O Regulamento Geral sobre a Proteção de Dados (RGPD), aplicado em Portugal e na União Europeia desde 25 de maio de 2018, estabelece regras sobre privacidade e a proteção dos dados pessoais que as instituições públicas, incluindo autarquias, e privadas da União Europeia guardam dos cidadãos e prevê que tenham um Encarregado de Proteção de Dados (EPD), uma espécie de 'provedor' dos titulares dos dados.

Em declarações à Lusa, Carlos Pinto de Sá, presidente da Câmara de Évora (CDU), onde o Regulamento Geral sobre a Proteção de Dados (RGPD) ainda se encontra "em fase de implementação", considerou que a legislação "não olhou para a realidade" dos municípios e que, por isso, "apresenta dificuldades muito significativas de aplicação".

Até agora, este município já tomou um conjunto de medidas, como o facto de os dirigentes terem de "garantir a proteção de dados ao nível do seu serviço", indicou o autarca, manifestando-se convencido que a lei, no futuro, "vai ter que ter algumas alterações para ser eficaz".

"Há um conjunto de questões que a legislação coloca que os municípios pequenos têm muita dificuldade em responder", argumentou, aludindo à nomeação de um Encarregado da Proteção de Dados (EPD) na autarquia, como obriga a lei.

No caso da Câmara de Évora, ainda não foi nomeado um EPD, mas Pinto de Sá adiantou que está a ser discutida na Comunidade Intermunicipal do Alentejo Central a possibilidade de existir "uma figura comum a vários municípios".

Consciente dos "desafios" que a alteração do quadro normativo da proteção de dados colocava, a Câmara do Porto constituiu, em 2017, um grupo de trabalho para dar cumprimento ao regulamento, tendo em 2018 criado um Departamento Municipal de Proteção de Dados, cujo principal propósito é "alertar e aconselhar" para o cumprimento das normas.

Também nesse ano, o presidente da Câmara do Porto, o independente Rui Moreira, designou uma Encarregada da Proteção de Dados.

A densidade e complexidade do regulamento e a necessidade reforçada de formação dos colaboradores são desafios apontados pelo Porto, e também pela Câmara de Coimbra (coligação liderada pelo PSD), onde o regulamento tem sido aplicado desde a sua criação, nomeadamente com a nomeação de um EPD em 2018.

A Câmara de Coimbra refere que a aplicação do regulamento "exige um esforço adicional e significativo", nomeadamente no que toca à aplicação do regulamento relacionado com a desmaterialização de processos nos serviços camarários, que têm levado à "alteração de procedimentos e de fluxos de circulação de informação".

A Câmara de Vila Real (PS), que nomeou o seu EPD em março de 2021, assegurou que o software de gestão utilizado por este município "está preparado para responder às exigências do RGPD", estando "ativos os requisitos mínimos para cumprimento do previsto na Lei da Proteção dos Dados Pessoais".

No entanto, esta autarquia referiu que ainda não foram elaborados os documentos do RGPD e da cibersegurança do município, "pelo facto de a responsabilidade da sua preparação ser da Comunidade Intermunicipal do Douro (CIM Douro), para permitir a sua configuração no sistema de gestão".

Fonte da Câmara de Viseu (PSD) disse à Lusa que se encontra "em fase avançada o procedimento que permite a introdução no município deste regulamento".

"Vai ser feita uma contratação exterior para colocar o regulamento em marcha. A figura do Encarregado da Proteção de Dados também será contratada nesse procedimento", acrescentou a mesma fonte, sem apontar uma data.

No Funchal (PSD), a principal câmara municipal da Região Autónoma da Madeira (RAM), o RGPD foi implementado em 2020, incluindo a designação de um EPD, e "tem decorrido dentro da normalidade", informou a autarquia.

O município funchalense considera que, apesar de alguns problemas relacionados com a formação e sensibilização para esta temática, "até à data, tem sido possível responder a todas as situações no âmbito do RGPD".

No Funchal, no Porto e em Coimbra já houve queixas de cidadãos sobre o tratamento dos respetivos dados, em pouco número e "sem provimento", pelo que não foram aplicadas sanções, afirmaram as autarquias.

Segundo o regulamento, os cidadãos têm de dar consentimento explícito para os seus dados pessoais serem usados -- e para que fim -- e podem pedir para sejam apagados a qualquer momento.

A lei estabelece que a Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD e que o incumprimento destas regras pode levar a sanções que podem ir, nos casos mais graves, até 20 milhões de euros e, nos casos menos graves de violação dos dados pessoais, até 10 milhões de euros.

O município de Lisboa designou o seu EPD após, em junho de 2021, ter ocorrido uma polémica acerca da divulgação, por esta Câmara, à embaixada da Rússia na capital portuguesa, de dados pessoais de ativistas dissidentes russos, que na altura argumentaram que desta forma foi posta em causa a respetiva segurança e de familiares.

Neste caso, a CNPD multou a Câmara de Lisboa em 1,2 milhões de euros por incumprimento do RGPD.

Em Setúbal, o presidente da Câmara, André Martins (CDU), nomeou um encarregado da proteção de dados no passado dia 03 de maio, na sequência da polémica em torno do acolhimento de refugiados ucranianos no município sadino por cidadãos russos, alegadamente com ligações ao Kremlin.

A CNPD abriu um inquérito à Câmara de Setúbal para perceber se houve ilegalidades no tratamento dos dados de refugiados ucranianos acolhidos, além de estarem em curso investigações da responsabilidade da Inspeção-Geral das Finanças e do Ministério Público. 

Leia Também: Proteção de dados regista máximos de coimas e violações de dados em 2021