in ,

Chefe da divisão do desporto nomeado encarregado da proteção de dados na câmara

camara IMG 20210301 102358

A câmara de Tomar está entre as 57% de autarquias que até agora não estão a cumprir o Regulamento Geral de Proteção de Dados, legislação que obriga à nomeação de um encarregado de proteção de dados, figura que não existe na autarquia.

Esta obrigação municipal entrou em vigor em 2018, mas no caso da câmara de Tomar só na próxima reunião do executivo, dia 5, é que vai ser aprovada a nomeação do encarregado da proteção de dados.

Quando era expectável que fosse nomeado alguém da área de informática, a proposta é que seja nomeado para o cargo, André Pedro Silva, chefe de divisão de associativismo, desporto e juventude.

Compete a esse encarregado garantir que as leis no âmbito da proteção de dados são cumpridas. A sua nomeação tem de ser comunicada à Comissão Nacional de Proteção de Dados.

Em anos anteriores, houve fortes suspeitas de que elementos do gabinete da presidência da câmara usavam dados pessoais dos cidadãos para fins partidários e eleitorais.

Escrita por Redação

Blog informativo Tomar na Rede. Notícias sobre Tomar e região envolvente. Informação local e regional.

Comentários

Responder
  1. Será que esse senhor cumpre os requisitos para ocupar o lugar dessa intrigante figura? Ou será mais uma trapalhada jurídica do reino de Dona Anabela?

    Acompanhemos um texto de Jane Kirby, advogada especializada em Proteção de Dados na União Europeia:

    Da passagem do DPO como exceção até ao DPO como regra. Desde a publicação do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, um dos temas mais falados em fóruns sobre o novo regime e que suscita mais curiosidade tem sido o «encarregado de proteção de dados» ou «DPO» (data protecion officer).

    É certo que esta figura já existia em vários países, mesmo antes do RGPD, como na Alemanha, no entanto apenas agora se torna legalmente obrigatório, verificadas as condições do artigo 37.º/1 do RGPD, a saber:

    – o tratamento for efetuado por autoridade ou organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
    – as atividades principais do responsável ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala;
    – ou, as atividades principais do responsável ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados e de dados pessoais relacionados com condenações penais e infrações.

    Do conceito de “grande escala”

    Uma das dificuldades que o artigo 37.º/1 oferece é a definição de “grande escala”, que o Grupo de Trabalho do Artigo 29.º (Grupo de Trabalho para a Proteção dos Dados, criado pelo Artigo 29.º da Diretiva 95/46/EC do Parlamento Europeu e do Conselho), veio, entretanto, ajudar a interpretar (v. Guidelines on Data Protection Officers (´DPOs´), pág. 9).

    Assim:

    “(…) o GT 29 recomenda que, em especial, os seguintes fatores sejam tomados em consideração para determinar se o tratamento é efetuado em grande escala:

    – O número de titulares de dados afetados – como número concreto ou em percentagem da população em causa;
    – O volume de dados e/ou o alcance dos diferentes elementos de dados objeto de tratamento
    – A duração, ou permanência, da atividade de tratamento de dados
    – O âmbito geográfico da atividade de tratamento”
    – Paralelamente, o considerando 91 do RGPD fornece também algumas linhas de orientação, ao avançar que estão incluídas “operações de tratamento de grande escala que visem o tratamento de uma grande quantidade de dados pessoais a nível regional, nacional ou supranacional, possam afetar um número considerável de titulares de dados e sejam suscetíveis de implicar um elevado risco”. Dando como exemplo específico que o “tratamento de dados pessoais não deverá ser considerado de grande escala se disser respeito aos dados pessoais de pacientes ou clientes de um determinado médico, profissional de cuidados de saúde, hospital ou advogado”.

    Da designação do DPO como boa prática

    Apesar de o RGPD apenas obrigar à designação de um encarregado de proteção de dados quando preenchidos os requisitos mencionados, sendo por isso facultativa fora desses casos, o Grupo de Trabalho do Artigo 29.º (v. Guidelines on Data Protection Officers (´DPOs´), pág. 6), recomenda que, não sendo evidente que uma organização não é obrigada a designar um DPO, este deva ser nomeado. Em qualquer caso, a designação de um DPO será sempre entendida como uma boa prática em matéria de proteção de dados.

    Caso o responsável pelo tratamento opte, ainda que não esteja obrigado a tal, por designar um DPO, fica a partir de então obrigado ao cumprimento de todas as obrigações subjacentes como se a designação fosse obrigatória, nomeadamente a de disponibilizar ao encarregado de proteção de dados todos os meios para o desempenho das suas funções, como seja o acesso às plataformas e bases de dados existentes.

    Dos recursos que devem ser concedidos ao DPO

    O RGPD não define os recursos que o responsável pelo tratamento ou o subcontratante deve conceder ao DPO. Porém o Grupo de Trabalho do Artigo 29.º (v. Guidelines on Data Protection Officers (´DPOs´), pág. 27) vem recomendar que:

    “Em função da natureza das operações de tratamento e das atividades e dimensão da organização, devem ser concedidos os seguintes recursos ao EPD:

    – apoio ativo às funções do EPD por parte dos quadros de gestão superiores;
    – tempo suficiente para que os EPD desempenhem as suas tarefas;
    – apoio adequado em termos de recursos financeiros, infraestruturas (locais, instalações, equipamento) e pessoal, sempre que necessário;
    – comunicação oficial da nomeação do EPD a todo o pessoal;
    – acesso a outros serviços no seio da organização, para que os EPD possam receber apoio, contributos ou informações essenciais por parte destes outros serviços;
    – formação contínua.”

    Das funções do DPO – artigo 39.º/1 do RGPD

    A partir do momento em que é designado, o DPO torna-se a figura central da organização relativamente ao tratamento de dados pessoais, assumindo as tarefas de (i) informar e aconselhar todos os atores a respeito das respetivas obrigações ao abrigo da legislação aplicável, (ii) controlar a conformidade com o regulamento ou outras disposições de proteção de dados comunitárias ou nacionais, bem como com a política de privacidade da organização, (iii) prestar aconselhamento na matéria e (iv) controlar a realização no que respeita à avaliação de impacto sobre a proteção de dados, cooperar com a autoridade de controlo. Passa igualmente a ser o ponto de contacto, não só para a autoridade de controlo, sobre questões relacionadas com o tratamento, mas também para os próprios titulares dos dados, em particular para efeitos do exercício dos seus direitos, devendo os respetivos contatos ser divulgados publicamente e comunicados à autoridade de controlo.

    Do perfil profissional do DPO

    Outra das questões neste tema, que mais tinta faz correr, é o perfil profissional do encarregado de proteção de dados.

    O que diz o RGPD no seu artigo 37.º/5 é que “O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.º”. Fica a dúvida, muito debatida, sobre se deve ser alguém mais ligado ao direito ou às tecnologias de informação ou que agregue as duas áreas de conhecimento.

    À primeira vista parece que o perfil do DPO deve moldar-se em função de critérios respeitantes ao responsável pelo tratamento, aos titulares dos dados e ao tipo de dados que são tratados. Isto é, se se tratar de uma estrutura empresarial de grande dimensão será aconselhável um DPO apoiado por uma equipa multidisciplinar. Caso estejam em causa dados médicos de pacientes, deverá ser designado alguém com experiência e/ou formação específica no setor da saúde. O nível de competências e de apoio será tanto mais elevado quanto a complexidade da atividade de tratamento de dados ou a porção de dados sensíveis.

    Também neste quadro, o Grupo de Trabalho do Artigo 29.º (v. Guidelines on Data Protection Officers (´DPOs´), pág. 26) dá a sua contribuição:

    “As competências e conhecimentos especializados pertinentes incluem:

    – competências no domínio das normas e práticas de proteção de dados nacionais e europeias, incluindo um – conhecimento profundo do RGPD,
    – conhecimento das operações de tratamento efetuadas,
    – conhecimento das tecnologias da informação e da segurança dos dados,
    – conhecimento do setor empresarial e da organização,
    – capacidade para promover uma cultura de proteção de dados no seio da organização.”

    Da posição funcional do DPO

    O RGPD permite, no artigo 37.º/6, que o encarregado de proteção de dados seja um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exerça as suas funções com base num contrato de prestação de serviços, ou seja, um DPO externo.

    Aqui surgiu a preocupação sobre, no caso de se optar por um funcionário, como se concilia a natureza de um contrato individual de trabalho com a independência técnica do DPO e a ausência de poder disciplinar sobre este que a função pressupõe. Ou seja, vamos ter, nestes casos, um funcionário com duplas vestes, de trabalhador, subordinado, sujeito ao poder diretivo e disciplinar da entidade empregadora, e em simultâneo, de encarregado de proteção de dados, que audita a atuação da organização, designadamente dos seus superiores hierárquicos, que não recebe instruções e que não pode ser penalizado ou destituído pelo exercício das suas funções.

    Da responsabilidade do DPO

    Por fim, e ao contrário do que é a preocupação de futuros encarregados de proteção de dados, o DPO não é responsável por violações de dados pessoais, respondendo, em caso de aplicação de coimas ou de obrigação de pagamento de indemnizações, apenas o responsável pelo tratamento ou o subcontratado.

    Em todo o caso, se se verificar que a violação teve como causa uma atuação indiligente do DPO, poderá existir direito de regresso do responsável pelo tratamento ou do subcontratado sobre o encarregado de proteção de dados, nos termos gerais.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Loading…

0
trotinetes 720 7921619293370209861 n

Mais trotinetes abandonadas e a provocar perigo

acident 787 8220336373461758212 n

Atropelamento de cão provoca feridos