Em comunicado, a APDPO argumenta que as funções de "aconselhamento, sensibilização e controlo/auditoria" do encarregado da proteção de dados "são exercidas de forma independente e não vinculam o responsável pelo tratamento, que é quem decide as medidas de proteção de dados a aplicar".
"O Regulamento Geral sobre a Proteção de Dados (RGPD) obrigou as entidades públicas a nomearem um EPD/DPO [encarregado da proteção de dados]. Este técnico não é responsável, nem pode sê-lo, pelas obrigações que incumbem ao responsável pelo tratamento. É ao responsável pelo tratamento, ou seja, aos organismos nas pessoas dos seus dirigentes máximos, que incumbe adotar todas as medidas de proteção de dados", acrescenta.
"Nos termos do artigo 38.º n.º 3 do RGPD, 'o encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções'. E foi o que o EPD/DPO fez: exerceu as suas funções nos termos da lei'", reforça a associação.
Assim, a APDPO tenciona apresentar queixa à Comissão Nacional de Proteção de Dados se a exoneração do encarregado de dados da Câmara de Lisboa se materializar.
Na sexta-feira, o presidente da autarquia, Fernando Medina (PS), anunciou um conjunto de medidas na sequência do caso da divulgação de dados pessoais de ativistas russos à embaixada da Rússia por parte do município, entre as quais a exoneração do encarregado da proteção de dados.
Em conferência de imprensa para apresentar a auditoria realizada, Fernando Medina revelou que autarquia desrespeitou reiteradamente um despacho de 2013 assinado por António Costa, presidente do município à data e atual primeiro-ministro.
Com a extinção dos Governos Civis em 2011, e a passagem da competência para o município, foi iniciado um procedimento para lidar com a comunicação de manifestações e a autarquia “seguiu de perto aquilo que vinha sendo feito na matéria ao nível dos Governos Civis”, no âmbito da legislação.
Em 2013, António Costa emitiu um despacho – ainda em vigor, já que é o último sobre o tema – para alterar a prática, dando “ordem de mudança de procedimento no sentido de só serem enviados dados à Polícia de Segurança Pública e ao Ministério da Administração Interna”.
Contudo, assumiu Fernando Medina, esse despacho foi alvo de “reiterados incumprimentos” ao longo dos anos, ou seja, ocorreu “uma prática relativamente homogénea, mesmo quando houve instrução do presidente da câmara para alteração desse procedimento”.
Em 2018, entrou em vigor o novo Regulamento Geral sobre a Proteção de Dados (RGPD), mas, no “esforço substancial de adaptação” do município, o procedimento de tramitação de avisos de manifestações “não sofreu adaptações”.
De acordo com as conclusões da auditoria, desde 2012 foram comunicadas à Câmara de Lisboa 7.045 manifestações.
“No total, foram remetidas 180 comunicações de realização de manifestação junto de embaixadas, 122 anteriores à entrada em vigor do RGPD e 58 após. Depois da entrada em vigor do RGPD, ou seja, para o período de maio de 2018 a maio de 2021, foram considerados como tendo sido enviados dados pessoais em 52 dos processos”, lê-se no documento.
Comentários