CONVENTINHO BAR EM LOURES – UM ESPAÇO IMPAR Telef: 219 880648 | 962947829

NoticiasLX

Notícias da GRANDE LISBOA

RGPD – Dilema Municipal em Odivelas e Loures?

RGPD – Dilema Municipal ?

Com o já célebre Regulamento Geral de Protecção de Dados (RGPD), tem-se assistido a um conjunto de dúvidas relativamente às suas disposições e institutos, elegendo, para este contributo, duas figuras da maior importância, e que alguma confusão tem suscitado no meio municipal, e não só:

  1. O Responsável pelo tratamento dos Dados Pessoais;

  2. O Responsável pela Protecção de Dados Pessoais, mediocramente traduzido do inglês – Data Protetion Officer (DPO) – para português como Encarregado pea Protecção de Dados (EPD).

E porque são estas duas figuras importantes ?

Pela razão singela de assentar no primeiro TODA a responsabilidade por eventuais violações do RGPD, por parte da sua instituição, a que se junta ainda, caber-lhe a nomeação do DPO/EPD.

Ao segundo cabe-lhe TODA a responsabilidade de acompanhar a conformidade das práticas, acções e contratos da organização para com as regras do RGPD.

Até aqui, isto aplica-se quer ao sector Público, quer ao sector Privado.

No que concerne à identificação destes dois papeis – Responsável pelo Tratamento de Dados versus Responsável pela Protecção de Dados – no sector privado isso é simples e de fácil alcance, ou seja, o responsável pelo tratamento de dados, numa organização é a própria empresa, a pessoa colectiva, cuja gestão está nas mãos do Gerente, Conselho de Administração, etc, sendo, por isso, o titular desta função de gestão, quem tem competência para nomear o DPO/EPD, da organização.

O caso muda radicalmente de figura, quando se trata de uma autarquia, e nesta, a que vamos aqui abordar, o município.

Uma questão prévia, pese embora não se vá abordar a fundamentação da apologia aqui vertida quanto a este particular, mas circunstância do legislador ordinário ter criado um órgão executivo singular, na pessoa do Presidente de Câmara, algo cuja previsão constitucional não contempla, sendo por isso passível de ser declarado inconstitucional, dificulta sobremaneira a destrinça sobre quem, no município, tem sobre os ombros a responsabilidade da pessoa colectiva, enquanto responsavel pelo tratamento de dados.

Isto por um lado, por outro lado, e a aumentar essa dificuldade temos a inexistência do diploma nacional, que estabelecerá o quadro sancionatório, das violações ao RGPD, e a acomodação orgânica que se impõe.

Sabe-se que a proposta do governo, está em apreciação na Assembleia da República, e define o responsável pelo tratamento de Dados do município, como sendo o órgão executivo constitucionalmente previsto, isto é, a Câmara Municipal, com possibilidade de delegação, mas sem possibilidade de sub-delegação. Isso ajuda muito, mas por enquanto é como se não existisse, por isso a abordagem tem de ser feita à luz do quadro juridico actual.

Ainda em jeito de questão prévia, à partida a análise destas questões no sector público está facilitada pelo principio da legalidade, contido no Código do Procedimento Administrativo (CPA), também conhecido como Bíblia do servidor público. De modo simples este princípio diz-nos que, enquanto para o privado tudo é licito desde que não seja proibido, já para o sector público só é licita se estiver formalmente consagrado na letra da Lei, ou seja, se não houver previsão … é ilegal.

Deste modo temos os diplomas nacionais em vigor, e são eles à cabeça a Constituição da República Portuguesa (CRP), e a Lei 75/2013 (RJAL), conhecida como a biblía das autarquias locais.

Quando o RGPD impõe a obrigatoriedade das entidades públicas terem de nomear um DPO/EPD, sabemos que essa competência recai sobre a autoridade máxima da respectiva entidade.

Temos presente também que a CRP no seu artigo 250º, define a Câmara Municipal como órgão executivo do município, portanto, à partida a destinatária da competência para nomear um DPO/EPD para a respectiva entidade.

Porém, o RJAL prevê no seu artigo 25º, nº 1, alínea g), que a Assembleia Municipal (o órgão Deliberativo), aprova as Posturas e os Regulamentos com eficácia externa dos municípios.

No mesmo artigo, mas desta feita na alínea m) se prevê que é a Assembleia Municipal quem aprova a criação ou reorganização dos serviços municipais, sob proposta da câmara municipal, não podendo a Assembleia Municipal, por força do nº3, alterar essa proposta, limitando-se a aprovar ou recusar a mesma.

Porque razão se deverá atentar nestes articulados? Desde logo porque a nomeação do DPO/EPD deverá estar escorada num regulamento municipal, com eficácia externa, que assegure os direitos dos cidadãos e a forma e condições destes os exercerem, assim como, as obrigações do DPO/EPD quanto à tramitação das queixas, reclamações de incidentes e quebra de dados, entre outras disposições que se mostrem úteis para uma adequada actividade do DPO/EPD e a sua relação com os cidadãos.

Sendo esta uma nova função DPO/EPD, obviamente integrará a orgânica municipal, enquanto serviço municipal especialmente importante, o que convoca a intervenção do órgão deliberativo, enquanto órgão com competência para aprovar a reorganização dos serviços municipais, como é o caso.

Temos pois, de forma cristalina, que é incontornável o papel da Assembleia Municipal, neste quadro. Mesmo considerando que o diploma que aí vem comete à Câmara Municipal a competência para nomear o titular desta função, mas ela tem de ser integrada no mapa orgânico do município.

Agora vejamos o órgão executivo à luz do RJAL e atentos ao principio da legalidade.

Desde logo o RJAL não prevê a protecção de dados como fim a prosseguir (atribuições da pessoa colectiva – Município), nem quem tem no seu conteúdo funcional os poderes para a designação do DPO/EPD (competência do órgão executivo).

Em subordinação ao princípio da legalidade o assunto morria aqui, por inexistir previsão habilitante quanto baste.

Mas sendo o RGPD um diploma legislativo europeu de aplicação directa, tem de ser cumprido.

Recorrendo ao leque de atribuições do município, elencado no Artigo 23º, nº 2 do RJAL, o que mais se aproxima é a alíena l) – defesa do consumidor – porém, e na falta de previsão ordinária, temos de nos socorrer da formulação constitucional – “ (as autarquias locais) Visam a prossecução dos interesses próprios das populações”, mais genérica, mas onde tem cabimento a protecção de dados pessoais, enquanto direito de personalidade que é.

Fica, assim, sanada a falta de previsão ao nível das atribuições, no município, e mesmo ao nível das competências dos órgãos, é também a CRP quem nos dá uma mãozinha, quando define como orgão executivo do município a câmara municipal, portanto a esta caberá o respctivo pdoer funcional para nomear.

Isto afasta o outro órgão executivo municipal, que é o Presidente de Câmara, pois se não existe previsão legal concedendo esta prerrogativa, e cumulativamente a CRP fazer silêncio quanto a este órgão unipessoal, é pacifico concluir que o Presidente da Câmara Municipal não está legalmente habilitado para intervenção individual nesta matéria.

Chegámos então à primeira premissa, o responsável pelo tratamento de dados, no município, é a própria pessoa colectiva municipal, na pessoa do seu órgão executivo, ou seja a Câmara Municipal, e só esta está legalmente habilitada a nomear o DPO/EPD, depois de ser aprovada o ajustamento da orgânica municipal por parte da Assembleia Municipal, sob proposta da Câmara naturalmente.

Tudo quanto se faça diferentemente, neste particular, carece de base legal habilitante.

Falta agora analisar a função do DPO/EPD, em termos de se saber quem pode exercê-la, adentro o quadro de pessoal e orgânica do município.

Por força do RGPD a entidade máxima da entidade em causa está excluída de poder ser DPO/EPD, o que à partida deixa de fora, no caso dos municípios os titulares dos órgãos executivos e deliberativos.

Titulares de funções de chefia, também estão afastados da possibilidade de serem nomeados DPO/EPD, assim como os juristas da entidade e os informáticos da entidade.

Segundo a DPO do ministério da justiça, Dra. Inês Oliveira, até os técnicos superiores de carreira estão impedidos de puderem exercer esta função, e ela sabe do que fala, pois integrou a equipa portuguesa que participou na elaboração do RGPD a nivel dos órgãos europeus.

O titular da função DPO/EPD exerce, de forma autónoma e independente, a sua actividade, não estando subordinado hierarquicamente, no exercício especifico desta função, a ninguém, devendo, porém reporte ao responsável máximo da entidade.

Para além das alterações ao quadro orgânico do municipio, integrando este novo serviço acima explicado; da publicação de competente regulamento orgânico relativo à função de DPO/EPD; a nomeação do titular da função, por deliberação da Câmara municipal, carece de efectiva publicitação, em Edital, sem o que não será eficaz.

Mas antes mesmo de tudo isto importa ressalvar que tem de existir evidência objectiva da aceitação por parte do nomeado, pois o escolhido pode recusar, e segundo as práticas da função pública, terá de haver um termo de posse do mesmo.

Como se vê, existe um oceano a separar a praxis privada da pública, e isso pesa na hora de decidir.

Oliveira Dias

Investigador, Especialista

Vice-Presidente da APAPP

Associação Portugesa de Adminsitração e Politicas Públicas


Os conteúdos publicados são da exclusiva responsabilidade dos seus Autores. As opiniões expressas em cada artigo vinculam apenas os respectivos autores e não traduzem necessariamente a opinião dos demais autores da “NoticiasLX” nem do Diretor ou do seu proprietário. A citação, transcrição ou reprodução dos conteúdos da “NoticiasLX” estão sujeitas ao Código de Direito de Autor e Direitos Conexos. É proibida a reprodução ou compilação de conteúdos para qualquer fim, sem a expressa e prévia autorização da “NoticiasLX” e dos respectivos Autores.

Autor

Oliveira Dias - jose.antonio.rajani@gmail.com
Oliveira Dias - jose.antonio.rajani@gmail.com