Deliberação/2022/1040 da Comissão Nacional de Proteção de Dados

2022-11-18T13:02:00
Portugal
A CNPD aplica pela primeira vez uma coima por violação da obrigação de designação de Encarregado de Proteção de Dados
Deliberação/2022/1040 da Comissão Nacional de Proteção de Dados
18 de novembro de 2022

A Comissão Nacional de Proteção de Dados (“CNPD”), através da Deliberação/2022/1040,  aplicou uma coima e duas repreensões ao Município de Setúbal, por violação de várias normas aplicáveis no âmbito do tratamento de dados pessoais de refugiados ucranianos, ao abrigo da Linha Municipal de Apoio a Refugiados (“LIMAR”). O valor da coima administrativa aplicável foi de EUR 170.000 (cento e setenta mil euros). A aplicação desta coima resulta da violação do princípio da integridade e confidencialidade dos dados, bem como da violação da obrigação de designar um encarregado da proteção de dados (doravante “EPD”).

Por outro lado, as repreensões referem-se não só à violação do dever de informar o titular dos dados pessoais que o tratamento estava a ser realizado e os termos em que o mesmo era levado a cabo, mas também à violação do princípio da limitação da conservação dos dados.

Nesta deliberação, a CNPD prevê e aprecia, entre outros aspetos, o desrespeito pelo princípio da integridade / confidencialidade, previsto no artigo 5.º, n.º 1 alínea f) do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (“doravante RGPD”).

Este princípio, que estabelece que os dados pessoais devem ser tratados de forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas e organizativas adequadas, é um dos princípios-chave relativos ao tratamento de dados pessoais. A CNPD concluiu que, no caso em análise, não foram tomadas as medidas organizativas de salvaguarda da informação, políticas ou orientações de gestão segura de informação, motivo pelo qual considerou que este princípio foi violado.

Por outro lado, a CNPD concluiu que não foi definido qualquer prazo de conservação dos dados pessoais recolhidos, para cumprimento do princípio da limitação da conservação, que estabelece que os dados apenas podem ser conservados durante o período necessário para as finalidades para que são tratados.

Adicionalmente, a CNPD considera que se verificou a violação do artigo 13.º n.ºs 1 e 2 do RGPD, que estabelece a obrigatoriedade de facultar ao titular dos dados pessoais várias informações sobre a operação de tratamento e as suas finalidades, de forma concisa, transparente, inteligível e de fácil acesso, em linguagem clara e simples. No caso em análise, não foi disponibilizada aos titulares de dados a informação legalmente obrigatória sobre os termos em que o Município de Setúbal realizava o tratamento dos dados, incluindo no que respeita à delimitação das entidades terceiras para quem os dados podiam ser transmitidos e a alguns dos direitos dos titulares, como o de requerer o apagamento, a limitação do tratamento ou o direito à portabilidade.

De seguida, é reiterado o caráter imperativo da designação do EPD pelo Município de Setúbal, de acordo com o artigo 37.º do RGPD, na medida em que essa nomeação é obrigatória quando o tratamento de dados é efetuado por uma autoridade ou organismo público. Ao não designar o EPD, o Município de Setúbal violou também esta disposição.

A autoridade de controlo CNPD, nesta deliberação, decide aplicar uma coima única, seguindo os critérios de determinação da medida da coima. Atendendo às especificidades do caso concreto, conclui pela aplicação de duas repreensões e uma coima de 170 mil euros por violação dos princípios da integridade, confidencialidade e violação da obrigação de designação do EPD. As repreensões referem-se à violação do princípio da limitação da conservação e do dever de facultar as informações essenciais aos titulares dos dados pessoais sobre o tratamento levado a cabo.

18 de novembro de 2022