Política de Privacidade e Tratamento de Dados do Município de Aveiro
Informação aos titulares de dados pessoais (artigos 13.º e 14.º do RGPD)
[DESPACHO | Política de Privacidade e Tratamento de Dados do Município de Aveiro]
A Câmara Municipal de Aveiro (CMA) encara como prioritária a privacidade e segurança dos seus dados pessoais, pelo que pretendemos ser abertos e transparentes, no que diz respeito ao tratamento e proteção dos dados pessoais que são partilhados connosco. Por isso, estamos a implementar políticas de segurança da informação e procedimentos específicos, como garantia da prossecução do interesse público, nas diversas áreas de intervenção/atuação da CMA.
Esta Política de Privacidade serve para explicamos quem somos, para que finalidades podemos usar os dados pessoais, como os tratamos, com quem os partilhamos, durante quanto tempo os conservamos, bem como as formas de entrar em contacto connosco e de os titulares de dados pessoais exercerem os seus direitos.
Os dados pessoais serão recolhidos e tratados pela Câmara Municipal de Aveiro, NIPC 505 931 192, Praça da República, Apartado 244, 3810-156 Aveiro, doravante designada por CMA, sendo a entidade responsável pelo tratamento de dados pessoais na aceção do Regulamento Geral sobre a Proteção de Dados (RGPD), Regulamento (EU) n.º 2016/679, de 27 de abril, relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Nesta medida e, no que se refere ao processamento dos dados pessoais, deve o/a munícipe ler a presente Política de Privacidade e Tratamento de Dados, conjuntamente com os Termos e Condições que regulam a prestação dos diversos serviços da CMA.
Obrigações do responsável pelo tratamento
[EPD]
A informação fornecida será tratada de forma confidencial e utilizada para efeitos de gestão e respetiva relação com a CMA, decorrente dos diversos serviços prestados e da utilização dos sites/aplicações, sendo o tratamento necessário para dar resposta aos pedidos, proceder à instrução dos processos, prestar informações sobre assuntos do Concelho e fins estatísticos.
Para cada tratamento específico dos dados pessoais que recolhemos, iremos informar os titulares de dados pessoais acerca do fundamento legal do seu tratamento, nomeadamente se se enquadra no cumprimento de uma obrigação legal, ou se é necessária para a execução de um contrato, e quais os efeitos, se optar por não o fazer.
Nos seus diversos portais/plataformas, existem áreas e serviços que se encontram acessíveis apenas através do registo do/a utilizador/a. Conforme cada caso, são apenas solicitados e recolhidos os dados necessários para a prestação do serviço, de acordo com as indicações explícitas no portal e as opções do/a utilizador/a.
Os elementos de informação pessoal, ou outros recolhidos através do registo, destinam-se exclusivamente a uso administrativo e informático, no âmbito estrito dos serviços solicitados pelo/a utilizador/a através do portal/plataforma.
O site não recolhe dados pessoais, a menos que, voluntariamente, os forneça (Ex.: utilização do formulário de Sugestões/Reclamações, quando nos pretende dirigir um pedido de informação ou uma queixa). Qualquer informação que nos forneça por esta via, será utilizada pela CMA, apenas para a finalidade descrita.
O/A utilizador/a compromete-se a fornecer à CMA informação de registo rigorosa e completa, em particular, o endereço de correio eletrónico, e a notificar a CMA de quaisquer alterações a essas informações.
Caso o requeira, o/a titular dos dados pessoais ou os pais, representantes ou tutores, no caso de um/a visitante menor ou incapaz, tem o direito de obter o acesso, retificação ou a eliminação dos dados facultados, nos termos do disposto na legislação em vigor, mediante pedido por escrito, dirigido para um dos contactos que se encontram indicados no final deste documento.
A CMA compromete-se a implementar as seguintes medidas/regras, entre outras:
- Respeitar a legislação em vigor sobre proteção de dados pessoais e a não ceder/divulgar/partilhar, sob qualquer forma ou condição, esta informação a entidades terceiras, para fins comerciais/publicidade;
- Tratar os dados pessoais fornecidos, no âmbito da (s) finalidade (s) para a (s) qual (is) foram recolhidos, ou para finalidades compatíveis com o propósito inicial para que foram recolhidos;
- Implementar uma cultura de minimização de dados, em que apenas se recolhem, utilizam e conservam os dados pessoais estritamente necessários ao desenrolar da sua atividade e à satisfação dos interesses dos/as cidadãos/ãs;
- Adotar as medidas de segurança da informação necessárias, para garantir a salvaguarda dos dados pessoais dos/as utilizadores/as;
- Implementar os controlos (incluindo os tecnológicos), medidas administrativas e organizativas, técnicas e físicas, para garantir a segurança da informação respeitante aos dados pessoais e outros;
- Implementar procedimentos que garantam a proteção/integridade dos dados pessoais;
- Assegurar a realização de ações de formação/informação/sensibilização, a quem procede ao tratamento de dados pessoais;
- Implementar processos de monitorização, para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas, de modo a garantir a segurança do tratamento;
- Reavaliação das permissões de acesso a dados pessoais, sendo apenas dadas a quem necessita efetivamente de ter acesso aos mesmos para o desempenho das suas funções;
- Redundância de equipamentos de armazenamento, processamento e comunicação de dados pessoais, para evitar perda de disponibilidade.
Princípios do tratamento de dados pessoais:
Para efeitos do artigo 5.º do RGPD, importa referir os seguintes princípios fundamentais, relativos ao tratamento de dados pessoais:
- Licitude, lealdade e transparência: Os dados pessoais são objeto de um tratamento lícito, leal e transparente, que exigem que o/a titular dos dados seja informado/a da operação de tratamento de dados e das suas finalidades. O tratamento dos dados pessoais deve assentar numa das causas de licitude do tratamento, previstas no artigo 6.º do RGPD.
- Limitação das finalidades: Os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente, de uma forma incompatível com essas finalidades. O tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.º, n.º 1.
- Minimização dos dados: Os dados pessoais são adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados.
- Exatidão: Os dados pessoais são exatos e atualizados, sempre que necessário. Devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora.
- Limitação da conservação: Os dados pessoais são conservados de uma forma, que permita a identificação dos/as titulares dos dados, apenas durante o período estritamente necessário para as finalidades para as quais são tratados. Os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica, ou para fins estatísticos (artigo 89.º, n.º 1), sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo RGPD, a fim de salvaguardar os direitos e liberdades do/a titular dos dados.
- Integridade e confidencialidade: Os dados pessoais são tratados de uma forma, que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas e organizativas adequadas.
- Responsabilidade demonstrada: O responsável pelo tratamento é responsável pelo cumprimento do disposto nos princípios anteriores e tem de poder comprová-lo.
Licitude do tratamento
Para efeitos do artigo 6.º do RGPD, o tratamento de dados pessoais só é lícito se e, na medida em que se verifique pelo menos uma das seguintes situações:
a) O/A titular dos dados tiver dado o seu consentimento, de forma livre, informada, explícita e inequívoca, para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas.
NOTA: O consentimento exige um ato expresso e positivo. O pedido de consentimento deve ser apresentado de modo inteligível e de fácil acesso, e numa linguagem clara e simples. Não são admitidos consentimentos tácitos nem opções pré-validadas. O/A titular dos dados tem o direito de retirar o seu consentimento a qualquer momento.
b) O tratamento for necessário para a execução de um contrato, no qual o/a titular dos dados é parte, ou para diligências pré-contratuais a pedido do/a titular dos dados (Ex.: para pagar o vencimento aos/às funcionários/as, os serviços têm de dispor de dados pessoais, tais como o NIF e o número de conta bancária. Não é necessário o consentimento para o tratamento desses dados).
c) O tratamento for necessário para o cumprimento de uma obrigação jurídica/legal a que o responsável pelo tratamento esteja sujeito (Ex.: uma norma que determine que devem ser identificados todos/as os/as funcionários/as da Administração direta e indireta do Estado que tenham formação jurídica. Não é necessário o consentimento para o tratamento desses dados).
d) O tratamento for necessário para a defesa de interesses vitais do/a titular dos dados ou de outra pessoa singular.
e) O tratamento for necessário ao exercício de funções de interesse público, ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento (Ex.: uma investigação pública ou averiguações que envolvam dados pessoais).
f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do/a titular, que exijam a proteção dos dados pessoais, em especial se o/a titular for uma criança.
NOTA: a entidade pública deve documentar e identificar expressamente o fundamento da licitude do tratamento, e a finalidade a que se destina.
Finalidades do tratamento e utilização dos dados pessoais
O Município de Aveiro trata os dados pessoais para dar resposta aos seus pedidos, instruir os processos, inscrição em iniciativas/eventos do Município e/ou prestar informações, em cumprimento de obrigações legais (quando o tratamento seja necessário no âmbito do exercício das competências do Município) ou com base no consentimento do/a titular de dados, com o objetivo de melhorar ou personalizar os serviços que prestamos.
Os dados podem ser fornecidos através de requerimento, comunicação, queixa, participação, através dos diversos meios de atendimento disponibilizados – presencial, telefónico, correio, via eletrónica ou através do website e aplicações informáticas. Também recolhemos as informações que nos são fornecidas, assim como o conteúdo das mensagens enviadas (comentários, sugestões, elogios, críticas, queixas ou reclamações), de modo a analisar e responder às mesmas, numa lógica de melhoria contínua dos serviços prestados.
Sempre que seja rececionado um e-mail nos endereços institucionais da CMA, os dados pessoais que dele constem, serão tratados pelos serviços, para a prossecução do pedido.
Salvaguardamos que os dados pessoais, serão de acesso limitado às pessoas do Município que tenham necessidade de os conhecer, no exercício das suas funções e na estrita medida do necessário para a prossecução da (s) finalidade (s) para a (s) qual (is) os dados pessoais foram recolhidos, ou para finalidade (s) compatível (is) com o (s) propósito (s) inicial (is).
A CMA tratará os dados pessoais, de forma manual e/ou automatizada, tendo em conta a (s) finalidade (s) a que se destina (m) e a prestação de serviços solicitados pelo titular:
- Gestão de “clientes” / Serviço de Atendimento ao Munícipe / Prestação de serviço
A CMA dedica-se à prestação de serviços no âmbito das competências que a Lei lhe atribui. O tratamento dos dados é necessário para o cumprimento da prestação de serviços a celebrar entre titulares de dados pessoais e a CMA, ou para a realização de diligências prévias ao pedido, ou ainda para a celebração de um contrato/protocolo, entre outros.
Apenas serão solicitados os dados pessoais estritamente necessários para a finalidade em questão, a ser preenchidos nos diversos meios existentes e tendo em conta o serviço específico. A disponibilização dos dados pessoais é necessário para a prestação dos serviços municipais nos campos assinalados como “obrigatórios”. Os dados pessoais também serão tratados para responder a questões, sugestões ou reclamações.
Trataremos qualquer informação fornecida, incluindo as categorias de dados pessoais necessárias, tendo em conta a finalidade em questão. - Promoção
A CMA poderá tratar os dados para enviar informações sobre as suas atividades, eventos, notícias, serviços e outras informações, inquéritos informativos e convites por e-mail e por correio postal. Os dados pessoais que serão tratados, estão especificados nos diversos meios de recolha.
O consentimento, para o tratamento de dados pessoais para efeitos de promoção, pode ser revogado em qualquer altura. Em caso de revogação do consentimento por parte do/a titular dos dados, a CMA deixará de poder enviar mais informações de promoção ou informações baseadas no anterior consentimento. - Definição de perfis (“profiling”)
A CMA realiza a definição de perfis com base na informação relacionada com os acessos que realiza nos seus sites. O fundamento jurídico aplicável à recolha e utilização dos seus dados pessoais para os fins indicados é o seu consentimento. - Comunicação
A CMA dá relevância à transparência da informação. Para tal, usa, como forma preferencial de comunicação com o/a munícipe, o e-mail, de modo a poder notificá-lo/a sobre o estado dos seus processos/pedidos. - Videovigilância em edifícios municipais
Alguns edifícios municipais da CMA dispõem de um sistema de videovigilância, devidamente sinalizado. A instalação deste sistema é uma obrigação legal da CMA, sendo utilizado para proteção de bens e pessoas.
As gravações de imagem obtidas pelos sistemas videovigilância são conservadas, em registo codificado, pelo prazo de 30 dias contados desde a respetiva captação, findo o qual são destruídas (sem prejuízo da conservação por período superior em caso de processo judicial). - Categorias de dados pessoais que recolhemos
Os dados pessoais que são recolhidos, dependem da interação com a CMA, sendo que apenas tratamos os estritamente necessários, no âmbito das atividades desenvolvidas e no estrito cumprimento das atribuições e competências que lhe estão legalmente cometidas, e da legislação em vigor.
De referir que, alguns dos dados solicitados nos impressos/requerimentos/formulários, são de recolha obrigatória, sob pena de não ser possível prestar o serviço em causa.
Tendo em conta a tipologia de serviço a ser prestado, os dados pessoais a recolher podem incluir os seguintes, entre outros:- Identificação (Nome; Número de identificação civil/Passaporte; N.º de contribuinte/NIF);
- Contactos (Morada; Endereço de correio eletrónico/e-mail, Número de telefone/telemóvel, Endereço de correio eletrónico/e-mail institucional);
- Dados de pagamento (no caso de solicitar algum serviço que implique o pagamento de uma taxa ou de um preço, ou no âmbito da execução de um contrato, recolhemos os dados necessários para proceder ao processamento do respetivo pagamento);
- Vídeo (se visitar as instalações municipais, a sua imagem poderá ser captada pelas nossas câmaras de segurança, existentes para garantir a segurança de pessoas e bens).
- Aquando da consulta/navegação no site da Autarquia, encontrará formulários de recolha de informação com as seguintes finalidades:
- Subscrição da Newsletter: Nome; e-mail; Password;
- Espaço “Sugestões/Reclamações: Recolha dos dados necessários à comunicação e futuros contactos que sejam necessários para assegurar o melhor serviço, nomeadamente, nome, e-mail, morada e n.º de contribuinte (NIF);
- Inquéritos de avaliação da satisfação dos/as munícipes/entidades: E-mail, para envio de relatório final com os resultados. Poderão ser realizados outros inquéritos, para os quais poderão ser solicitados outros dados pessoais;
- “Serviços Online”: Nesta secção é disponibilizado atendimento autárquico on-line, onde poderá consultar informação de caráter público, e descarregar formulários/requerimentos da autarquia. A autenticação nos serviços permite aceder a um conjunto de operações, tais como, a consulta de informação relativa a processos pessoais ou submeter formulários por via eletrónica. Iremos recolher os dados pessoais necessários para dar resposta aos pedidos, proceder à instrução dos processos e outras questões, dependendo do contexto da interação com a CMA, nomeadamente: Identificação (N.º Contribuinte; Nome; N.º BI/CC; Data de validade); Contactos (Morada; Código Postal; Localidade; Distrito; Concelho; Freguesia; E-mail; Telefone/Telemóvel);
- Inscrições em eventos: Através do site, é possível efetuar a inscrição em eventos/ações/atividades a ser desenvolvidas pelos serviços. Os dados a solicitar são definidos caso a caso, tendo em conta as necessidades de informação específicas.
Dados pessoais de menores
Nesta categoria especial de dados pessoais, apenas são recolhidos e tratados aqueles que são estritamente necessários, tendo em conta o âmbito das atividades desenvolvidas, garantindo o cumprimento das tribuições e competências que estão legalmente cometidas ao Município, e da legislação aplicável em vigor.
A recolha e tratamento desta categoria de dados pessoais, que não decorra de fundamento legal ou do exercício de funções de interesse público/autoridade pública, apenas ocorrerá com o consentimento do/a detentor/a das responsabilidades parentais, representante legal, tutor/a ou encarregado/a de educação (podem exercer os direitos sobre os dados pessoais dos/as menores, em condições similares aos/às titulares dos dados).
Dados pessoais especiais
O RGPD classifica alguns dados pessoais como "categorias especiais de dados", dada a natureza mais sensível dos mesmos, em determinadas situações, nomeadamente, origem racial ou étnica do/a titular, opiniões políticas, convicções religiosas, orientação sexual ou sobre a saúde (saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde e/ou que revelem informações sobre o estado de saúde do/a titular dos dados).
Esta categoria de dados, no âmbito do RGPD, carece de uma proteção acrescida, sujeita a salvaguardas técnicas e organizativas específicas. Nesta sequência, a junção de documentos que integrem dados especiais, apenas deverá ocorrer, quando estes constem de elementos instrutórios de modelos/ requerimentos/ formulários que sejam publicitados e disponibilizados pela CMA, em domínios muito específicos da sua atuação, mormente na área de apoio social.
Conservação dos dados (Artigo 5.º, n.º 1, alínea e) e considerando 39 do RGPD)
Os dados pessoais serão conservados apenas durante o período que for necessário/adequado, no âmbito da (s) finalidade (s) para a (s) qual (ais) foram recolhidos, conforme regulamentação comunitária e legislação nacional, nomeadamente, deliberações das autoridades de controlo de proteção de dados europeus (neste caso, a CNPD) e o Regulamento Arquivístico para as Autarquias Locais (Portaria n.º 412/2001, de 17 de abril, alterada pela Portaria n.º 1253/2009, de 14 de outubro).
O período de conservação dos dados pode ser alterado de forma significativa, quando estejam em causa fins de arquivo de interesse público, motivos históricos, científicos ou estatísticos, comprometendo-se a CMA a adotar as medidas de conservação e segurança necessárias.
Com quem partilhamos os dados
A CMA poderá transmitir os dados recolhidos a entidades subcontratantes para os efeitos acima referidos, nos termos de contratos celebrados com essas entidades. São fornecidos, a estes subcontratantes, apenas os dados pessoais necessários para a prestação do serviço em causa (por exemplo, funcionamento e manutenção de aplicações informáticas/site), ficando obrigados a guardar sigilo e a garantir a segurança relativamente aos dados a que, para o efeito, tenham acesso, não devendo utilizar os mesmos para quaisquer outros fins, ou em benefício próprio, nem relacionálos com outros dados que possuam.
A CMA apenas recorre a subcontratantes que garantam a implementação de medidas técnicas e organizativas adequadas à proteção dos dados, assegurando a defesa dos direitos dos/as titulares dos dados à luz da lei de proteção de dados aplicável.
Adicionalmente, os dados pessoais poderão ser disponibilizados às autoridades competentes, no estrito cumprimento do disposto na Lei (por exemplo, às autoridades judiciárias) ou no exercício de funções de interesse público/autoridade pública cometidas à CMA, no estrito cumprimento de obrigações legais ou com o seu consentimento.
Não transmitimos, vendemos ou trocamos os dados pessoais com terceiros, fora da CMA, para fins comerciais ou de publicidade.
Transferência internacional de dados
Os dados serão tratados dentro do espaço nacional, pelo que a CMA não tenciona transferir dados pessoais para países terceiros ou para uma organização internacional. Se tal vier a ser necessário, a CMA tomará as devidas diligências, no sentido de assegurar que a proteção das pessoas singulares não é comprometida, garantindo a aplicação da legislação relativa a proteção de dados pessoais, aplicável em Portugal.
Alterações à Política de Privacidade e Tratamento de Dados
A CMA poderá ter necessidade de alterar/atualizar a sua Política de Privacidade e Tratamento de Dados a qualquer momento. Estas alterações serão devidamente publicitadas no site https://www.cm-aveiro.pt e nos edifícios municipais da CMA, onde se encontrará sempre a versão mais recente. Caso as alterações tenham um impacto substancial nos seus direitos e liberdades, a CMA notificá-lo-á dessas alterações através dos dados de contacto que nos tenha disponibilizado.
Solicitamos-lhe que reveja periodicamente este documento para se manter atualizado.