Municípios consideram lei da protecção de dados complexa e de difícil aplicação
Regulamento Geral sobre a Protecção de Dados (RGPD), que entrou em vigor em 2018, prevê Encarregado de Protecção de Dados.
Municípios contactados pela Lusa consideram que o novo regulamento de protecção de dados é complexo. Há dificuldades de aplicação nas autarquias, sobretudo nas mais pequenas, quatro anos depois da sua entrada em funcionamento.
O Regulamento Geral sobre a Protecção de Dados (RGPD), aplicado em Portugal e na União Europeia desde 25 de Maio de 2018, estabelece regras sobre privacidade e a protecção dos dados pessoais que as instituições públicas, incluindo autarquias, e privadas da União Europeia guardam dos cidadãos. E prevê que tenham um Encarregado de Protecção de Dados (EPD), uma espécie de “provedor” dos titulares dos dados.
Em declarações à Lusa, Carlos Pinto de Sá, presidente da Câmara de Évora (CDU), onde o RGPD ainda se encontra “em fase de implementação”, considerou que a legislação “não olhou para a realidade” dos municípios e que, por isso, “apresenta dificuldades muito significativas de aplicação”. Até agora, este município tomou um conjunto de medidas, como o facto de os dirigentes terem de “garantir a protecção de dados ao nível do seu serviço.”
No entender daquele autarca, “vai ter que ter algumas alterações para ser eficaz”.“Há um conjunto de questões que a legislação coloca que os municípios pequenos têm muita dificuldade em responder”, argumentou, aludindo à nomeação de um EPD. Évora ainda não nomeou um EPD, mas Pinto de Sá adiantou que está a ser discutida na Comunidade Intermunicipal do Alentejo Central a possibilidade de existir “uma figura comum a vários municípios”.
Consciente dos “desafios” que a alteração colocava, a Câmara do Porto constituiu, em 2017, um grupo de trabalho para dar cumprimento ao regulamento, tendo em 2018 criado um Departamento Municipal de Protecção de Dados, cujo principal propósito é “alertar e aconselhar” para o cumprimento das normas. Também nesse ano, o presidente da Câmara do Porto, o independente Rui Moreira, designou uma Encarregada da Protecção de Dados.
A densidade e complexidade do regulamento e a necessidade reforçada de formação dos colaboradores são desafios apontados pelo Porto. E pela Câmara de Coimbra (coligação liderada pelo PSD), onde o regulamento tem sido aplicado desde a sua criação, incluindo um EPD desde 2018.
A Câmara de Coimbra admite que a aplicação do regulamento “exige um esforço adicional e significativo”. Exemplo disso é a desmaterialização de processos nos serviços camarários, que têm levado à “alteração de procedimentos e de fluxos de circulação de informação”.
A Câmara de Vila Real (PS), que nomeou o seu EPD em Março de 2021, assegurou que o software de gestão utilizado por este município “está preparado para responder às exigências do RGPD”, estando “activos os requisitos mínimos para cumprimento do previsto na lei”. No entanto, referiu que ainda não foram elaborados os documentos do RGPD e da cibersegurança do município, “pelo facto de a responsabilidade da sua preparação ser da Comunidade Intermunicipal do Douro, para permitir a sua configuração no sistema de gestão”.
Fonte da Câmara de Viseu (PSD) disse à Lusa que se encontra “em fase avançada o procedimento que permite a introdução no município deste regulamento”. “Vai ser feita uma contratação exterior para colocar o regulamento em marcha. A figura do Encarregado da Protecção de Dados também será contratada nesse procedimento”, acrescentou a mesma fonte, sem apontar uma data.
No Funchal (PSD), a principal câmara municipal da Região Autónoma da Madeira, o RGPD foi implementado em 2020, incluindo a designação de um EPD, e “tem decorrido dentro da normalidade”, informou a autarquia. O executivo considera que, apesar de alguns problemas relacionados com a formação e sensibilização para esta temática, “até à data, tem sido possível responder a todas as situações no âmbito do RGPD”.
No Funchal, no Porto e em Coimbra já houve queixas de cidadãos sobre o tratamento dos respectivos dados. Em pouco número e “sem provimento”, pelo que não foram aplicadas sanções, afirmaram as autarquias.
Segundo o regulamento, os cidadãos têm de dar consentimento explícito para os seus dados pessoais serem usados -- e para que fim -- e podem pedir para sejam apagados a qualquer momento. A lei estabelece que a Comissão Nacional de Protecção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD e que o incumprimento destas regras pode levar a sanções que podem ir, nos casos mais graves, até 20 milhões de euros e, nos casos menos graves de violação dos dados pessoais, até 10 milhões de euros.
O município de Lisboa designou o seu EPD após, em Junho de 2021, ter ocorrido uma polémica acerca da divulgação, por esta câmara, à embaixada da Rússia, de dados pessoais de activistas dissidentes russos, que na altura argumentaram que desta forma foi posta em causa a respectiva segurança e de familiares. Neste caso, a CNPD multou a Câmara de Lisboa em 1,2 milhões de euros por incumprimento do RGPD.
Em Setúbal, o presidente da Câmara, André Martins (CDU), nomeou um encarregado da protecção de dados no passado dia 3 de Maio, na sequência da polémica em torno do acolhimento de refugiados ucranianos no município sadino por cidadãos russos, alegadamente com ligações ao Kremlin. A CNPD abriu um inquérito à Câmara de Setúbal para perceber se houve ilegalidades no tratamento dos dados de refugiados ucranianos acolhidos, além de estarem em curso investigações da responsabilidade da Inspecção-Geral das Finanças e do Ministério Público.