Resposta
As administrações públicas estão sujeitas às regras do RGPD sempre que efetuam o tratamento de dados pessoais relacionados com um indivíduo. Cabe às administrações públicas nacionais a responsabilidade de prestar apoio às administrações regionais e locais na preparação para a aplicação do RGPD.
A maior parte dos dados pessoais detidos pela administração pública são habitualmente tratados com base numa obrigação jurídica ou na medida do necessário para realizar tarefas por motivos de interesse público ou no exercício de autoridade pública de que está investida.
Aquando do tratamento dos dados pessoais, as administrações públicas devem respeitar os princípios fundamentais, nomeadamente:
- tratamento equitativo e lícito;
- limitação da finalidade;
- minimização dos dados e conservação dos dados.
Caso os dados sejam tratados com base no disposto na lei, tais disposições devem já assegurar o respeito destes princípios (p. ex., os tipos de dados, o período de conservação e as medidas de salvaguarda adequadas).
Antes de efetuar o tratamento de dados pessoais, os indivíduos devem ser informados sobre o tratamento, nomeadamente as respetivas finalidades, os tipos de dados recolhidos, os destinatários dos dados e os seus direitos em matéria de proteção de dados.
As administrações públicas têm a obrigação de nomear um encarregado da proteção de dados(EPD), embora seja possível nomear um único encarregado da proteção de dados para vários organismos públicos, que poderão assim partilhar os seus serviços ou subcontratar esta tarefa a um EPD externo. Também devem garantir que foram aplicadas medidas técnicas e organizativas adequadas para proteger os dados pessoais. Se forem subcontratadas partes do tratamento a uma organização externa («subcontratante»), tem de existir um contrato ou outro ato jurídico que garanta que o subcontratante apresenta garantias suficientes da aplicação de medidas técnicas e organizativas adequadas que cumpram as normas do RGPD.
Caso os dados pessoais detidos sejam divulgados acidental ou ilicitamente a destinatários não autorizados, fiquem temporariamente indisponíveis ou sejam alterados, a violação deve ser notificada à autoridade de proteção de dados (APD) sem demora injustificada e, o mais tardar, no prazo de 72 horas após ter tido conhecimento do ocorrido. As administrações públicas também podem ter de informar os indivíduos sobre a violação de dados.
Pode obter mais informações sobre as obrigações das administrações públicas nos termos do RGPD na secção ‘Empresas e organizações’.