OPINIÃO/CRUZEIRO: A PROTEÇÃO DE DADOS NAS AUTARQUIAS LOCAIS

DPO, nas Autarquias  Locais

É sabido que o Regulamento Geral da Protecção de Dados, instituído pela União Europeia, através do Parlamento Europeu, e pelo Conselho Europeu, com o número 2016/679, reitera alguns aspetos de uma Directiva anterior, a número 95/46/CE, mas não se limitou a isso, indo muito mais além no que concerne à protecção de dados pessoais das pessoas singulares, de tal forma assim é, que alguns membros da Ordem dos Advogados portuguesa, em artigo de opinião, o considera já um novo ramo do direito, dado o carater fundamental que esses direitos assumem nas nossas sociedades actualmente, o que de resto acompanhamos.

Uma das novidades mais importantes é a instituição da figura do Responsável pela Protecção de Dados – o DPO (sigla na língua inglesa) – tendo este a seu cargo importantes responsabilidades que se prendem com a conformação legal e regulamentar das regras aplicáveis no domínio da protecção de dados, das organizações onde prestam serviço.

O sector público, está obrigado, independentemente da dimensão dos seus organismos, a nomear um profissional destes, um DPO, ao contrário do sector privado, que apenas em certos casos a isso está obrigado.

Essa nomeação deve ser acompanhada de comunicação à CNPD, Comissão Nacional para a Protecção de Dados, e aí obejcto de registo especifico.

Sendo o Regulamento comunitário um acto legislativo de aplicação directa, da União Europeia, ao contrário de uma directiva, pois esta carece sempre de um acto de transposição nacional, em cada Estado membro, as Autarquias Locais estão directamente vinculadas a cumpri-lo, sem que se tenha de aguardar por diplomas nacionais de ajustamento.

No caso em apreço, apesar de tudo, mas por opção do legislador comunitário, verificar-se-ão 2 tipos de adaptações: uma de carácter orgânico, outra para a componente sancionatória em cada Estado nacional, tudo o resto entrou com força e vigôr, a produzir os respectvios efeitos juridicos, e é a essa luz que tem de ser encarado.

Ora isto vem a propósito das declarações da senhora Presidente da Comissão Nacional para a Protecção de Dados (CNPD), Doutora Filipa Galvão, em resposta a uma pergunta que lhe coloquei no programa da RTP3 “Fronteiras XXI” (https://www.rtp.pt/play/p4259/e358376/fronteiras-xxi aos 51.12 minutos), subordinado à Cybersegurança e RGPD, sobre que comunicações oficiais já teriam sido feitas pelas autarquias relativamente a estas nomeações, junto da CNPD ?

Segundo a Doutora Filipa Galvão, as autarquias locais não teriam condições “de per si” para assegurar esta obrigatoriedade, pelo que poderiam agregar-se no sentido de terem um DPO comum a várias delas, dizendo mesmo que esperava que o governo legislasse no sentido de criar comandos jurídicos que permitissem essa solução.

Não podia estar mais em desacordo com este caminho, da imposição legislativa, desde logo porque esta solução implicaria uma revisão constitucional, a todos os títulos inoportunos.

Em primeiro lugar avulta a condição das autarquias locais – os municípios e as freguesias – não estarem sujeitos ao poder de direcção de uma qualquer Direcção Geral da Administração Pública, ou Ministério, para serem agregados, para este ou qualquer outro efeito.

O Regulamento dispõe que um conjunto de empresas (leia-se organizações) autónomas entre si, mas com uma empresa mãe comum (uma Holding) poderiam ter um DPO comum.

Por analogia tal regra aplica-se, também, ao sector público, simplesmente no caso das autarquias locais isso não se verifica pela simples razão que uma Autarquia Local, seja município, seja Freguesia, serem a concretização Constitucional do desiderato descentralizador do Estado.

O que é a Descentralização do poder Local, no âmbito da administração Pública, em Portugal ? É a desafectação da esfera da administração central, de um conjunto de atribuições (Fins e missão) e de competências (poderes funcionais) para fora dessa administração central, através de um instituto jurídico a que se  dá o nome de “devolução de poderes”.

Ora a acção de descentralizar é precisamente o inverso de agregar (centralizar), defendido pela Doutora Filipa Galvão. O legislador ordinário não pode contrariar a Constituição da República Portuguesa, por isso a impossibilidade de tratar as Autarquias Locais como se de meros departamentos se tratassem de uma qualquer Direcção Geral da Administração Pública.

No limite, mas mesmo muito no limite, até se podia considerar que as Freguesias inseridas no espaço territorial de um Município pudessem, com ele, ter um DPO comum, uma vez que o Presidente da Junta de Freguesia é simultaneamente Deputado Municipal, mas ainda assim só com muito esforço esta seria uma solução adequada, logo bastante questionável.

Por outro lado, cada autarquia tem realidades muito próprias e dinâmicas muito distintas entre si, pelo que a nomeação de um DPO passa por equilíbrios díspares de autarquia para autarquia, já para não falar da cúpula directiva de cada uma delas, cujo carácter politico pode não se compaginar com a das restantes no que concerne a vários aspectos de um DPO comum a nomear (o seu pefil, estatuto, condições de trabalho, etc).

Quanto às poucas condições (financeiras, logísticas, etc) para cada autarquia nomear um DPO, isso será uma realidade para umas quantas, sobretudo freguesias mais pequenas, porquanto todos os 308 municípios portugueses não terão qualquer problema, mesmo recorrendo externamente, em providenciar um recurso humano para o efeito, mal estaríamos todos nós.

Assim forçar uma agregação das autarquias para a nomeação de um DPO comum, é de todo impensável, dados os obstáculos constitucionais, excepto se essa for uma opção das próprias casuisticamente, e aqui, para as freguesias mais pequenas, mas sempre por sua decisão, seria possível encontrar uma plataforma de entendimento para encontrar um DPO comum.

Mas, reforço, por deliberação dos seus órgãos e nunca por imposição, nem administrativa, nem legislativa, por contrária á autonomia do poder local português, plasmada na matriz constitucional portuguesa.

Quanto à falta de nomeação de um DPO, nas autarquias locais ainda em falta, e tendo presente que o RGPD (Regulamento Geral para a Protecção de Dados) exige que seja publicitada, designadamente nos respectivos sites, o contato do mesmo, obviamente, neste particular, verifica-se uma violação directa à lei.

A circunstância do quadro sancionatório ainda não ter sido transposto para o ordenamento juridico nacional, não pode constituir fundamentação para o incumprimento, por parte das autarquias locais da nomeação do respetvio DPO.

Na verdade, e ao contrário do que sucede para o privado, a administração pública (lacto senso) está vínculada a principios genéricos, com base constitucional, que a obrigam ao estrito cumprimento das leis e regulamentos, ainda que o quadro sancionatório não esteja especificamente definido.

No caso do Regulamento Geral para a Protecção de Dados, a violação às suas regras, que integram o edificio juridico e normativo português, e que visa em especial, a protecção dos cidadãos quanto a uma matéria da maior importância, os seus dados pessoais, a violação deste regulamento, significa a violação direta do nº 1, do Artigo 266º da Constituição da República Portuguesa (CRP), que consagra “A Administração Pública visa a prossecução do interesse público, no respeito pelos direitos e interesses legalmente protegidos dos cidadãos”, dispondo o seu nº 2 a vinculação a que está sujeita a Administração Pública à CRP e à Lei.

A violação da CRP ou da Lei (ordinária) por parte dos órgãos da adminsitração local, condu-los diretamente para a malha da tutela administrativa, enquanto o quadro sancionatório especifico do RGPD não estiver consolidado. Quando este quadro sancionatório estiver consolidado no nosso ordenamento juridico, aplicar-se-á directamente, e a da tutela administrativa terá então caracter acessório.

Rajani Oliveira Dias

Vice-Presidente da APAPP

(Associação Portuguesa de Administração e Politicas Públicas)