos titularesMedidas preventivas/corretivas-Tratamentos transfronteiriços
Caso selecione alterar uma notificação anteriormente submetida, deve o encarregado de proteção de dados indicar a referência da notificação anteriormente submetida (referência presente no documento que foi remetido por e-mail aquando da notificação). Depois deve alterar os campos que pretende nos respetivos separadores.
ANEXO I-E
Formulário de comunicação da violação de dados pessoais aos singulares Exmo.(a). Sr.(a) Nome:
Morada:
Enquanto titular ou representante do titular dos dados pessoais, comunicamos a verificação da seguinte violação da segurança:
(descrever em linguagem clara e simples a natureza da violação dos dados pessoais)
Que provocou a:
Destruição
Perda
Alteração
Divulgação
Acesso, não autorizados
Dos seus dados pessoais:
(descrever)
Que estavam na nossa posse por:
Recolha
Transmissão
Conservação
Outro tipo de tratamento:
(descrever o “outro tipo de tratamento”)
De modo:
Acidental ou ilícito
Que é suscetível de implicar um elevado risco para os seus direitos e liberdades. As consequências prováveis da violação de dados pessoais são:
(descrever)
As medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos são:
(descrever)
Poderá contactar o Encarregado de Proteção de Dados do Município de Ferreira do Zêzere a através do e-mail:
dpo@cm-ferreiradozezere.pt para obter mais informações.
Ferreira do Zêzere, ___ de ___ de 20___ O(A) Funcionário(a), (Assinatura conforme documento de identificação) Ferreira do Zêzere, ___ de ___ de 20___ O(A) Funcionário(a), (Assinatura conforme documento de identificação) ANEXO I-F Criação ou modificação de conta de utilizador
CRIAÇÃO |
Nome do utilizador: |
Serviço ao qual está afeto: |
Software a utilizar: |
Nível de permissão (discriminado por tipo de software): |
MODIFICAÇÃO |
Nome do utilizador: |
Serviço ao qual está afeto: |
Nível de permissão a modificar: |
Adicionar software a utilizar: |
Ferreira do Zêzere, ___ de ___ de 20___ O(A) Funcionário(a), (Assinatura conforme documento de identificação) Ferreira do Zêzere, ___ de ___ de 20___ O(A) Funcionário(a), (Assinatura conforme documento de identificação) ANEXO I-G Informação sobre o tratamento de dados pessoais e direitos dos titulares (comunicações eletrónicas e contactos através de website) Contactos eletrónicos com o Município:
Os contactos eletrónicos com o Município devem ser utilizados para a prestação ou solicitação de informações, incluindo dados pessoais, necessários para a prossecução pelo Município das suas atribuições legais, enquanto órgão da Administração Pública e para o cumprimento de obrigações legais, o que poderá envolver pedidos de informação ou de esclarecimentos, procedimentos e atos administrativos, a realização de diligências précontratuais ou celebração de contratos ou outros atos relacionados com a atividade administrativa. Os demais contactos não serão tratados e serão eliminados.
Titulares dos dados:
São as pessoas singulares cujos dados pessoais são tratados pelo Município, na prossecução das suas atribuições legais.
Responsável pelo tratamento dos dados:
Município de Ferreira do Zêzere, sita na Praça Dias Ferreira, 38, 2240-341 Ferreira do Zêzere, contactável através do website:
https:
//cm-ferreiradozezere.pt/ ou email:
geral@cm-ferreiradozezere.pt ou telefone:
+351 249 360 150 ou presencialmente no horário de atendimento.
Encarregado de proteção de dados:
Encarregado de Proteção de Dados do Município de Ferreira do Zêzere, sita Praça Dias Ferreira, 38, 2240-341 Ferreira do Zêzere, contactável através do email:
dpo@cm-ferreiradozezere.pt ou telefone:
+351 249 360 150 ou presencialmente na morada indicada.
Finalidades do tratamento:
A tramitação nos serviços municipais, por exigência legal, de procedimentos administrativos ou a celebração de contratos, seja oficiosamente ou a requerimentos dos titulares dos dados. O cumprimento pelo Município das suas atribuições ou obrigações legais e das suas funções de interesse público ou autoridade pública, enquanto órgão da Administração Pública. O exercício pelo titular dos dados ou pelo responsável pelo tratamento de direitos e ou obrigações previstas em legislação.
Licitude do tratamento:
O tratamento necessário para execução de contrato no qual o titular dos dados é parte ou diligências précontratuais a pedido do titular dos dados. O tratamento necessário para cumprimento de obrigações jurídicas a que o Município, enquanto responsável pelo tratamento se encontra sujeito. O tratamento necessário ao exercício de funções de interesse público e exercício de autoridade pública em que está investida no Município, enquanto responsável pelo tratamento e órgão da Administração Pública.
Licitude do tratamento de categorias especiais de dados pessoais:
o Município só trata dados de categorias especiais quando necessário para efeitos de cumprimento de obrigações e do exercício de direitos específicos, previstos na legislação, seja para o responsável pelo tratamento ou para o titular dos dados, em matéria de legislação laboral, de segurança social e de proteção social. Por motivos de interesse público importante previsto na legislação, que seja proporcional para o objetivo visado e respeite a essência do direito à proteção dos dados pessoais. Para efeitos de medicina preventiva ou do trabalho, para avaliação da capacidade de trabalho, diagnóstico médico, prestação de cuidados de saúde, ou ação social, gestão de sistemas e serviços de saúde ou de ação social com base na legislação e por força de contrato profissional de saúde sujeito a obrigação de sigilo profissional ou outra pessoa sujeita a obrigação de confidencialidade legalmente prevista.
Dados pessoais:
De acordo com o princípio da minimização dos dados, são tratados dados pessoais que sejam adequados, pertinentes, necessários e previstos na legislação aplicável a cada procedimento. Os dados pessoais recolhidos constam de requerimentos, contratos ou documentos anexos aos procedimentos administrativos.
Destinatários dos dados pessoais:
Os serviços municipais.
Transmissão dos dados pessoais:
Quando prevista em disposição legal e/ou para cumprimento de direitos ou obrigações legalmente previstas e/ou se absolutamente necessária à prossecução do interesse público ou exercício da autoridade pública.
Prazo de conservação dos dados pessoais:
o prazo necessário para a tramitação do procedimento, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados, conforme estabelecido no Regulamento para a Classificação e Avaliação da Informação Arquivística da Administração Local, aprovado pela Portaria 112/2023, de 27 de abril.
Direitos dos titulares dos dados:
Confirmação de que os dados pessoais são objeto de tratamento, Direito de acesso aos dados pessoais, Direito de Retificação, Direito à limitação do tratamento e Direito de apresentar reclamação à autoridade de controlo (CNPD).
Outras informações:
A comunicação dos dados pessoais neste procedimento é necessária para cumprir uma obrigação legal ou contratual. Caso não forneça os dados o seu pedido ou pretensão não poderá ser tratado pelo Município. Não existem decisões automatizadas, nem a definição de perfis. Para além do cumprimento da obrigação legal de tratamento para arquivo, não haverá tratamento posterior dos dados pessoais para finalidades distintas das que presidiram à recolha. Qualquer violação de dados pessoais será levada a conhecimento do titular no prazo legal.
Tomei conhecimento, Ferreira do Zêzere, ___ de ___ de 20___ Tomei conhecimento, Ferreira do Zêzere, ___ de ___ de 20___ O(A) Titular, (Assinatura conforme documento de identificação verificada por conferência) Tomei conhecimento, Ferreira do Zêzere, ___ de ___ de 20___ Tomei conhecimento, Ferreira do Zêzere, ___ de ___ de 20___ O(A) Titular, (Assinatura conforme documento de identificação verificada por conferência) ANEXO I-H Informação sobre o tratamento e direitos dos titulares dos dados pessoais na videovigilância Titulares dos dados:
São as pessoas singulares cujos dados pessoais são tratados pelo Município, no caso da videovigilância todas as pessoas singulares cujas imagens sejam captadas.
Responsável pelo tratamento dos dados:
Município de Ferreira do Zêzere, sita na Praça Dias Ferreira, 38, 2240-341 Ferreira do Zêzere, contactável através do website:
https:
//cm-ferreiradozezere.pt/ ou email:
geral@cm-ferreiradozezere.pt ou telefone:
+351 249 360 150 ou presencialmente no horário de atendimento.
Encarregado de proteção de dados:
Encarregado de Proteção de Dados do Município de Ferreira do Zêzere, sita Praça Dias Ferreira, 38, 2240-341 Ferreira do Zêzere, contactável através do email:
dpo@cm-ferreiradozezere.pt ou telefone:
+351 249 360 150 ou presencialmente na morada indicada.
Finalidades do tratamento:
O cumprimento pelo Município das suas atribuições legais em matéria de proteção de pessoas e bens.
Licitude do tratamento:
O tratamento necessário para exercício de funções de interesse público do Município e proteção de interesses legítimos do responsável pelo tratamento e de terceiros.
Dados pessoais:
São as imagens de pessoas singulares captadas pelos sistemas de videovigilância.
Transmissão de dados pessoais:
Ocorre apenas nos termos da lei processual penal caso se verifique a prática de ilícitos criminais.
Prazo de conservação dos dados pessoais:
Prazo de 30 dias ou mais tempo caso se verifique a prática de ilícitos criminais.
Direitos dos titulares dos dados:
Direito de acesso às imagens que lhe digam respeito, podendo exercer esse direito presencialmente junto do Município e Direito de apresentar reclamação à autoridade de controlo (CNPD).
Orientações do Encarregado de Proteção de Dados:
No que respeita ao tratamento e direitos dos titulares dos dados pessoais na videovigilância o Encarregado de Proteção de Dados do Município de Ferreira do Zêzere desenvolverá norma interna com a orientação para instalação e utilização de sistemas de videovigilância.
Tomei conhecimento, Ferreira do Zêzere, ___ de ___ de 20___ Tomei conhecimento, Ferreira do Zêzere, ___ de ___ de 20___ O(A) Titular, (Assinatura conforme documento de identificação verificada por conferência) Tomei conhecimento, Ferreira do Zêzere, ___ de ___ de 20___ Tomei conhecimento, Ferreira do Zêzere, ___ de ___ de 20___ O(A) Titular, (Assinatura conforme documento de identificação verificada por conferência) ANEXO II Minutas e cláusulas ANEXO II-A Cláusula genérica Responsável pelo tratamento dos dados:
Município de Ferreira do Zêzere, sita na Praça Dias Ferreira, 38, 2240-341 Ferreira do Zêzere, contactável através do website:
https:
//cm-ferreiradozezere.pt/ ou email:
geral@cm-ferreiradozezere.pt ou telefone:
+351 249 360 150 ou presencialmente no horário de atendimento.
Encarregado de proteção de dados:
Encarregado de Proteção de Dados do Município de Ferreira do Zêzere, sita Praça Dias Ferreira, 38, 2240-341 Ferreira do Zêzere, contactável através do email:
dpo@cm-ferreiradozezere.pt ou telefone:
+351 249 360 150 ou presencialmente na morada indicada.
Finalidades do tratamento:
A tramitação nos serviços municipais, por exigência legal, de procedimentos administrativos ou a celebração de contratos, seja oficiosamente ou a requerimentos dos titulares dos dados. O cumprimento pelo Município das suas atribuições ou obrigações legais e das suas funções de interesse público ou autoridade pública, enquanto órgão da Administração Pública. O exercício pelo titular dos dados ou pelo responsável pelo tratamento de direitos e ou obrigações previstas em legislação.
Licitude do tratamento:
Cumprimento pelo Município das suas obrigações legais, e das suas funções de interesse público e autoridade pública enquanto órgão da Administração Pública.
Dados pessoais e categorias:
Os dados pessoais dos titulares e legais representantes constantes deste requerimento, não envolvendo a recolha de dados de categorias especiais.
Destinatários dos dados pessoais:
Os serviços municipais.
Prazo de conservação dos dados pessoais:
o prazo necessário para a tramitação do procedimento, acrescido do prazo legal de arquivo dos documentos onde os dados estão registados, conforme estabelecido no Regulamento para a Classificação e Avaliação da Informação Arquivística da Administração Local, aprovado pela Portaria 112/2023, de 27 de abril.
Direitos dos titulares dos dados:
Confirmação de que os dados pessoais são objeto de tratamento, Direito de acesso aos dados pessoais, Direito de Retificação, Direito à limitação do tratamento e Direito de apresentar reclamação à autoridade de controlo (CNPD).
Outras informações:
A comunicação dos dados pessoais neste procedimento é necessária para cumprir uma obrigação legal ou contratual. Caso não forneça os dados o seu pedido ou pretensão não poderá ser tratado pelo Município. Não existem decisões automatizadas, nem a definição de perfis. Para além do cumprimento da obrigação legal de tratamento para arquivo, não haverá tratamento posterior dos dados pessoais para finalidades distintas das que presidiram à recolha. Qualquer violação de dados pessoais será levada a conhecimento do titular no prazo legal.
ANEXO II-B
Cláusula recursos humanos (Exemplificativas) 1-O Primeiro Outorgante, na qualidade de responsável pelo tratamento, assegura o cumprimento das obrigações decorrentes do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016-Regulamento Geral de Proteção de Dados (RGPD), e demais legislação aplicável no que à proteção de dados pessoais concerne.
2-Através da presente Cláusula, o Segundo Outorgante toma conhecimento sobre o tratamento dos dados pessoais efetuado pelo Primeiro Outorgante, por meios automatizados ou manuais, podendo incluir as seguintes operações:
a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou a alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, a comparação, a interconexão, a limitação, o apagamento ou a destruição.
3-No contexto laboral, o Primeiro Contraente procede aos seguintes tratamentos de dados pessoais:
a) Gestão de candidaturas espontâneas, processos de seleção e recrutamento, procedimentos concursais, com vista à celebração de contratos de trabalho ou de prestação de serviços;
b) Celebração de contratos de trabalho ou contratos de prestação de serviços e gestão de relações individuais de trabalho, designadamente, registo biográfico de trabalhadores, processamento de pedidos do trabalhador, processamento de remunerações, desenvolvimento da carreira profissional e avaliação de desempenho, gestão de deslocações em serviço, atribuição e uso de equipamentos telefónicos e informáticos de serviço;
c) Gestão da execução dos contratos de trabalho celebrados, designadamente para fins de cumprimento de obrigações de natureza administrativa, judicial previdencial e fiscal, formação profissional, medicina preventiva ou trabalho e avaliação da capacidade do trabalho em cumprimento das disposições de higiene, segurança e saúde no trabalho, gestão de acidentes de trabalho e doenças profissionais, bem como a celebração e gestão de apólices de seguro obrigatórias e gestão de processos disciplinares;
d) Controlo de assiduidade e de acesso a instalações, incluindo com recurso a dados biométricos;
e) Desenvolvimento de relações mais humanas com os trabalhadores, em determinadas situações pessoais do trabalhador (nascimento de filhos ou adoção, casamento, aniversários, óbito de familiares, entre outras);
f) Proteção de pessoas e bens nas instalações do Primeiro Outorgante, através de câmaras de videovigilância.
4-O Primeiro Outorgante recolhe e trata os dados pessoais do Segundo Outorgante estritamente necessários para a execução do contrato de trabalho celebrado com o Segundo Outorgante, ou para diligências précontratuais a pedido do Segundo Outorgante, e para o cumprimento de obrigações legais a que o Primeiro Outorgante se encontre sujeito, designadamente:
a) Gestão administrativa;
b) Cálculo e pagamento das retribuições, prestações, abonos e subsídios;
c) Cálculo e reembolso de despesas de saúde sujeitas a comparticipação;
d) Cálculo e retenção na fonte relativos a descontos na remuneração, obrigatórios ou facultativos, decorrentes de disposição legal, convencional ou contratual;
e) Execução de decisão ou sentença judicial, bem como tratamento de pedidos formulados pelos trabalhadores;
f) Tratamento dos outros assuntos relativos a retribuições, prestações, abonos ou subsídios;
g) Tratamento dos assuntos referentes às relações individuais e coletivas dos trabalhadores, no âmbito da atividade sindical;
h) Processamento de certificados de formação profissional pela entidade empregadora e/ou por entidades formadoras externas;
i) Emissão de bilhetes de viagem, vistos e/ou outros documentos decorrentes da necessidade de viagens por parte do trabalhador;
j) Registos e controlo de assiduidade e/ou de acessos;
k) Cumprimento de obrigações legais, no âmbito da segurança e saúde no trabalho;
l) Tratamento no âmbito da videovigilância, de acordo com a legislação em vigor;
m) Controlo de assiduidade e/ou de acessos através de registo biométrico, se aplicável;
n) Controlo de gestão de sanções disciplinares;
o) Transmissão de dados pessoais dos trabalhadores a terceiros, nos termos legais ou a pedido do Segundo Outorgante.
5-O tratamento de categorias especiais do Segundo Outorgante, se necessário, será efetuado no estrito cumprimento da lei, designadamente, para as seguintes finalidades:
a) Cumprimento de obrigações e do exercício de direitos específicos do Primeiro Outorgante em matéria de legislação laboral, de segurança social e de proteção social;
b) Medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde, por ou sob a responsabilidade de profissional sujeito à obrigação de sigilo;
c) Por motivos de interesse público no domínio da saúde pública;
d) Interesse legítimo.
6-Para as finalidades acima referidas, o Primeiro Outorgante poderá recolher e tratar os dados pessoais, bem como os originais e cópias dos respetivos documentos (quando legalmente admissível e aplicável) em que se incluem nas seguintes categorias.
a) Dados de identificação e contacto (ex. nome, n.º de identificação civil, n.º de contribuinte fiscal, n.º de utente, n.º de beneficiário da Segurança Social, n.º beneficiário de seguro ou subsistema de saúde, imagem, morada, endereço eletrónico, contacto telefónico);
b) Dados relativos à situação familiar (ex. estado civil, identificação do cônjuge, descendentes ou pessoas a cargo, informações relacionadas com complementos de retribuição);
c) Dados sobre a atividade profissional (ex. horário e local de trabalho, número mecanográfico, categoria profissional, nível salarial, data de admissão, habilitações académicas);
d) Dados relativos à retribuição (retribuição base, prestações certas ou variáveis, subsídios, férias, assiduidade e absentismo, licenças, outros elementos necessários para a atribuição de complementos de retribuição, montante ou taxa aplicável aos descontos);
e) Categorias especiais de dados (ex. opiniões políticas, filiação sindical, dados genéticos, dados biométricos, dados sobre a saúde);
f) Outros dados necessários para cumprimento do previsto no número anterior;
7-No que concerne à conservação dos dados, para:
a) Gestão administrativa de trabalhadorescertificados de formação, os dados serão conservados pelo período legal exigível e, mesmo após a cessação de trabalho, estes serão conservados para e em cumprimento das demais obrigações contabilísticas e fiscais;
b) Retribuições, prestações e regalias dos trabalhadoresdados serão conservados pelo período máximo previsto na lei;
c) Pensões, previdência ou do pagamento em prestações complementares posteriores, devidas em momento posterior à cessação da relação de trabalho, bem como os dados estritamente necessários à prova da qualidade de trabalhador, tempo de serviço e evolução da remuneraçãodados serão conservados consoante os prazos legais existentes.
8-Os dados pessoais dos colaboradores podem ser transmitidos aos seguintes destinatários:
a) Às entidades a quem os dados devem, por força das disposições legais, ser comunicados ou ainda por pedido do próprio titular dos dados;
b) Às instituições financeiras que gerem as contas do Primeiro Outorgante ande, destinadas ao pagamento da retribuição dos colaboradores;
c) Às entidades gestoras de Fundos de Pensões ou do Regime de Previdência;
d) Às companhias de seguros com quem é celebrado o contrato de seguro de acidentes de trabalho e/ou de acidentes pessoais e outros (quando aplicável);
e) Às entidades formadoras para a emissão de certificados de formação e organização de dossier pedagógico;
f) Às entidades auditoras (internas e externas) no âmbito dos processos de certificação e inspeções;
g) Às entidades consultoras externas, no âmbito da sua prestação de serviços de consultadoria;
h) Às entidades externas que, no âmbito da medicina e segurança no trabalho, asseguram o cumprimento dessas obrigações;
9-Os dados pessoais recolhidos são os estritamente necessários para as finalidades referidas, sendo assegurado ao Segundo Outorgante o direito de:
a) Aceder, retificar, apagar e limitar, nas condições legais, dos dados pessoais fornecidos;
b) Conhecer da existência de qualquer violação de dados, nos termos do previsto no art. 34.º RGPD;
c) A esclarecer quaisquer dúvidas, no que à proteção de dados pessoais diz respeito, perante o encarregado de proteção de dados (EPD), através do e-mail dpo@cm-ferreiradozezere.pt;
d) A reclamar à autoridade de controlo (CNPD-Comissão Nacional de Proteção de Dados).
10-O Segundo Outorgante reconhece o seu dever de sigilo profissional e de confidencialidade, obrigando-se a adotar, no desempenho das suas funções, os procedimentos implementados pelo Primeiro Outorgante, por forma a garantir a proteção de dados pessoais, obrigando-se a não divulgar dados pessoais tratados, exceto em cumprimento das devidas obrigações legais.
319953581
