Mais de metade das câmaras viola o Regulamento Geral de Proteção de Dados, que manda nomear um encarregado de garantir que a lei é cumprida e comunicar a respetiva identidade à Comissão Nacional de Proteção de Dados (CNPD).
Corpo do artigo
A lei entrou em vigor em 2018 e, numa ronda aos municípios, o JN constatou que estão em diferentes fases de cumprimento. Apesar das medidas de correção previstas, nenhuma foi aplicada.
Das 308 câmaras do país, só 131 (43%) comunicaram à Comissão a identidade do seu encarregado de proteção de dados (EPD), indicou fonte oficial do regulador. O JN contactou as 278 câmaras do continente e recebeu 87 respostas. Dessas, algumas organizaram-se em torno de Comunidades Intermunicipais: Lousã, Figueira da Foz, Miranda do Corvo e Vila Nova de Poiares (Região de Coimbra), Nazaré e Bombarral (Oeste) e Alfândega da Fé e Bragança (Terras de Trás-os-Montes).
Todas indicaram ter um encarregado de proteção de dados e já o comunicaram à Comissão - exceto a Nazaré, que vai levar o tema a votação. Também Vila de Rei e Serpa garantem ter nomeado um encarregado, mas não o comunicaram à CNPD. Já Estarreja (Aveiro) e Beja (Baixo Alentejo) disseram que as CIM têm em curso um processo conjunto de aquisição de serviços.
Coimas até 10 milhões de euros
Das câmaras que responderam ao JN, poucas ainda não designaram um EPD: Barcelos, Viana do Castelo, Murça, Oliveira de Frades, Sever do Vouga e Ansião. A larga maioria assegurou ter já cumprido a obrigação legal. Algumas fizeram-no logo em 2018, quando a lei entrou em vigor: Porto, Guimarães, Trofa, Vila Nova de Famalicão, Santa Marta de Penaguião, Baião, Sousel, Almada e Odivelas. Outras, tão recentemente quanto janeiro deste ano. Nenhuma, todavia, foi penalizada, adiantou a CNPD.
A notificação da autoridade de controlo está prevista no n.º 7 do artigo 37.º do Regulamento Geral de Proteção de Dados. Por isso, é aplicável desde 25 de maio de 2018. O mesmo texto dá à Comissão poder para tomar medidas corretivas, em caso de incumprimento, incluindo impor coimas. Todavia, ainda nenhuma foi aplicada. "A CNPD não adotou até agora nenhuma medida corretiva relacionada com a falta de notificação do EPD", afirmou a mesma fonte.
O valor das coimas é definido pelo artigo 38.º da Lei 58/2019, que transpõe o regulamento para a ordem jurídica nacional, acrescentou Alexandre Dias Pereira, professor na Faculdade de Direito de Coimbra. Para as PME, vai de mil a um milhão de euros; nas grandes empresas, é de entre 2500 euros e 10 milhões. Nos dois casos, pode ser antes cobrado 2 % do volume de negócios anual mundial, se for mais elevado. Nas singulares, vai de 500 a 250 mil euros.
"São intervalos demasiado largos, que dão um poder discricionário ao decisor", criticou Alexandre Dias Pereira.
Associação contesta exoneração
Entretanto, a Associação dos Profissionais de Proteção e de Segurança de Dados contesta a decisão de Fernando Medina, presidente da Câmara de Lisboa, de exonerar o responsável pela proteção de dados da Autarquia. A organização defende que se trata de uma ilegalidade, por entender que a função se resume a "aconselhamento, sensibilização e controlo/auditoria". Medina será ouvido na quinta-feira no Parlamento.
À lupa
CIM contratam para si próprias e câmaras
As Comunidades Intermunicipais do Alto Tâmega, Tâmega e Sousa, Terras de Trás-os-Montes, Ave, Beiras e Serra da Estrela, Coimbra, Alto Alentejo e Alentejo Litoral comunicaram à CNPD a identidade do seu EPD. Ainda que o "partilhem" com câmaras, cada uma tem de fazer uma comunicação.
Só juntas maiores devem ter EPD
Só são obrigadas a ter um encarregado de proteção de dados as freguesias com mais de 750 habitantes ou sempre que "tal se justifique".