O RGPD impõe às autarquias locais a designação obrigatória de Encarregado da Proteção de Dados (DPO), o registo de actividades de tratamento, a realização de avaliações de impacto, a notificação de violações à CNPD em 72 horas e a garantia dos direitos dos titulares. O DPO Municipal é a peça central do programa de conformidade RGPD do município, articulando câmara, juntas de freguesia, empresas municipais e serviços municipalizados.
As autarquias locais são dos maiores responsáveis pelo tratamento de dados pessoais em Portugal. Uma câmara municipal típica trata dados de munícipes em dezenas de contextos: registo civil, acção social, urbanismo, taxas e licenças, gestão de pessoal, videovigilância de espaços públicos, recolha selectiva, gestão de reclamações e atendimento ao público. As juntas de freguesia, as empresas municipais e os serviços municipalizados multiplicam este universo de tratamentos.
O artigo 37.º do RGPD impõe a todas as entidades públicas a designação obrigatória de um Encarregado da Proteção de Dados (DPO). Nas autarquias, esta obrigação aplica-se individualmente à câmara municipal, a cada junta de freguesia e a cada empresa municipal — gerando um desafio de escala que o modelo de DPO partilhado visa resolver, conforme expressamente admitido pelo artigo 37.º, n.º 3, do RGPD.
A articulação entre o DPO e o CISO (responsável de cibersegurança) é essencial com a entrada em vigor da NIS2. O programa de conformidade municipal coordena ambas as funções, evitando sobreposições e garantindo que a notificação à CNPD (RGPD) e ao CNCS (NIS2) sejam articuladas — conforme detalhado em cibersegurancamunicipal.pt.
O DPO Municipal é a função-chave da conformidade RGPD nas autarquias locais. Obrigatório para toda a administração pública, o DPO pode ser interno ou externalizado, individual ou partilhado entre entidades do mesmo ecossistema autárquico.
O RGPD impõe às autarquias um conjunto abrangente de obrigações que se estendem a toda a actividade municipal.
Os municípios realizam tratamentos com características únicas que exigem bases legais, políticas e AIPD específicas.
| Tratamento | Departamento | Base Legal | AIPD |
|---|---|---|---|
| Atendimento ao munícipe e requerimentos | Gabinete do Munícipe | Missão de interesse público | Recomendada |
| Urbanismo — licenciamento e fiscalização | Urbanismo | Obrigação legal (RJUE) | Recomendada |
| Acção social — apoios, habitação, RSI | Acção Social | Interesse público + dados sensíveis | Obrigatória |
| Videovigilância de espaços públicos | Segurança / PM | Lei 95/2021 + interesse público | Obrigatória |
| Gestão de pessoal e recursos humanos | Recursos Humanos | Contrato + obrigação legal | Recomendada |
| Facturação de água e saneamento | SMAS | Execução de contrato | Recomendada |
| Contadores inteligentes / smart metering | SMAS / Empresa Municipal | Interesse público + consentimento | Obrigatória |
| Orçamento participativo | Participação Cidadã | Consentimento + interesse público | Recomendada |
| Geolocalização de viaturas municipais | Frota / Ambiente | Interesse legítimo + AIPD | Obrigatória |
| Recenseamento eleitoral | Freguesias | Obrigação legal | Recomendada |
Serviços especializados para municípios, juntas de freguesia, empresas municipais e serviços municipalizados.
A proteção de dados municipal articula-se com todos os domínios do ecossistema autárquico e do vector V01.
Sim. O artigo 37.º, n.º 1, alínea a), do RGPD estabelece que a designação de DPO é obrigatória sempre que o tratamento for efectuado por uma autoridade ou organismo público. As câmaras municipais, enquanto órgãos da administração local, estão inequivocamente abrangidas por esta obrigação, independentemente da sua dimensão ou número de habitantes. O DPO pode ser interno (funcionário municipal) ou externo (prestador de serviços), conforme o artigo 37.º, n.º 6.
Sim, cada junta de freguesia é uma entidade pública autónoma e, como tal, está sujeita à obrigação de DPO. No entanto, o artigo 37.º, n.º 3, do RGPD permite expressamente que um único DPO seja designado para várias entidades públicas, tendo em conta a sua estrutura e dimensão. O modelo de DPO partilhado câmara-freguesias é a solução mais eficiente para garantir conformidade com economias de escala — um DPO único para a câmara e todas as juntas do concelho.
Sim. O artigo 37.º, n.º 6, do RGPD permite que o DPO exerça funções «com base num contrato de prestação de serviços». O DPO externo deve possuir conhecimentos especializados no domínio do direito e das práticas de proteção de dados e capacidade para desempenhar as funções previstas no artigo 39.º. Deve ter acesso directo à direcção, não pode receber instruções sobre o exercício das suas funções e beneficia de protecção contra destituição ou penalizações. No modelo DPO-as-a-Service, a entidade prestadora designa um profissional qualificado que actua como DPO com todas as garantias legais.
O município deve notificar a CNPD em 72 horas após tomar conhecimento da violação (artigo 33.º RGPD). Se a violação representar elevado risco para os munícipes, deve também comunicar directamente aos titulares afectados (artigo 34.º). Se o incidente tiver dimensão de cibersegurança, deve adicionalmente notificar o CNCS em 24 horas nos termos da NIS2 — conforme detalhado em cibersegurancamunicipal.pt. O DPO e o CISO devem actuar articuladamente neste procedimento duplo.
A Lei 58/2019 (lei de execução do RGPD) prevê um regime especial para entidades públicas. A CNPD pode efectivamente fiscalizar e sancionar autarquias, embora o regime sancionatório para entidades públicas tenha especificidades. Na prática, a CNPD tem emitido recomendações e advertências a autarquias por incumprimentos como a ausência de DPO, a falta de AIPD para videovigilância ou a insuficiência dos avisos de privacidade. A responsabilidade política dos dirigentes e o risco reputacional são frequentemente mais relevantes do que as sanções financeiras.
O RGPD é uma das dimensões centrais do programa integrado de conformidade municipal. O DPO Municipal articula-se com o CISO (NIS2), com o responsável do RGPC (prevenção da corrupção) e com as funções de contratação pública (CCP). Esta articulação evita sobreposições — por exemplo, o contrato com um fornecedor de TI deve contemplar simultaneamente as cláusulas de subcontratação RGPD (art. 28.º), as cláusulas de cibersegurança (NIS2) e as regras de contratação pública. O mapa de compliance unificado permite ao município ter uma visão completa de todas as obrigações.
Solicite uma proposta de DPO-as-a-Service, DPO partilhado câmara-freguesias, auditoria RGPD, AIPD ou formação em proteção de dados para a sua autarquia.