PARTE III- DADOS: PROTEÇÃO DE DADOS PESSOAIS

POR FAVOR, RESPONDA ÀS SEGUINTES QUESTÕES


SECÇÃO I – SERVIÇOS PÚBLICOS: TRATAMENTO

A. UNIDADES

1. O Município dispõe de uma unidade interna, com competências específicas na área da proteção de dados pessoais?

Em caso de resposta afirmativa à Questão 1:

a) Quantas pessoas integra?

b) Qual a área de formação dos seus membros?

Em caso de resposta negativa à Questão 1:

a) O Município recorre a serviços de terceiros para esse efeito?

b) As questões relacionadas com a área da proteção de dados pessoais são analisadas internamente por outros serviços? Se sim, quais?

B. ENCARREGADO DA PROTEÇÃO DE DADOS

2. O Município dispõe de um Encarregado da Proteção de Dados?

Em caso de resposta afirmativa à questão anterior:

a) O Encarregado da Proteção de Dados é envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais? Em especial, é assegurado que:

i) O Encarregado da Proteção de Dados é convidado a participar regulamente nas reuniões dos quadros de gestão médios e superiores do Município?

ii) A presença do Encarregado da Proteção de Dados é recomendada sempre que sejam adotadas decisões com implicações na proteção de dados?

iii) Todas as informações pertinentes são transmitidas oportunamente ao Encarregado da Proteção de Dados, para que este possa prestar um aconselhamento adequado?

iv) O Parecer do Encarregado da Proteção de Dados é sempre devidamente ponderado?

v) Nos casos em que o Parecer do Encarregado da Proteção de Dados não é seguido, a razão para tal é devidamente fundamentada?

vi) O Encarregado da Proteção de Dados é imediatamente consultado após a ocorrência de uma violação de dados ou outro incidente?

b) O Encarregado da Proteção de Dados dispõe de recursos adequados para o exercício das respetivas funções? Em especial é assegurado que:

i) O Encarregado da Proteção de Dados exerce essas funções a tempo inteiro?

ii) Caso o Encarregado da Proteção de Dados exerça essas funções a tempo parcial, a percentagem de tempo alocada ao desempenho das mesmas encontra-se definida e demonstra-se suficiente?

iii) O Encarregado da Proteção de Dados dispõe de recursos financeiros adequados para o exercício das respetivas funções?

iv) O Encarregado da Proteção de Dados dispõe de infraestruturas (locais, instalações, equipamento) adequados para o exercício das respetivas funções?

v) O Encarregado da Proteção de Dados dispõe de recursos humanos adequados para o exercício das respetivas funções?

vi) A nomeação do Encarregado da Proteção de Dados foi oficialmente comunicada, de forma clara, a todo os trabalhadores e agentes do Município, a fim de divulgar a sua existência e missão dentro da instituição?

vii) O Encarregado da Proteção de Dados goza da possibilidade de receber apoio, contributos e informações essenciais por parte de outros serviços do Município, tais como os recursos humanos, os serviços jurídicos, informáticos, de segurança, etc?

c) É concedida ao Encarregado da Proteção de Dados a possibilidade de realizar formação, de forma periódica, de modo a que este possa atualizar os seus conhecimentos?

d) O Encarregado da Proteção de Dados está contratualmente vinculado a um dever de sigilo ou a uma obrigação confidencialidade, no que toca ao exercício das suas funções?

e) O Encarregado da Proteção de Dados dispõe de adequadas garantias de autonomia e independência? Em particular, é assegurado que este:

i) Não recebe instruções quanto ao exercício das suas funções?

ii) Não pode ser penalizado ou destituído por força do regular exercício dessas funções?

iii) Reporta diretamente ao mais alto nível de gestão (Presidente da Câmara ou em quem este delegue)?

iv) Não exerce funções profissionais (dentro ou fora do Município) que possam resultar num conflito de interesses?

SECÇÃO II – CONDIÇÕES DE LICITUDE PARA O TRATAMENTO DE DADOS PESSOAIS

C. CONFORMIDADE COM O PRINCÍPIO DA LICITUDE

3. O Município tem implementadas medidas técnicas e organizativas com vista a garantir que todas as operações de tratamento por si realizadas se baseiam numa das condições de licitude previstas no artigo 6.º/1 do RGPD, e, quando aplicável, numa das derrogações para situações específicas, contempladas no artigo 9.º/2 do mesmo diploma?

D. TRATAMENTO DE DADOS PESSOAIS DE CATEGORIAS GERAIS

4. Quais os fundamentos já invocados pelo Município para o tratamento de dados pessoais?

E. TRATAMENTO DE DADOS PESSOAIS DE CATEGORIAS ESPECIAIS

5. No caso de dados pessoais pertencentes a pelo menos uma das categorias especiais previstas no artigo 9.º/1 do RGPD, quais as derrogações já invocadas pelo Município para afastar a proibição-geral estabelecida quanto ao seu tratamento?

SECÇÃO III – DIREITOS DOS TITULARES DOS DADOS

F. DIREITO DE INFORMAÇÃO

6. O Município presta aos titulares de dados pessoais as informações a que se referem os artigos 13.º (no caso de informações recolhidas diretamente junto dos titulares) e 14.º (no caso de informações recolhidas indiretamente, a partir de terceiros) do RGPD?

7. Essas informações são prestadas de forma concisa, transparente, inteligível e de fácil acesso, através de uma linguagem clara e simples (em especial quando se dirijam a crianças)?

G. DIREITO DE ACESSO

8. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos, na qualidade de titulares de dados pessoais, obterem, de forma simples, a confirmação de que os dados pessoais que lhes digam respeito são ou não objeto de tratamento?

9. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos, na qualidade de titulares de dados pessoais, acederem às informações tratadas a seu respeito, bem como às demais informações previstas no artigo 15.º/1 do RGPD?

10. Em média, qual o número de pedidos de exercício deste direito recebidos pelo Município nos últimos 24 meses?

11. Em média, qual o prazo de resposta do Município aos titulares dos dados?

H. DIREITO DE RETIFICAÇÃO

12. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos, na qualidade de titulares de dados pessoais, obterem, de forma simples e sem demora injustificada, a retificação dos dados pessoais inexatos que lhes digam respeito?

13. Tendo em conta as finalidades do tratamento, os cidadãos têm ainda o direito a que os seus dados incompletos sejam completados, incluindo por meio de uma declaração adicional?

14. Em média, qual o número de pedidos de exercício deste direito recebidos pelo Município nos últimos 24 meses?

15. Em média, qual o prazo de resposta do Município aos titulares dos dados?

I. DIREITO AO APAGAMENTO DOS DADOS (DIREITO A SER ESQUECIDO)

16. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos, na qualidade de titulares de dados pessoais, obterem, de forma simples e sem demora injustificada, o apagamento dos dados pessoais que lhes digam respeito, sempre que se encontrem verificadas uma das condições previstas no artigo 17.º/1 do RGPD?

17. O Município tem implementadas políticas e procedimentos internos por forma a assegurar que, quando tenha tornado públicos os dados pessoais em questão e for obrigado a apagá-los, os responsáveis pelo tratamento efetivo desses mesmos dados são informados de que os titulares solicitaram o apagamento das ligações para esses dados pessoais, bem como de quaisquer cópias ou reproduções das informações em causa?

18. Em média, qual o número de pedidos de exercício deste direito recebidos pelo Município nos últimos 24 meses?

19. Em média, qual o prazo de resposta do Município aos titulares dos dados?

J. DIREITO À LIMITAÇÃO DO TRATAMENTO

20. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos, na qualidade de titulares de dados pessoais, obterem, de forma simples, a limitação do tratamento dos dados pessoais que lhes digam respeito, caso se aplique uma das situações-pressuposto contempladas nas alíneas a) a d) do artigo 18.º/1 do RGPD?

21. Em média, qual o número de pedidos de exercício deste direito recebidos pelo Município nos últimos 24 meses?

22. Em média, qual o prazo de resposta do Município aos titulares dos dados?

K. DIREITO À PORTABILIDADE DOS DADOS

23. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos receberem os dados pessoais que lhes digam respeito e que tenham originariamente fornecido àquele, num formato estruturado, de uso corrente e de leitura automática, desde que verificadas as condições previstas no artigo 20.º/1 do RGPD?

24. Em caso afirmativo, é-lhes ainda concedida a possibilidade de solicitarem a transmissão direta desses mesmos dados pessoais a outro responsável pelo tratamento?

25. Em média, qual o número de pedidos de exercício deste direito recebidos pelo Município nos últimos 24 meses?

26. Em média, qual o prazo de resposta do Município aos titulares dos dados?

L. DIREITO DE OPOSIÇÃO

27. O Município tem implementadas políticas e procedimentos internos que permitam aos cidadãos oporem-se a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhes digam respeito, sempre que este se baseie numa condições previstas nos artigos 6.º/1/e), 6.º/1/f) ou 6.º/4 do RGPD?

28. Em caso afirmativo – e sendo tal direito exercido – o Município cessa o tratamento dos dados em questão, a não ser que existam razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial?

29. Em média, qual o número de pedidos de exercício deste direito recebidos pelo Município nos últimos 24 meses?

30. Em média, qual o prazo de resposta do Município aos titulares dos dados?

M. DECISÕES AUTOMATIZADAS

31. O Município tem implementadas políticas e procedimentos internos destinados a garantir que nenhum cidadão fique sujeito a decisões tomadas exclusivamente com base no tratamento de dados pessoais que lhes digam respeito, suscetíveis de produzir efeitos na sua esfera jurídica ou de os afetarem significativamente de forma similar, salvo se verificadas uma das exceções expressamente previstas no artigo 22.º/2 do RGPD?

SECÇÃO IV – GESTÃO DE RISCO

N. POLÍTICAS EM MATÉRIA DE PROTEÇÃO DE DADOS PESSOAIS

32. O Município dispõe de Políticas internas em matéria de proteção de dados pessoais? Se sim, quais?

a) Em caso de resposta afirmativa à questão anterior, com que frequência as mesmas são revistas e atualizadas?

O. REGISTO DE ATIVIDADES DE TRATAMENTO

33. O Município dispõe de um registo interno, onde se encontrem documentadas todas as atividades de tratamento de dados pessoais desenvolvidas sob a sua responsabilidade?

Em caso de resposta afirmativa à questão anterior:

a) Qual o número aproximado de atividades de tratamento identificadas nesse registo?

b) Esse registo contém informações relativamente:

i) Ao nome e aos contactos do responsável pelo tratamento, bem como de eventuais responsáveis conjuntos pelo tratamento e do Encarregado da Proteção de Dados?

ii) Às finalidades para as quais os dados serão tratados?

iii) Às categorias de titulares de dados e às categorias de dados pessoais tratados?

iv) Às categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou  organizações internacionais?

v) Às transferências de dados pessoais para países terceiros ou organizações internacionais (caso ocorram), incluindo a identificação desses países terceiros ou organizações internacionais e, sendo o caso, a documentação que comprove a existência de garantias adequadas para a transferência?

vi) Aos prazos previstos para o apagamento das diferentes categorias de dados

vii) Às medidas técnicas e organizativas implementadas para garantir a segurança dos dados tratados?

P. AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS

34. O Município realiza uma Avaliação de Impacto sobre a Proteção de Dados sempre que um certo tipo de tratamento, em particular que utilize novas tecnologias, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares?

35. Em particular, o Município realiza uma Avaliação de Impacto sobre a Proteção de Dados quando se encontrem verificadas as condições previstas no artigo 35.º/3 do RGPD ou no Regulamento n.º 1/2018 da Comissão Nacional da Proteção de Dados?

36. Em média, quantas Avaliações de Impacto sobre a Proteção de Dados foram realizadas pelo Município nos últimos 24 meses?

Q. PROTEÇÃO DE DADOS DESDE A CONCEÇÃO E POR DEFEITO

37. O Município aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do RGPD e proteja os direitos dos titulares dos dados?

38. O Município aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento?

R. SEGURANÇA DE DADOS PESSOAIS

39. O Município tem implementadas medidas técnicas e organizativas adequadas, com vista a assegurar que os dados pessoais pelos quais é responsável são tratados de uma maneira que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental? Em especial, e no que concerne aos tratamento automatizados de dados, o Município tem implementadas medidas técnicas e organizativas destinadas a:

a) Impedir o acesso de pessoas não autorizadas aos equipamentos utilizados para o tratamento?

b) Impedir que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização?

c) Impedir a introdução não autorizada de dados pessoais, bem assim como qualquer outra operação não autorizada relativamente a dados pessoais por si conservados?

d) Impedir que os sistemas de tratamento automatizado sejam utilizados por indivíduos não autorizados por intermédio de equipamentos de comunicação de dados?

e) Assegurar que as pessoas autorizadas a utilizar o sistema de tratamento automatizado só tenham acesso aos dados abrangidos pela sua autorização de acesso?

f) Garantir que possa ser verificado e determinado a que organismos os dados foram ou podem ser transmitidos ou facultados utilizando equipamentos de comunicação de dados?

g) Garantir que possa ser verificado e determinado a posteriori quais os dados introduzidos nos sistemas de tratamento automatizado, quando e por quem foram introduzidos?

h) Impedir que, durante as transferências de dados pessoais ou o transporte dos seus suportes, os dados possam ser lidos, copiados, alterados ou suprimidos sem autorização?

i) Assegurar que os sistemas utilizados possam ser restauradas em caso de interrupção?

j) Assegurar que as funções do sistema de tratamento automatizado funcionam, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais não possam ser falseados por funcionamento defeituoso desse sistema (integridade)?

S. FORMAÇÃO E SENSIBILIZAÇÃO

40. O Município proporciona formação aos seus trabalhadores e agentes na área da proteção de dados pessoais?

Em caso de resposta afirmativa à questão anterior:

a) Com que frequência?

b) Quais dos seguintes conteúdos são abordados nessa formação?

T. SUBCONTRATANTES

41. O Município toma diligências, previamente à contratação de subcontratantes, com vista a assegurar que estes oferecem garantias suficientes de execução de medidas técnicas e organizativas adequadas em matéria de proteção de dados pessoais?

42. As relações de subcontratação (que impliquem o tratamento de dados pessoais por conta do Município) encontram-se reguladas por contrato ou outro ato normativo ao abrigo do direito da União Europeia ou dos Estados-Membros, que cumpra com os requisitos formais e substanciais contemplados nos artigos 28.º/2 e 28.º/3 do RGPD?

U. VIOLAÇÕES DE DADOS PESSOAIS

43. O Município tem implementadas políticas e procedimentos internos, com vista a responder a incidentes de segurança que constituam violações de dados pessoais?

44. Em especial, o Município tem implementadas políticas e procedimentos internos para assegurar que essas violações são notificadas à Comissão Nacional de Proteção de Dados,  no prazo máximo de 72 horas, sempre que aquelas se mostrem suscetíveis de resultar em riscos para os direitos e liberdades das pessoas singulares afetadas pela sua ocorrência?

45. Nos casos em que essas violações se demonstrem suscetíveis de resultar em riscos elevados para os direitos e liberdades das pessoas singulares afetadas, dispõe o Município, além disso, de políticas e procedimentos internos que permitam comunicar a esses titulares de dados, sem demora injustificada, a verificação de um databreach?

46. Em média, quantas violações de dados pessoais foram identificadas pelo Município nos últimos 24 meses?

47. Em média, quantas violações de dados pessoais foram notificadas pelo Município à CNPD nos últimos 24 meses?

48. Em média, quantas violações de dados pessoais foram comunicadas pelo Município aos titulares dos dados nos últimos 24 meses?

Questões adaptadas de: Information Comissioner’s Office, “Controllers checklist”, disponível em: https://ico.org.uk/for-organisations/sme-web-hub/checklists/data-protection-self-assessment/controllers-checklist/ [Consultado a 11/01/2021].

en_GBEN