O Regulamento Geral sobre a Proteção de Dados (RGPD), aplicado em Portugal e na União Europeia desde 25 de maio de 2018, estabelece regras sobre privacidade e a proteção dos dados pessoais que as instituições públicas e privadas da União Europeia guardam dos cidadãos e prevê a figura do Encarregado de Proteção de Dados (EPD), uma espécie de ‘provedor’ dos direitos e obrigações dos titulares desses dados.
Segundo a Comissão Nacional de Proteção de Dados (CNPD), até 20 de maio tinham sido comunicados a esta entidade, tal como prevê a lei, a existência de 220 EPD relacionados com autarquias.
Destes, 170 foram designados por municípios e 12 por Comunidades Intermunicipais (que não são autarquias, mas associações de municípios).
As freguesias são as autarquias mais atrasadas neste processo, já que, segundo a CNPD, apenas 38 freguesias tinham comunicado até essa data terem um EPD.
A lei prevê que tenha de existir pelo menos um Encarregado de Proteção de Dados “por cada município, sendo designado pela câmara municipal”, e também “nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes”. Das 3.091 juntas de freguesia do país, estimam-se em 1.977 as que têm mais de 750 habitantes.
A comissão sublinhou, no entanto, que “poderá dar-se o caso de haver EPD designados e que não foram notificados à CNPD” até à passada sexta-feira.
A importância de um EPD nas autarquias, nomeadamente nas câmaras municipais, ficou mais conhecida da opinião pública portuguesa em junho de 2021, através da polémica divulgação de dados pessoais de ativistas dissidentes russos à embaixada da Rússia, que na altura argumentaram que desta forma foi posta em causa a respetiva segurança e de familiares, pela Câmara de Lisboa, que não tinha então designado ainda um EPD.
A função deste encarregado, que deve ter formação em direito, é como um “provedor” dos titulares dos dados: Informa e aconselha o organismo público ou privado responsável sobre o tratamento a dar aos dados pessoais que tem guardados e as obrigações que tem na proteção desses dados.
Para controlar a conformidade dos procedimentos do organismo, nomeadamente das autarquias, com o RGPD, o EPD é “totalmente independente” no exercício da sua função, está obrigado a guardar sigilo e confidencialidade e tanto pode ser um funcionário ou alguém externo ao organismo de que é protetor de dados.
No entanto, o regulamento admite que “pode ser designado o mesmo encarregado de proteção de dados” para várias autarquias locais ou outra instituição, desde que não haja incompatibilidades entre os vários organismos onde exerça funções, já que o encarregado não está obrigado ao regime de exclusividade.
O RGDP começou a ser aplicado em Portugal e restantes Estados-membros em 25 de maio de 2018, introduzindo sanções pelo seu incumprimento que podem ir, nos casos mais graves, até 20 milhões de euros ou 4% do volume de negócios anual a nível mundial.
Nos casos menos graves de violação dos dados pessoais, as coimas podem ir até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial.
Segundo o regulamento, os cidadãos têm de dar consentimento explícito para os seus dados pessoais serem usados – e para que fim – e podem pedir para sejam apagados a qualquer momento.
A lei estabelece que a Comissão Nacional de Proteção de Dados é a autoridade de controlo nacional para efeitos do RGPD.
Portugal tem 308 municípios, 3.091 juntas de freguesia e 23 entidades intermunicipais (21 Comunidades Intermunicipais e as Áreas Metropolitanas de Lisboa e do Porto).