Municípios e freguesias atrasados na proteção de dados

23 mai 2022 07:18

Este artigo tem mais de um ano

A maioria dos municípios e a grande maioria das freguesias ainda não têm um Encarregado de Proteção de Dados, obrigatório desde a entrada em vigor do regulamento de proteção de dados, há quatro anos. Municípios consideram que o novo regulamento é complexo e representa dificuldades de aplicação nas autarquias, sobretudo nas mais pequenas.

Apenas 170 dos 308 municípios e 38 das quase 2.000 freguesias abrangidas comunicaram à autoridade responsável ter um Encarregado de Proteção de Dados, obrigatório desde a entrada em vigor do regulamento de proteção de dados, há quatro anos.

O Regulamento Geral sobre a Proteção de Dados (RGPD), aplicado em Portugal e na União Europeia desde 25 de maio de 2018, estabelece regras sobre privacidade e a proteção dos dados pessoais que as instituições públicas e privadas da União Europeia guardam dos cidadãos e prevê a figura do Encarregado de Proteção de Dados (EPD), uma espécie de ‘provedor’ dos direitos e obrigações dos titulares desses dados.

Segundo a Comissão Nacional de Proteção de Dados (CNPD), até 20 de maio tinham sido comunicados a esta entidade, tal como prevê a lei, a existência de 220 EPD relacionados com autarquias.

Destes, 170 foram designados por municípios e 12 por Comunidades Intermunicipais (que não são autarquias, mas associações de municípios).

As freguesias são as autarquias mais atrasadas neste processo, já que, segundo a CNPD, apenas 38 freguesias tinham comunicado até essa data terem um EPD.

A lei prevê que tenha de existir pelo menos um Encarregado de Proteção de Dados “por cada município, sendo designado pela câmara municipal”, e também “nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes”. Das 3.091 juntas de freguesia do país, estimam-se em 1.977 as que têm mais de 750 habitantes.

A comissão sublinhou, no entanto, que “poderá dar-se o caso de haver EPD designados e que não foram notificados à CNPD” até à passada sexta-feira.

A importância de um EPD nas autarquias, nomeadamente nas câmaras municipais, ficou mais conhecida da opinião pública portuguesa em junho de 2021, através da polémica divulgação de dados pessoais de ativistas dissidentes russos à embaixada da Rússia, que na altura argumentaram que desta forma foi posta em causa a respetiva segurança e de familiares, pela Câmara de Lisboa, que não tinha então designado ainda um EPD.

A função deste encarregado, que deve ter formação em direito, é como um “provedor” dos titulares dos dados: Informa e aconselha o organismo público ou privado responsável sobre o tratamento a dar aos dados pessoais que tem guardados e as obrigações que tem na proteção desses dados.

Para controlar a conformidade dos procedimentos do organismo, nomeadamente das autarquias, com o RGPD, o EPD é “totalmente independente” no exercício da sua função, está obrigado a guardar sigilo e confidencialidade e tanto pode ser um funcionário ou alguém externo ao organismo de que é protetor de dados.

No entanto, o regulamento admite que “pode ser designado o mesmo encarregado de proteção de dados” para várias autarquias locais ou outra instituição, desde que não haja incompatibilidades entre os vários organismos onde exerça funções, já que o encarregado não está obrigado ao regime de exclusividade.

Municípios consideram lei da proteção de dados complexa e de difícil aplicação

Municípios contactados pela Lusa consideram que o novo regulamento de proteção de dados é complexo e representa dificuldades de aplicação nas autarquias, sobretudo nas mais pequenas.

Em declarações à Lusa, Carlos Pinto de Sá, presidente da Câmara de Évora (CDU), onde o RGPD ainda se encontra “em fase de implementação”, considerou que a legislação “não olhou para a realidade” dos municípios e que, por isso, “apresenta dificuldades muito significativas de aplicação”.

Até agora, este município já tomou um conjunto de medidas, como o facto de os dirigentes terem de “garantir a proteção de dados ao nível do seu serviço”, indicou o autarca, manifestando-se convencido que a lei, no futuro, “vai ter que ter algumas alterações para ser eficaz”.

“Há um conjunto de questões que a legislação coloca que os municípios pequenos têm muita dificuldade em responder”, argumentou, aludindo à nomeação de um Encarregado da Proteção de Dados (EPD) na autarquia, como obriga a lei.

No caso da Câmara de Évora, ainda não foi nomeado um EPD, mas Pinto de Sá adiantou que está a ser discutida na Comunidade Intermunicipal do Alentejo Central a possibilidade de existir “uma figura comum a vários municípios”.

Consciente dos “desafios” que a alteração do quadro normativo da proteção de dados colocava, a Câmara do Porto constituiu, em 2017, um grupo de trabalho para dar cumprimento ao regulamento, tendo em 2018 criado um Departamento Municipal de Proteção de Dados, cujo principal propósito é “alertar e aconselhar” para o cumprimento das normas.

Também nesse ano, o presidente da Câmara do Porto, o independente Rui Moreira, designou uma Encarregada da Proteção de Dados.

A densidade e complexidade do regulamento e a necessidade reforçada de formação dos colaboradores são desafios apontados pelo Porto, e também pela Câmara de Coimbra (coligação liderada pelo PSD), onde o regulamento tem sido aplicado desde a sua criação, nomeadamente com a nomeação de um EPD em 2018.

A Câmara de Coimbra refere que a aplicação do regulamento “exige um esforço adicional e significativo”, nomeadamente no que toca à aplicação do regulamento relacionado com a desmaterialização de processos nos serviços camarários, que têm levado à “alteração de procedimentos e de fluxos de circulação de informação”.

A Câmara de Vila Real (PS), que nomeou o seu EPD em março de 2021, assegurou que o software de gestão utilizado por este município “está preparado para responder às exigências do RGPD”, estando “ativos os requisitos mínimos para cumprimento do previsto na Lei da Proteção dos Dados Pessoais”.

No entanto, esta autarquia referiu que ainda não foram elaborados os documentos do RGPD e da cibersegurança do município, “pelo facto de a responsabilidade da sua preparação ser da Comunidade Intermunicipal do Douro (CIM Douro), para permitir a sua configuração no sistema de gestão”.

Fonte da Câmara de Viseu (PSD) disse à Lusa que se encontra “em fase avançada o procedimento que permite a introdução no município deste regulamento”.

“Vai ser feita uma contratação exterior para colocar o regulamento em marcha. A figura do Encarregado da Proteção de Dados também será contratada nesse procedimento”, acrescentou a mesma fonte, sem apontar uma data.

No Funchal (PSD), a principal câmara municipal da Região Autónoma da Madeira (RAM), o RGPD foi implementado em 2020, incluindo a designação de um EPD, e “tem decorrido dentro da normalidade”, informou a autarquia.

O município funchalense considera que, apesar de alguns problemas relacionados com a formação e sensibilização para esta temática, “até à data, tem sido possível responder a todas as situações no âmbito do RGPD”.

No Funchal, no Porto e em Coimbra já houve queixas de cidadãos sobre o tratamento dos respetivos dados, em pouco número e "sem provimento", pelo que não foram aplicadas sanções, afirmaram as autarquias.

Segundo o regulamento, os cidadãos têm de dar consentimento explícito para os seus dados pessoais serem usados – e para que fim – e podem pedir para sejam apagados a qualquer momento.

A lei estabelece que a Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD e que o incumprimento destas regras pode levar a sanções que podem ir, nos casos mais graves, até 20 milhões de euros e, nos casos menos graves de violação dos dados pessoais, até 10 milhões de euros.

O município de Lisboa designou o seu EPD após, em junho de 2021, ter ocorrido uma polémica acerca da divulgação, por esta Câmara, à embaixada da Rússia na capital portuguesa, de dados pessoais de ativistas dissidentes russos, que na altura argumentaram que desta forma foi posta em causa a respetiva segurança e de familiares.

Neste caso, a CNPD multou a Câmara de Lisboa em 1,2 milhões de euros por incumprimento do RGPD.

Em Setúbal, o presidente da Câmara, André Martins (CDU), nomeou um encarregado da proteção de dados no passado dia 03 de maio, na sequência da polémica em torno do acolhimento de refugiados ucranianos no município sadino por cidadãos russos, alegadamente com ligações ao Kremlin.

A CNPD abriu um inquérito à Câmara de Setúbal para perceber se houve ilegalidades no tratamento dos dados de refugiados ucranianos acolhidos, além de estarem em curso investigações da responsabilidade da Inspeção-Geral das Finanças e do Ministério Público.

O RGDP começou a ser aplicado em Portugal e restantes Estados-membros em 25 de maio de 2018, introduzindo sanções pelo seu incumprimento que podem ir, nos casos mais graves, até 20 milhões de euros ou 4% do volume de negócios anual a nível mundial.

Nos casos menos graves de violação dos dados pessoais, as coimas podem ir até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial.

Segundo o regulamento, os cidadãos têm de dar consentimento explícito para os seus dados pessoais serem usados – e para que fim – e podem pedir para sejam apagados a qualquer momento.

A lei estabelece que a Comissão Nacional de Proteção de Dados é a autoridade de controlo nacional para efeitos do RGPD.