Política de Privacidade e Tratamento de Dados
Informação aos titulares de dados pessoais (artigos 13.º e 14.º do RGPD)
A Câmara Municipal do Porto Santo (CMPS) encara como prioritária a privacidade e segurança dos seus dados pessoais, pelo que pretendemos ser abertos e transparentes, no que diz respeito ao tratamento e proteção dos dados pessoais que são partilhados connosco. Por isso, estamos a implementar políticas de segurança da informação e procedimentos específicos, como garantia da prossecução do interesse público, nas diversas áreas de intervenção/atuação da CMPS.
Esta Política de Privacidade serve para explicamos quem somos, para que finalidades podemos usar os dados pessoais, como os tratamos, com quem os partilhamos, durante quanto tempo os conservamos, bem como as formas de entrar em contacto connosco e de os titulares de dados pessoais exercerem os seus direitos.
Os dados pessoais serão recolhidos e tratados pela Câmara Municipal do Porto Santo, NIPC 511 236 425, Edifício de Serviços Públicos, Rua Dr. Nuno Silvestre Teixeira, Apartado 81, 9400-162 Porto Santo, doravante designada por CMPS, sendo a entidade responsável pelo tratamento de dados pessoais na aceção do Regulamento Geral sobre a Proteção de Dados (RGPD), Regulamento (EU) n.º 2016/679, de 27 de abril, relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Nesta medida e, no que se refere ao processamento dos dados pessoais, deve o/a munícipe ler a presente Política de Privacidade e Tratamento de Dados, conjuntamente com os Termos e Condições que regulam a prestação dos diversos serviços da CMPS.
Obrigações do responsável pelo tratamento:
A informação fornecida será tratada de forma confidencial e utilizada para efeitos de gestão e respetiva relação com a CMPS, decorrente dos diversos serviços prestados e da utilização dos sites/aplicações, sendo o tratamento necessário para dar resposta aos pedidos, proceder à instrução dos processos, prestar informações sobre assuntos do Concelho e fins estatísticos.
Para cada tratamento específico dos dados pessoais que recolhemos, iremos informar os titulares de dados pessoais acerca do fundamento legal do seu tratamento, nomeadamente se se enquadra no cumprimento de uma obrigação legal, ou se é necessária para a execução de um contrato, e quais os efeitos, se optar por não o fazer.
Nos seus diversos portais/plataformas, existem áreas e serviços que se encontram acessíveis apenas através do registo do/a utilizador/a. Conforme cada caso, são apenas solicitados e recolhidos os dados necessários para a prestação do serviço, de acordo com as indicações explícitas no portal e as opções do/a utilizador/a.
Os elementos de informação pessoal, ou outros recolhidos através do registo, destinam-se exclusivamente a uso administrativo e informático, no âmbito estrito dos serviços solicitados pelo/a utilizador/a através do portal/plataforma.
O site não recolhe dados pessoais, a menos que, voluntariamente, os forneça (Ex.: utilização do formulário de Sugestões/Reclamações, quando nos pretende dirigir um pedido de informação ou uma queixa). Qualquer informação que nos forneça por esta via, será utilizada pela CMPS, apenas para a finalidade descrita.
O/A utilizador/a compromete-se a fornecer à CMPS informação de registo rigorosa e completa, em particular, o endereço de correio eletrónico, e a notificar a CMPS de quaisquer alterações a essas informações.
Caso o requeira, o/a titular dos dados pessoais ou os pais, representantes ou tutores, no caso de um/a visitante menor ou incapaz, tem o direito de obter o acesso, retificação ou a eliminação dos dados facultados, nos termos do disposto na legislação em vigor, mediante pedido por escrito, dirigido para um dos contactos que se encontram indicados no final deste documento.
A CMPS compromete-se a implementar as seguintes medidas/regras, entre outras:
• Respeitar a legislação em vigor sobre proteção de dados pessoais e a não ceder/divulgar/partilhar, sob qualquer forma ou condição, esta informação a entidades terceiras, para fins comerciais/publicidade;
• Tratar os dados pessoais fornecidos, no âmbito da (s) finalidade (s) para a (s) qual (is) foram recolhidos, ou para finalidades compatíveis com o propósito inicial para que foram recolhidos;
• Implementar uma cultura de minimização de dados, em que apenas se recolhem, utilizam e conservam os dados pessoais estritamente necessários ao desenrolar da sua atividade e à satisfação dos interesses dos/as cidadãos/ãs;
• Adotar as medidas de segurança da informação necessárias, para garantir a salvaguarda dos dados pessoais dos/as utilizadores/as;
• Implementar os controlos (incluindo os tecnológicos), medidas administrativas e organizativas, técnicas e físicas, para garantir a segurança da informação respeitante aos dados pessoais e outros;
• Implementar procedimentos que garantam a proteção/integridade dos dados pessoais;
• Assegurar a realização de ações de formação/informação/sensibilização, a quem procede ao tratamento de dados pessoais;
• Implementar processos de monitorização, para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas, de modo a garantir a segurança do tratamento;
• Reavaliação das permissões de acesso a dados pessoais, sendo apenas dadas a quem necessita efetivamente de ter acesso aos mesmos para o desempenho das suas funções;
• Redundância de equipamentos de armazenamento, processamento e comunicação de dados pessoais, para evitar perda de disponibilidade.
Princípios do tratamento de dados pessoais:
Para efeitos do artigo 5.º do RGPD, importa referir os seguintes princípios fundamentais, relativos ao tratamento de dados pessoais:
• Licitude, lealdade e transparência: Os dados pessoais são objeto de um tratamento lícito, leal e transparente, que exigem que o/a titular dos dados seja informado/a da operação de tratamento de dados e das suas finalidades. O tratamento dos dados pessoais deve assentar numa das causas de licitude do tratamento, previstas no artigo 6.º do RGPD.
• Limitação das finalidades: Os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente, de uma forma incompatível com essas finalidades. O tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.º, n.º 1.
• Minimização dos dados: Os dados pessoais são adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados.
• Exatidão: Os dados pessoais são exatos e atualizados, sempre que necessário. Devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora.
• Limitação da conservação: Os dados pessoais são conservados de uma forma, que permita a identificação dos/as titulares dos dados, apenas durante o período estritamente necessário para as finalidades para as quais são tratados. Os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica, ou para fins estatísticos (artigo 89.º, n.º 1), sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo RGPD, a fim de salvaguardar os direitos e liberdades do/a titular dos dados.
• Integridade e confidencialidade: Os dados pessoais são tratados de uma forma, que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas e organizativas adequadas.
• Responsabilidade demonstrada: O responsável pelo tratamento é responsável pelo cumprimento do disposto nos princípios anteriores e tem de poder comprová-lo.
Licitude do tratamento:
Para efeitos do artigo 6.º do RGPD, o tratamento de dados pessoais só é lícito se e, na medida em que se verifique pelo menos uma das seguintes situações:
a) O/A titular dos dados tiver dado o seu consentimento, de forma livre, informada, explícita e inequívoca, para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas.
NOTA: O consentimento exige um ato expresso e positivo. O pedido de consentimento deve ser apresentado de modo inteligível e de fácil acesso, e numa linguagem clara e simples. Não são admitidos consentimentos tácitos nem opções pré-validadas. O/A titular dos dados tem o direito de retirar o seu consentimento a qualquer momento.
b) O tratamento for necessário para a execução de um contrato, no qual o/a titular dos dados é parte, ou para diligências pré-contratuais a pedido do/a titular dos dados (Ex.: para pagar o vencimento aos/às funcionários/as, os serviços têm de dispor de dados pessoais, tais como o NIF e o número de conta bancária. Não é necessário o consentimento para o tratamento desses dados).
c) O tratamento for necessário para o cumprimento de uma obrigação jurídica/legal a que o responsável pelo tratamento esteja sujeito (Ex.: uma norma que determine que devem ser identificados todos/as os/as funcionários/as da Administração direta e indireta do Estado que tenham formação jurídica. Não é necessário o consentimento para o tratamento desses dados).
d) O tratamento for necessário para a defesa de interesses vitais do/a titular dos dados ou de outra pessoa singular.
e) O tratamento for necessário ao exercício de funções de interesse público, ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento (Ex.: uma investigação pública ou averiguações que envolvam dados pessoais).
f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do/a titular, que exijam a proteção dos dados pessoais, em especial se o/a titular for uma criança.
NOTA: a entidade pública deve documentar e identificar expressamente o fundamento da licitude do tratamento, e a finalidade a que se destina.
Finalidades do tratamento e utilização dos dados pessoais:
O Município do Porto Santo trata os dados pessoais para dar resposta aos seus pedidos, instruir os processos, inscrição em iniciativas/eventos do Município e/ou prestar informações, em cumprimento de obrigações legais (quando o tratamento seja necessário no âmbito do exercício das competências do Município) ou com base no consentimento do/a titular de dados, com o objetivo de melhorar ou personalizar os serviços que prestamos.
Os dados podem ser fornecidos através de requerimento, comunicação, queixa, participação, através dos diversos meios de atendimento disponibilizados – presencial, telefónico, correio, via eletrónica ou através do website e aplicações informáticas. Também recolhemos as informações que nos são fornecidas, assim como o conteúdo das mensagens enviadas (comentários, sugestões, elogios, críticas, queixas ou reclamações), de modo a analisar e responder às mesmas, numa lógica de melhoria contínua dos serviços prestados.
Sempre que seja rececionado um e-mail nos endereços institucionais da CMPS, os dados pessoais que dele constem, serão tratados pelos serviços, para a prossecução do pedido.
Salvaguardamos que os dados pessoais, serão de acesso limitado às pessoas do Município que tenham necessidade de os conhecer, no exercício das suas funções e na estrita medida do necessário para a prossecução da (s) finalidade (s) para a (s) qual (is) os dados pessoais foram recolhidos, ou para finalidade (s) compatível (is) com o (s) propósito (s) inicial (is).
A CMPS tratará os dados pessoais, de forma manual e/ou automatizada, tendo em conta a (s) finalidade (s) a que se destina (m) e a prestação de serviços solicitados pelo titular.
Gestão de “clientes” / Serviço de Atendimento ao Munícipe / Prestação de serviço
A CMPS dedica-se à prestação de serviços no âmbito das competências que a Lei lhe atribui. O tratamento dos dados é necessário para o cumprimento da prestação de serviços a celebrar entre titulares de dados pessoais e a CMPS, ou para a realização de diligências prévias ao pedido, ou ainda para a celebração de um contrato/protocolo, entre outros.
Apenas serão solicitados os dados pessoais estritamente necessários para a finalidade em questão, a serem preenchidos nos diversos meios existentes e tendo em conta o serviço específico. A disponibilização dos dados pessoais é necessária para a prestação dos serviços municipais nos campos assinalados como “obrigatórios”. Os dados pessoais também serão tratados para responder a questões, sugestões ou reclamações.
Trataremos qualquer informação fornecida, incluindo as categorias de dados pessoais necessárias, tendo em conta a finalidade em questão.
Promoção
A CMPS poderá tratar os dados para enviar informações sobre as suas atividades, eventos, notícias, serviços e outras informações, inquéritos informativos e convites por e-mail e por correio postal. Os dados pessoais que serão tratados, estão especificados nos diversos meios de recolha.
O consentimento, para o tratamento de dados pessoais para efeitos de promoção, pode ser revogado em qualquer altura. Em caso de revogação do consentimento por parte do/a titular dos dados, a CMPS deixará de poder enviar mais informações de promoção ou informações baseadas no anterior consentimento.
Definição de perfis (“profiling”)
A CMPS realiza a definição de perfis com base na informação relacionada com os acessos que realiza nos nos sites. O fundamento jurídico aplicável à recolha e utilização dos seus dados pessoais para os fins indicados é o seu consentimento.
Comunicação
A CMPS dá relevância à transparência da informação. Para tal, usa, como forma preferencial de comunicação com o/a munícipe, o e-mail, de modo a poder notificá-lo/a sobre o estado dos seus processos/pedidos.
Categorias de dados pessoais que recolhemos:
Os dados pessoais que são recolhidos, dependem da interação com a CMPS, sendo que apenas tratamos os estritamente necessários, no âmbito das atividades desenvolvidas e no estrito cumprimento das atribuições e competências que lhe estão legalmente cometidas, e da legislação em vigor.
De referir que, alguns dos dados solicitados nos impressos/requerimentos/formulários, são de recolha obrigatória, sob pena de não ser possível prestar o serviço em causa.
Tendo em conta a tipologia de serviço a ser prestado, os dados pessoais a recolher podem incluir os seguintes, entre outros:
• Identificação (Nome; Número de identificação civil/Passaporte; N.º de Identificação Fiscal);
• Contactos (Morada; Endereço de correio eletrónico; Número de telefone/telemóvel; Endereço de correio eletrónico institucional);
• Dados de pagamento (no caso de solicitar algum serviço que implique o pagamento de uma taxa ou de um preço, ou no âmbito da execução de um contrato, recolhemos os dados necessários para proceder ao processamento do respetivo pagamento);
• Aquando da consulta/navegação no site da Autarquia, encontrará formulários de recolha de informação onde poderá consultar informação de caráter público, e descarregar formulários/requerimentos da autarquia. Iremos recolher os dados pessoais necessários para dar resposta aos pedidos, proceder à instrução dos processos e outras questões, dependendo do contexto da interação com a CMPS, nomeadamente: Identificação (N.º Contribuinte; Nome; N.º BI/CC; Data de validade); Contactos (Morada; Código Postal; Localidade; Distrito; Concelho; Freguesia; E-mail; Telefone/Telemóvel);
Dados pessoais de menores:
Nesta categoria especial de dados pessoais, apenas são recolhidos e tratados aqueles que são estritamente necessários, tendo em conta o âmbito das atividades desenvolvidas, garantindo o cumprimento das atribuições e competências que estão legalmente cometidas ao Município, e da legislação aplicável em vigor.
A recolha e tratamento desta categoria de dados pessoais, que não decorra de fundamento legal ou do exercício de funções de interesse público/autoridade pública, apenas ocorrerá com o consentimento do/a detentor/a das responsabilidades parentais, representante legal, tutor/a ou encarregado/a de educação (podem exercer os direitos sobre os dados pessoais dos/as menores, em condições similares aos/às titulares dos dados).
Dados pessoais especiais:
O RGPD classifica alguns dados pessoais como “categorias especiais de dados”, dada a natureza mais sensível dos mesmos, em determinadas situações, nomeadamente, origem racial ou étnica do/a titular, opiniões políticas, convicções religiosas, orientação sexual ou sobre a saúde (saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde e/ou que revelem informações sobre o estado de saúde do/a titular dos dados).
Esta categoria de dados, no âmbito do RGPD, carece de uma proteção acrescida, sujeita a salvaguardas técnicas e organizativas específicas. Nesta sequência, a junção de documentos que integrem dados especiais, apenas deverá ocorrer, quando estes constem de elementos instrutórios de modelos/requerimentos/formulários que sejam publicitados e disponibilizados pela CMPS, em domínios muito específicos da sua atuação, mormente na área de apoio social.
Conservação dos dados (Artigo 5.º, n.º 1, alínea e) e considerando 39 do RGPD):
Os dados pessoais serão conservados apenas durante o período que for necessário/adequado, no âmbito da (s) finalidade (s) para a (s) qual (ais) foram recolhidos, conforme regulamentação comunitária e legislação nacional, nomeadamente, deliberações das autoridades de controlo de proteção de dados europeus (neste caso, a CNPD) e o Regulamento Arquivístico para as Autarquias Locais (Portaria n.º 412/2001, de 17 de abril, alterada pela Portaria n.º 1253/2009, de 14 de outubro).
O período de conservação dos dados pode ser alterado de forma significativa, quando estejam em causa fins de arquivo de interesse público, motivos históricos, científicos ou estatísticos, comprometendo-se a CMPS a adotar as medidas de conservação e segurança necessárias.
Com quem partilhamos os dados:
A CMPS poderá transmitir os dados recolhidos a entidades subcontratantes para os efeitos acima referidos, nos termos de contratos celebrados com essas entidades. São fornecidos, a estes subcontratantes, apenas os dados pessoais necessários para a prestação do serviço em causa (por exemplo, funcionamento e manutenção de aplicações informáticas/site), ficando obrigados a guardar sigilo e a garantir a segurança relativamente aos dados a que, para o efeito, tenham acesso, não devendo utilizar os mesmos para quaisquer outros fins, ou em benefício próprio, nem relacioná- los com outros dados que possuam.
A CMPS apenas recorre a subcontratantes que garantam a implementação de medidas técnicas e organizativas adequadas à proteção dos dados, assegurando a defesa dos direitos dos/as titulares dos dados à luz da lei de proteção de dados aplicável.
Adicionalmente, os dados pessoais poderão ser disponibilizados às autoridades competentes, no estrito cumprimento do disposto na Lei (por exemplo, às autoridades judiciárias) ou no exercício de funções de interesse público/autoridade pública cometidas à CMPS, no estrito cumprimento de obrigações legais ou com o seu consentimento.
Não transmitimos, vendemos ou trocamos os dados pessoais com terceiros, fora da CMPS, para fins comerciais ou de publicidade.
Transferência internacional de dados:
A CMPS não tenciona transferir dados pessoais para países terceiros ou para uma organização internacional. Se tal vier a ser necessário, a CMPS tomará as devidas diligências, no sentido de assegurar que a proteção das pessoas singulares não é comprometida, garantindo a aplicação da legislação relativa a proteção de dados pessoais, aplicável em Portugal.
Legislação aplicável:
Existe diversa legislação aplicável à matéria da proteção de dados pessoais e associado ao uso dos sites, sendo a mais relevante a seguinte:
• Regulamento Geral sobre a Proteção de Dados: Regulamento (EU) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE.
• Retificação do Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
• Portaria n.º 57/2018, de 26 de fevereiro: Regula o funcionamento e gestão do portal dos contratos públicos, denominado «Portal BASE», previsto no Código dos Contratos Públicos (CCP) e à aprovação dos modelos de dados a transmitir ao Portal BASE, para efeitos do disposto no CCP (n.º 6, do artigo 12.º – Responsabilidade pela informação – o cumprimento das normas nacionais e comunitárias referentes à proteção de dados pessoais, é da responsabilidade das entidades adjudicantes).
• Lei n.º 58/2019, de 8 de agosto: Assegura a execução, na ordem jurídica nacional, do Regulamento (EU) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
• Lei n.º 59/2019, de 8 de agosto: Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (EU) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
• Lei n.º 46/2012, de 29 de agosto: Tratamento de dados pessoais e proteção da privacidade no setor das comunicações eletrónicas (utilização de cookies nos sites) (Alterou a Lei n.º 41/2004, de 18 de agosto).
• Lei n.º 26/2016, de 22 de agosto: Aprova o regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos (LADA), transpondo a Diretiva 2003/4/CE, do Parlamento Europeu e do Conselho, de 28 de janeiro, e a Diretiva 2003/98/CE, do Parlamento Europeu e do Conselho, de 17 de novembro.
• Regulamento n.º 1/2018, de 30 de novembro: Lista de tratamentos de dados pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados.
• Regulamento (EU) 2018/1725, do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados.
• Regulamento (EU) n.º 611/2013, da Comissão, de 24 de junho de 2013: Medidas aplicáveis à notificação da violação de dados pessoais em conformidade com a Diretiva 2002/58/CE do Parlamento Europeu e do Conselho relativa à privacidade e às comunicações eletrónicas.
• Portaria n.º 412/2001, de 17 de Abril: Regulamenta a avaliação, seleção e eliminação dos documentos das autarquias locais, bem como os procedimentos administrativos que lhes estão associados. Alterada pela Portaria n.º 1253/2009, de 14 de outubro.
• Resolução do Conselho de Ministros n.º 41/2018, de 28 de março: Define orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais.
• Constituição da República Portuguesa: Decreto de aprovação da Constituição, de 10 de abril de 1976 – Aprova a Constituição da República Portuguesa (Artigo 35.º – Utilização da informática).
• Lei n.º 32/2008, de 17 de julho: Transpõe para a ordem jurídica interna a Diretiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações.
• Lei n.º 7/2007, de 5 de fevereiro: Cria o cartão de cidadão e rege a sua emissão, renovação, utilização e cancelamento, alterada e republicada pela Lei n.º 32/2017, de 1 de junho.
• Lei n.º 109/2009, de 15 de setembro: Aprova a Lei do Cibercrime, transpondo para a ordem jurídica interna a Decisão Quadro n.º 2005/222/JAI, do Conselho, de 24 de fevereiro, relativa a ataques contra sistemas de informação, e adapta o direito interno à Convenção sobre Cibercrime do Conselho da Europa.
Alterações à Política de Privacidade e Tratamento de Dados
A CMPS poderá ter necessidade de alterar/atualizar a sua Política de Privacidade e Tratamento de Dados a qualquer momento. Estas alterações serão devidamente publicitadas no site https://www.cm-portosanto.pt/ e nos edifícios municipais da CMPS, onde se encontrará sempre a versão mais recente. Caso as alterações tenham um impacto substancial nos seus direitos e liberdades, a CMPS notificá-lo-á dessas alterações através dos dados de contacto que nos tenha disponibilizado. Solicitamos-lhe que reveja periodicamente este documento para se manter atualizado.