CNPD (Portugal) - Deliberação 2022/140

From GDPRhub
Revision as of 14:46, 19 December 2022 by Kv (talk | contribs)
CNPD - Deliberação 2022/140
LogoPT.png
Authority: CNPD (Portugal)
Jurisdiction: Portugal
Relevant Law: Article 5(1)(e) GDPR
Article 5(1)(f) GDPR
Article 13(1) GDPR
Article 13(2) GDPR
Article 37(1) GDPR
Article 37(7) GDPR
Type: Investigation
Outcome: Violation Found
Started:
Decided: 02.11.2022
Published:
Fine: 170000 EUR
Parties: Município de Setúbal
National Case Number/Name: Deliberação 2022/140
European Case Law Identifier: n/a
Appeal: n/a
Original Language(s): Portuguese
Original Source: CNPD (in PT)
Initial Contributor: Carmen Villarroel

The Portuguese DPA reprimanded and fined the municipality of Setubal €170,000 for violations of the integrity and confidentiality principle, the storage limitation principle, the information obligations from Article 13 GDPR and for not appointing a DPO with regard to the collection of personal data of Ukrainian refugees.

English Summary

Facts

The Portuguese DPA (CNPD) started an investigation into the Municipality of Setubal (controller) after a journalistic article from Expresso titled was published titled 'Ukrainians welcomed in CDU Chamber by Pro-Putin Russians' ("Ucranianos recebidos em Câmara CDU por russos Pró-Putin"). This Article contained anonamous testemonies of Ukrainian refugees. According to the Article, Russian citizens had collected and made copies of Ukrainian refugees' personal data (identification documents, data related to their Ukrainian relatives or their activity in Ukraine) in the framework of a Municipal Refugee Helpline (LIMAR) created in March 2022. These Russian citizens were part of an Eastern European Immigrants' Association (EDINSTVO). These Russian citizens were accused in the article of sharing such data with the Russian Government.

Two members of the EDINSTVO were integrated by the controller into the Setúbal Office of Ethnicities and Immigration (SEI) in order to provide assistance, counselling and help to the refugees that would make use of the Helpline. The Helpline used two rooms of a controller's building in order to offer their services. They used two forms in order to collect the data from refugees seeking attendance:

  • presential form,
  • phone form.

Using these forms, the following personal data was collected: name, address, date of birth, marital status, contacts, household, information on identification documents, on the support network (identifying the places and people they might stay with and their respective households), information on the period they might stay with the people in that support network and identification of the needs of those people in terms of housing, essential goods, food, health, education, child care facilities, employment, social services, among others, in addition to describing the specific situation.

Furthermore, refugees were also offered to sign up for Portuguese courses, for which they needed to provide a copy of an identification document.

Presential forms were handwritten and were stored in a cabinet. All the personal data was later included in an Excel file protected by a password. Additionally, forms were accompanied by a declaration of consent, which included a sentence to 'authorise that the data records collected may be shared with other services or entities for the purpose of to specific responses or to provide social support adjusted to the situation adjusted to the situation, with the guarantees of privacy and non-discrimination'.

In this context, one of the Russian citizens, who acted as a translator, was on medical leave for some time. This person was informally substituted by her husband. This change was not documented or formalized in any way. This husband helped collect and copy personal data and documents from various refugees and acted as a translator. The translator had giver her husband her credentials to access the systems used at the Helpline.

Holding

Violation of Article 5(1)(f) GDPR

The DPA found that the controller had violated the integrity and confidentiality principle from Article 5(1)(f) GDPR by not defining organisational measures for safeguarding information, policies or guidelines for the secure management of information, nor did determine a procedure, together with the Eastern European Immigrants' Association, that would regulate access and handling of the processed data.

In this sense, it was found that there were no policies or guidelines for the secure management of information and personal data, and that the employees of the controller were not informed about the procedures in this regard. The exception to the non-existence of these policies and/or guidelines was an e-mail from the IT Division on the security of computer access passwords, email and internet.

The integrity and confidentiality principle was also breached by allowing people outside the municipal services to access computer equipment used for processing personal data without a specific access profile, as well as by granting them access to information of refugees supported through the Helpline, that was transported outside the premises of the Municipality without previously arranging any formal commitment and without defining any guidance on the management and security of the data.

This principle was also breached by using Excel files for the management and storage of information relating to a group of vulnerable parties (refugees), files that do not contain audit records, not allowing one to know who accessed them, when and what operations were carried out. The fact that the excel files were password protected did not mitigate this fact.

Violation of Article 5(1)(e) GDPR

The DPA found that the periods for which the personal data were to be stored and conserved had not been defined, nor the criteria for establishing such periods. Therefore, this constituted a violation of the storage limitation principle (Article 5(1)(e) GDPR).

Violation of Article 13 GDPR

Also, regarding the declaration of consent with the forms, no information was provided to the data subjects about the identity of the controller, the purposes of the processing, the recipients or categories of recipients, the rights of the data subjects, or the right to lodge a complaint with a supervisory authority. The DPA remarked that an informed consent had been obtained when collecting the data, and that there was no reason not to use it to provide the mandatory information.

Also, the DPA noted that, at least, the entities that were involved in this procedure were known to the controller, so they could have been mentioned to the data subjects, together with their data protection rights available. Lastly, the DPA highlighted that the only reference made to data protection legislation was obsolete.

Hence, the DPA concluded that the controller violated Article 13 GDPR.

Violation of Article 37 GDPR

The DPA also found that the controller had not appointed a DPO as required by Article 37 GDPR, and hence this provision had been breached.

A DPO was appointed after the start of this procedure, on 22 September 2022.

Violation of Article 35 GDPR

The CNPD also found that no data protection impact assessment (DPIA) had been carried out in order to analyse the processing of personal data in this context, which was required when processing data of vulnerable data subjects, according to the EDPB Guidelines on Data Protection Impact Assessment (p. 12). However, the DPA did not specify that Article 25 GDPR had been breached.

Sanction

The DPA acknowledged that this was an emergency situation and that this could mitigate the degree of gravity of the infringement with regard to some elements such as part of the information obligation from Articles 13(1) and 13(2) GDPR, as well as the storage limitation obligations.

However, the CNPD also remarked that some other violations constituted proof of structural incompliance and were therefore of more gravity. Also, according to the DPA, the Helpline project had been discussed within the Setúbal Local Council for Social Action (CLASS), and therefore important matters such as the fundamental right to privacy and data protection from vulnerable people such as refugees should have also been discussed, despite the urgency.

For the above violations, the CNPD imposed the Municipality of Setubal the following sanctions:

The two fines were nonetheless accumulated together, following Portuguese legal principles, and resulted in an only fine of €170.000

Comment

Additionally, an investigation on this matter was carried out by the judicial police. [Source]

Further Resources

Share blogs or news articles here!

English Machine Translation of the Decision

The decision below is a machine translation of the Portuguese original. Please refer to the Portuguese original for more details.

Processo AVG/2022/71211
p
Comissão Nacional
de Proteção de Dados
DELIBERAÇÃO/2022/1040
1. A Comissão Nacional de Proteção de Dados (CNPD) elaborou, em 14 de setembro de 2022,
projeto de deliberação, no qual foi imputada ao arguido Município de Setúbal, a prática, em
autoria material, na forma consumada e com negligência,
i. de uma contraordenação, p. e p. pela alínea f) do n. 0 1 do artigo 5. 0
, conjugada com a alínea
a) do n. 0 5 do artigo 83. º, ambos do RGPD, sancionadas com coima, até ao montante máximo
de€ 20.000.000,00, cada;
ii. de uma contraordenação, p. e p. pela alínea e) do n.0 1 do artigo 5. 0
, conjugada com a alínea
a) do n. 0 5 do artigo 83. º, ambos do RGPD, sancionadas com coima, até ao montante máximo
de€ 20.000.000,00, cada;
iii. de uma contraordenação, p. e p. pelos n.ºs 1 e 2 do artigo 13.º, conjugado com alínea b) do
n. 0 5 do artigo 83. 0
, ambos do RGPD, sancionada com coima, até ao montante máximo de€
20.000.000,00;
iv. de uma contraordenação, p. e p. pelos n.ºs 1 e 7 do artigo 37.º do RGPD, conjugados com a
alínea a) do n. 0 4 do artigo 83. 0
, ambos do RGPD, sancionada com coima, até ao montante
máximo de€ 10.000.000,00; e
2. Notificado o arguido do teor do referido projeto e, nos termos do disposto no artigo 50. 0 do
Decreto-Lei n. 0 433/82, de 27 de outubro, para apresentar a sua defesa, veio, através de Ilustre
Mandatário alegar, em suma:
a) O despropósito do Projeto de Deliberação, alicerçado, segundo o Arguido, numa "miscelânea
fática, jurídica e noticiosa" e no qual é ininteligível "a ligação entre um conjunto expressivo
de factos e o âmbito normativo das sanções indicadas como potencialmente aplicáveis;
b) A invalidade do procedimento, por violação de um direito substancial: artigo 39. 0
, n.0 3 da
LERGPD;
c) A invalidade da desaplicação do disposto nos artigos 37. 0
, n. 0 2 e 39. 0
, n. 0 1 da LERGPD;
d) A existência de erros e incompletudes na matéria de facto ponderada;
e) A necessidade de levar em conta factos relevantes que se não encontravam vertidos no
projeto de deliberação.
Av. D. Carlos 1, 134, 1 °
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd.pt
Processo AVG/2022/712 , 1v r
f) Requereu, ainda, a dispensa da aplicação de coima nos termos do n. 0 3 do artigo 44. 0 da Lei
n. 0 58/2019, de 8 de agosto.
3. O arguido não negou, não contradisse, nem sequer contrariou qualquer elemento do projeto
de deliberação quanto à inexistência de designação do encarregado da proteção de dados do
Município, à data dos factos.
4. Ademais, o arguido protestou juntar 19 (dezanove) documentos, o que, até à presente data,
não ocorreu.
1. Sobre o pedido de dispensa da aplicação de coima
5. O arguido requereu a dispensa de aplicação de coimas, nos termos do n. 0 3 do artigo 44. 0 da
Lei n. 0 58/2019, de 8 de agosto. Ora, o n. 0 2 daquele artigo 44. 0 define o prazo de "três anos a
contar da entrada em vigor da presente lei" como o período de tempo durante o qual as
entidades públicas têm a faculdade de solicitar a dispensa de coima, pelo que aquela norma
deixou de produzir efeitos no passado dia 9 de agosto.
6. Como argumento para sustentar a manutenção da prerrogativa supradescrita, apontou "a
suspensão, e ulterior prorrogação, dos prazos operada pela vulgarmente designada legislação
COVID-19".
7. Competiria ao arguido melhor densificar em que medida a legislação aprovada durante a
pandemia pode ter-se por habilitadora da conclusão oferecida. Não se vê como possa um prazo
fixado objetivamente para que vigore uma prerrogativa de caráter excecional das entidades
públicas, no concreto contexto de um processo contraordenacional em que a sua hipotética
condenação ao pagamento de uma coima se configure como possível, seja alargável a um
momento em que esse processo redunde numa nota de ilicitude e esteja já ultrapassado o prazo
previsto na lei para o exercício dessa prerrogativa.
8. Note-se que a ratio das prorrogações incluídas no conjunto de legislação que o arguido
apelida de "legislação COVID", foram instituídas justamente para fazer face a constrangimentos
decorrentes do contexto pandémico, algo que manifestamente não é aplicável ao presente
processo, o qual nem direta nem indiretamente se viu afetado pela pandemia.
Processo AVG/2022/712 j 2
í
Comissão Nacional
de Proteção de Dados
9. Ainda que outro fosse o entendimento quando à impossibilidade de, no momento presente,
aplicar o regime vertido no n. 0 2 do artigo 44. 0 da LEGPD, a CNPD interpreta o regime aí previsto
no sentido de este lhe conferir um poder discricionário de apreciar, perante a concreta infração,
se se justificaria afastar a regra geral de aplicação de uma sanção pecuniária a um determinado
organismo público, enquanto responsável pelo tratamento (ou a um subcontratante), tendo em
conta os diferentes interesses e direitos em presença.
1 O. Ora, tendo em consideração a gravidade das infrações, a ponderação dos direitos dos
titulares de dados e os interesses públicos que as normas legais violadas procuram acautelar,
como abaixo se fundamentará, a decisão da CNPD sempre seria de não dispensa de coima
neste caso concreto.
11. Deste modo, qualquer dos argumentos acima explicitados comungam na decisão de não
dispensa de coima.
li. Apreciação
i. Quanto ao alegado despropósito do Projeto de Deliberação
12. Ao contrário do que o arguido afirma, o presente processo contraordenacional não é
marcado pelo mediatismo que inegavelmente rodeou todas as questões que com ele se
conexionam.
13. O mero facto de se tratar de matéria a que os órgãos de comunicação social dedicaram uma
extensa e intensa atenção não condicionou nem potenciou qualquer valoração fáctica que a
CNPD veio a expressar no Projeto de Deliberação.
14. De resto, as referências que se dedicam à circunstância de os meios de comunicação social
terem dado eco público da matéria existem apenas para enquadrar o impulso que levou à
abertura do processo de averiguações, uma vez que a "notícia" da potencial violação de normas
do RGPD foi dada a conhecer nesses mesmos meios de comunicação social.
15. Os factos constantes do projeto de deliberação fornecem o contexto básico que permite ao
arguido perceber o sentido e alcance da atuação da CNPD, ainda que parte deles sirvam para
excluir o que não é nem pode ser objeto de pronúncia por parte da autoridade de controlo
nacional em matéria de proteção de dados.
Av. D. Carlos 1, 134, 1 °
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd.pt
www.cnpd.pt
Processo AVG/2022/712 1 2v
16. A análise subjetiva do arguido não tem, por isso, respaldo no contexto dos factos dados
como assentes e nas imputações que lhe são atribuídas, as quais se remetem exclusivamente
às violações que, após devida investigação, se apuraram.
17. Por essa razão, jamais as referências ao cidadão - às suas condutas e
comportamentos são enfermadas por qualquer menção à sua cidadania russa, mas antes se
estribam na factualidade obtida das averiguações levadas a cabo durante a instrução do
processo.
ii. Quanto à invalidade do procedimento, por violação de um direito substancial:
artigo 39. 0 , n.0 3 e, bem assim, do 37.0
, n.0 2 e 39.0
, n.0 1 da LERGPD
18. Conitesta o Arguido que a CNPD possa afastar a aplicação do artigo 39.º, n. 0 3 da Lei n. 0
58/2019, de 8 de agosto, porquanto tal norma configura um direito substancial que não pode
ser afastado pela CNPD.
19. Trata-se de um entendimento jur/dico distinto do da Comissão e que, como repetidamente
explicado, não pode colher.
20. Com efeito, o Regulamento (UE) 2016/6 79, de 27 de abril de 2016 - Regulamento Geral
sobre a Proteção de Dados (RGPD), como qualquer regulamento emanado da União Europeia,
tem caréter geral. É obrigatório em todos os seus elementos e diretamente aplicável em todos os
Estados-Membros. (artigo 288. 0 do Tratado sobre o Funcionamento da União Europeia).
21. Não podendo tais características primaciais dos regulamentos ser afastadas pela legislação
nacional, como o refere a jurisprudência constante do Tribunal de Justiça da União Europeia e
que con1sta da Del iberação 2019/494 da CNPD.
22. Recentemente, o Tribunal Constitucional, no acórdão n.0 422/2020, de 15 de julho, aclarou
qualquer dúvida que pudesse restar sobre os limites (ou falta deles) de aplicação do princípio
do primado do Direito da UE, assim decidindo "Nos termos do artigo 8. 0
, n. 0 4, da CRP, o Tribunal
Constitucional só pode apreciar e recusar aplicação a uma norma de DUE, caso a mesma seja
incompatível com um princípio fundamental do Estado de direito democrático que, no âmbito
próprio do DUE - incluindo, portanto, a jurisprudência do T JUE -, não goze de valor paramétrico
materialmente equivalente ao que lhe é reconhecido na Constituição, já que um tal princípio se
impõe necessariamente à própria convenção do "{...] exercício, em comum, em cooperação ou
Processo AVG/2022/712 1 3 1
Comissão Nacional
de Proteção de Dados
pelas instituições da União, dos poderes necessários à construção e aprofundamento da União
Europeia". Ao invés, sempre que esteja em causa a apreciação de uma norma de OUE à luz de um
princípio (fundamental) do Estado de direito democrático que, no âmbito do DUE, goze de um
valor paramétrico materialmente equivalente ao que lhe é reconhecido na Constituição
portuguesa, funciona/mente assegurado pelo T JUE (segundo os meios contenciosos previstos no
DUE), o Tribunal Constitucional abstém-se de apreciar a compatibilidade daquela norma com a
Constituição."
23. A CNPD entende que, em matéria de aplicabilidade do RGPD e, designadamente, de
aplicabilidade direta do seu regime sancionatório, os princípios existentes no âmbito do DUE,
gozam de um valor paramétrico materialmente equivalente ao que lhe é reconhecido na
Constituição portuguesa.
24. Como nota Paulo Pinto de Albuquerque (no seu "Comentário do Regime Geral das
Contraordenações à luz da Constituição da República e da Convenção Europeia dos Direitos do
Homem"), "De acordo com a jurisprudência do T JUE, os direitos fundamentais do visado num
processo sancionatório da ordem jurídica da União Europeia são: (1) o direito uma audiência
diante da autoridade administrativa; (2) o direito à não-auto-inculpação, (3) o direito à
fundamentação das decisões, (4) o direito de acesso a documentos, (5) o direito à
representação legal, que inclui o direito à confidencialidade da comunicação entre o advogado
e o cliente, e (6) o direito de acesso a um tribunal independente e imparcial num tempo razoável"
(cf. nota 28 ao artigo 1.0).
25. Direitos esses que "podem ser invocados não só diante das instâncias judiciais europeias,
mas também diante das instâncias judiciais nacionais, quando estas tenham competência para
aplicar a lei da União Europeia ... " (cf. nota 31 ibidem).
26. O que o arguido parece advogar não é tanto a compatibilidade do normativo nacional com
o previsto no RGPD, mas antes a prioridade de um regime interno que efetivamente afasta o
direito da UE, criando um passo prévio à sua aplicação, nunca pretendido ou autorizado pelo
legislador europeu.
27. Ora, considerar que uma condição que a lei nacional impõe como indispensável à aplicação
do direito da UE (através de um regulamento que, como se disse, é obrigatório em todos os seus
Av. O. Carlos 1, 134, 1 °
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd.pt
www.cnpd.pt
Processo AVG/2022/7121 3v (
elementos e diretamente aplicável em todos os Estados-membros) não cria um espaço de
desconformidade e desigualdade na aplicação desse regime nos vários países da União, não
pode ser tido como um argumento pertinente.
28. Acolher este argumentário significaria permitir que qualquer país da UE pudesse criar
regimes semelhantes, para qualquer regulamento da União, obstando à sua aplicabilidade
direta.
29. Ao apontar para a existência de um direito substancial que a si é negado, o Arguido remetenos
justamente para o campo de aplicação do direito da UE, para a consideração dos efeitos do
princípio do primado e para o campo de aplicação da mais recente jurisprudência constitucional,
que, como vimos, não cauciona a sua interpretação.
30. No mais, remete-se para o conteúdo da Deliberação 2019/ 494 da CNPD, em especial sobre
a vinculação desta Comissão ao princípio da cooperação leal, previsto no n. 0 3 do artigo 4. 0 do
Tratado da União Europeia,
31. bem como sobre a manifesta desadequação desta norma em confronto com o mecanismo
de coerência previsto no RGPD e, ainda,
32. sobre o facto de também as entidades administrativas estarem obrigadas a desaplicar
normas nacionais que contrariem o direito da União Europeia.
33. Lembre-se que todos estes princípios se encontram expressamente previstos nos Tratados.
34. E que a deliberação 2019/494 da CNPD foi publicada justamente com o intuito de precaver
os visados pela legislação nacional, por forma a incrementar a segurança jurídica quanto às
decisões que viessem a ser proferidas.
35. Para além de que, em processos concretos, com decisão final e publicamente disponíveis
( cf. https://www. cn pd. pt/ comu n i caca o-pu b I ica/noti ci as/ cnpd-a p I ica-sa n cao-ao-mu n ici pio-de-
1 i sboa/) a CNPD reafirmou esse entendimento.
36. Sendo, ainda, evidente que o argumento segundo o qual a CNPD "aniquilou um direito" não
pode ter-se por admissível, porquanto tal direito (a sê-lo) nunca existiu.
Processo AVG/2022/712 1 4
Comissão Nacional
de Proteção de Dados
37. E é, por todo o exposto, incompreensível a imputação de que a CNPD "nada faz para que os
mecanismos do primado, destinados a assegurar a modificação do regime (caso seja devida),
com respeito pelas regras da segurança jurídica, sejam acionados".
38. Sobre a desaplicação do n. 0 2 do artigo 37. 0 e n. 0 2 do 39. 0
, valem igualmente os argumentos
acima expostos e o que consta do ponto 5 da Deliberação 2019/494 já citada.
iii. Quanto à existência de erros e incompletudes na matéria de facto ponderada
39. Não se compreende a alegação de qualquer insuficiência instrutória por parte da CNPD.
40. Com efeito, e como ensina Augusto Silva Dias "A instrução começa com uma investigação
dirigida à recolha de prova, mas não é necessário que assim seja" (in Direito das Contraordenações,
editora Almedina, reimpressão, 2020, p. 215).
41. De todo o modo, a CNPD não só procedeu à instrução do processo, colhendo os elementos
necessários à tomada de decisão, como procedeu a diligências de investigação.
42. De resto, os relatórios juntos ao processo dão boa nota disso mesmo e os elementos de
prova referidos no projeto de deliberação confirmam essa preocupação.
43. Em nenhum momento se negou ou postergou qualquer elemento factual que abonasse em
favor do Município.
44. Sendo que cabe, em sede de decisão final, ponderar devidamente todos esses elementos e
circunstancialismos, o que se fará nas partes V e VI desta deliberação.
45. Recorde-se, novamente citando Augusto Silva Dias, que "a nota de ilicitude não constitui
ainda a decisão final da autoridade administrativa" se bem que ela "procede, todavia, a uma
certa delimitação do objeto do processo na fase administrativa" (p. 225 da ob. cit.).
46. Ora, os elementos que devem impreterivelmente ser dados a conhecer ao arguido são os já
sobejamente conhecidos e jurisprudencialmente fixados: "comunicação dos factos imputados
com a "descrição sequencial, narrativamente orientada e espácio-temporalmente
circunstanciada, dos elementos imprescindíveis à singularização do comportamento contraordenacionalmente
relevante e essa descrição deve contemplar a caracterização objetiva e
Av. D. Carlos 1, 134, 1 °
1200-651 Lisboa
T (+351) 213 928 400
F (+351)213 976832
geral@cnpd.pt
www.cnpd.pt
Processo AVG/2022/712 1 4v
subjetiva, da ação ou omissão de cuja imputação se trate (acórdão do TC n.0 99/2009). Dito na
fórmula utilizada pelo assento do STE n. 0 1 /2003, os direitos de defesa e audiência assegurados
no âmbito do processo contra-ordenacional implicarão, em síntese, que ao arguido seja dada
previamente a conhecer "a totalidade dos aspetos relevantes para a decisão, nas matérias de
facto e de direito"." (nota 4 ao artigo 50. 0
, da obra já citada de Paulo Pinto de Albuquerque}.
47. O que, s.m.o., foi concretizado no projeto de deliberação.
48. Já quanto à alegação de que a CNPD desconsiderou a "natureza colaborativa da intervenção
pública no Município", bem como "a delegação de tarefas e a existência de uma contratualização
interadrninistrativa (ainda que não formalizada), em que a tarefa do Município, sobretudo no que
respeita à recolha de dados era, essencialmente, uma tarefa instrumental (paralela ou
propedéutica) da intervenção, absolutamente necessária, de outras entidades públicas •
convirá precisar os termos da censura que a CNPD crê ser devida ao Município.
49. Não se trata de desconsiderar qualquer grau de interadministratividade ou atuação conJunta
com oui tras entidades públicas e, relembre-se, privadas, com quem a Câmara Municipal de
Setúbal entendeu promover ações colaborativas.
50. O que merece censura é a atuação do Município, enquanto responsável pelo tratamento, na
estrita medida das suas responsabilidades, onde se inclui, como é de lei, a de prestação das
informações essenciais sobre o tratamento.
51. É que o próprio Município desenvolveu, através da LIMAR, formulários próprios de
atendimento que lhe cabiam conservar e gerir autonomamente.
52. Também a intervenção de - não é censurada enquanto membro da associação
com a qual o Município estabeleceu a parceria, mas antes pelo facto de essa parceria não ter
sido devidamente formalizada por forma a enquadrar a sua participação no contexto da LIMAR.
53. De resto, importa esclarecer o arguido que o facto de se estabelecer uma parceria com uma
entidad1e terceira não significa automaticamente que ela deixe de se ter por terceira. A sua
qualificação dependerá do grau e função da sua atuação em matéria de tratamento de dados
pessoais.
Processo AVG/2022/712 j 5 r
Comissão Nacional
de Proteção de Dados
54. O que é, então, censurável é que não existam os cuidados mínimos exigíveis, quer do ponto
de vista formal - com o acordo ou contrato de subcontratação -, quer do ponto de vista
substantivo, com a implementação de medidas mínimas de controlo do acesso de pessoas
estranhas aos serviços do Município a equipamentos contendo dados pessoais.
55. Sobretudo quando esses dados se reportam a titulares de dados especialmente vulneráveis
como o são os refugiados.
56. A CNPD não se pronunciou sobre o número e qualidade de dados que os refugiados teriam
de prestar para obter apoio, pelo que se torna redundante defender, como faz o arguido, que
essa informação era imprescindível.
57. Note-se que o arguido nunca nega ou justifica o porquê de se terem utilizado ficheiros exce/
para a gestão e conservação da informação pessoal dos refugiados que acorriam à LIMAR.
58. Já quanto à existência de formação, admite-se o que vem alegado pelo arguido nos pontos
106 a 109, onde se detalham as duas formações ministradas (se bem que reduzidas), o público
alvo (se bem que imitado), a sua duração e data de ocorrência, ainda que os documentos
comprovativos dessas formações não tenham, até à data, dado entrada nos serviços da CNPD.
59. Deve, todavia, sublinhar-se a manifesta insuficiência de formações dirigidas a um universo
relativamente !imitado de funcionários e ministradas já depois de o RGPD ter entrado em
aplicação e muito depois da sua entrada em vigor, no caso em setembro de 2018 e abril de
2019.
60. Será, por isso, corrigida a matéria de facto sobre esse ponto específico.
61. Sobre a designação do Encarregado da Proteção de Dados, confirma-se que o mesmo foi já
designado, ainda que apenas a 22 de setembro de 2022.
62. Defende o arguido que também a declaração de consentimento foi, entretanto, alterada, o
que se admite, mas que, face à sua não junção aos autos nem inserção no corpo da defesa, não
pode relevar-se.
Av. D. Carlos 1, 134, 1 °
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd.pt
www.cnpd.pt
Processo AVG/2022/7121 5v r
iv. Sobre os elementos objetivos dos tipos de ilícito
63. Entende o arguido que a CNPD deveria optar por enquadrar as violações do princípio da
alínea 0 do n. 0 1 do artigo 5. 0 nas disposições concretas dos artigos 28.º e 32.º do RGPD.
64. Sucede, porém, que o artigo 28. 0 estabelece as condições em que uma relação de
subcontratação deve ocorrer, não se ocupando de punir aquelas em que a formalização não
chegou a ocorrer.
65. Igualmente, o artigo 32. 0 define um conjunto de medidas de segurança específicas ainda
que não taxativas a implementar para garantir a segurança dos tratamentos.
66. O que a CNPD censurou no projeto de deliberação foi um conjunto de procedimentos aos
quais não foram sequer aplicadas as mínimas medidas de segurança, revelando um
comportamento censurável não por conta da desadequação de medidas concretas
eventualmente congemináveis, mas antes por força de uma ação coerente e consistente de total
desrespeito pelo princípio inscrito na alínea 0 do n. 0 1 do artigo 5. 0 do RGPD
v. Sobre as violações do artigo 13.0
67. O Município de Setúbal arguiu que a recolha de dados que levava a cabo era meramente
instrumental e dependente das instruções ou definições de entidades terceiras.
68. Defende, por isso, que se não pode afirmar que não era conhecido o responsável pelo
tratamento ou os destinatários dos dados.
69. É factual que, em vários casos, o Município recolhia informação enquadrada em formulários
de entidades terceiras.
70. O que a CNPD censura não é essa realidade, mas antes a circunstância de, criando um
serviço específico para apoio aos refugiados, a Linha Municipal de Apoio a Refugiados (LIMAR),
não ter, nesse contexto, informado os titulares dos dados de vários elementos previstos nos n°s
1 e 2 do artigo 13.0 do RGPD, como é sua obrigação, independentemente do contexto em que a
recolha de dados é concretizada.
Processo AVG/2022/71216 r
Comissão Nacional
de Proteção de Dados
71. Admitindo-se que o contexto de emergência em que se encontrava, pudesse colocar como
não prioritária a disponibilização desses elementos, convirá sempre enquadrar a emergência no
quadro de preparação existente.
72. Um quadro que, ainda assim, permitiu a existência prévia de reuniões do Conselho Local de
Ação Social de Setúbal - CLASS e a definição de procedimentos de atuação que poderiam e
deveriam ter incluído a matéria de proteção de dados no seu âmbito.
73. É que é justamente no âmbito do apoio a titulares de dados em situação de especial
vulnerabilidade e num contexto de atípicidade, como era o caso, que se torna mais premente a
proteção de direitos fundamentais como o da proteção de dados pessoais.
7 4. Sobre a falta da menção ao Encarregado da Proteção de Dados nas informações a prestar,
concede-se o argumento ao arguido de que, não existindo, não poderia ser comunicado, mas tal
não o desonera da obrigação de designação, nem concorre para a atenuação dessa violação
original.
75. Uma obrigação que o vinculava desde 25 de maio de 2018, mas a cujo processo de
designação apenas deu início em 3 de maio do presente.
76. Obrigação, de resto, reforçada pela Lei n. 0 58/2019, de 8 de agosto, onde expressamente se
repete o caráter imperativo da designação do EPD.
77. Não se pode, ainda, aceitar o argumento de que o "lapso" na menção à legislação de
proteção de dados vigente na declaração de consentimento seja desculpável atento o contexto
de "implementação, sistematizada do RGPD" que estaria em curso.
78. Primeiramente, porque o arguido não logrou demonstrar que existisse qualquer
implementação sistematizada em curso e,
79. Depois, porque ainda que existisse tal implementação, ela sempre seria tardia e, por isso,
de reduzida relevância para a factualidade apurada.
80. Note-se que o Regulamento 2016/679, de 27 de abril de 2016, entrou em vigor no dia 24 de
maio de 2016, tendo a sua aplicação sido diferida para o dia 25 de maio de 2018 (cf. n.0 2 do
artigo 99. 0
).
Av. D. Carlos 1, 134, 1 °
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd pt
wwwcnpdpt
Processo AVG/2022/7121 6v (
81. Quando muito, poderia, até, servir como agravante, porquanto se torna menos desculpável
que uma organização que tenha em curso a implementação do RGPD, não tenha a preocupação
de atualizar informação básica como aquela que presta aos titulares dos dados.
82. Tal como descrito no ponto 64, também quanto à violação do princípio inscrito na alínea e)
do n. 0 1 do artigo 5. 0 e da alínea a) do n. 0 2 do artigo 13. 0 do RGPD, existe uma relação de
precedência, pelo que se não relevará na decisão final a violação do dever de informação citado.
83. Ainda no que respeita à definição de limites temporais para a conservação da informação,
acolhe-se o argumento relevado pelo Arguido da urgência e emergência da situação vivida à
altura sem que, contudo, se desmereça a possibilidade de, pelo menos, se estabelecerem
parâmetros mínimos de orientação para a conservação da informação.
84. Finalmente, retira-se a menção à inexistência de uma avaliação de impacto sobre a proteção
de dados relativamente aos tratamentos levados a cabo no contexto da LIMAR, não pela
inutilidade da realização dessa avaliação, mas porque não é legalmente enquadrável a sua
obrigatoriedade neste tratamento em específico.
85. Com os elementos constantes dos autos, com interesse para a decisão, consideramos
provados os seguintes:
iii. Factos
86. No dia 29 de abril de 2022, o jornal Expresso publicou como manchete a notícia assim
titulada "Ucranianos recebidos em Câmara CDU por russos pró-Putin" (cf. doe. junto ao
processo).
87. Na mesma constavam testemunhos de refugiados provenientes da Ucrânia, deslocados em
Portugal em resultado do conflito militar em curso entre aquele país e a Federação Russa.
88. Tais testemunhos, oferecidos sob anonimato, davam conta de que, na Câmara Municipal de
Setúbal, cidadãos russos, a pretexto da prestação de auxílio aos refugiados ucranianos que aí
chegavam para pedir apoio, colocavam questões a estes últimos sobre o paradeiro dos seus
familiares bem como sobre o que haviam ficado a fazer na Ucrânia.
89. O Município de Setúbal, pessoa coletiva, com o NIPC 510294104 tem como sede a Praça do
Bocage, 2901-866 Setúbal.
rJ Processo AVG/2022/7121 7 r
CNPD
Comissão Nacional
de Proteção de Dados
90. Nas notícias citadas era também retratada a execução de cópias de documentos
pertencentes aos refugiados na presença dos ditos cidadãos russos.
91. Os cidadãos expressamente referidos na notícia eram_ e_
92. Esta notícia e outras semelhantes foram sendo publicadas em vários órgãos de
comunicação social (cfr. notícias juntas ao processo).
93 .■-tem nacionalidade portuguesa-e é membro da Associação de Imigrantes dos
países de Leste - EDINSTVO.
94 ___ tem também nacionalidade portuguesa e é presidente da referida
associação.
95.--é trabalhadora Ourista) da Câmara Municipal de Setúbal.
96. A Associação de Imigrantes dos Países de Leste EDINSTVO, pessoa coletiva com o NIPC
506204:367 e sede na Rua de São Tomé e Príncipe, 18 r/c Dto., 2900-087 Setúbal, dedica-se ao
apoio a imigrantes provindos dos países de leste, mas também do Brasil, promovendo iniciativas
de auxílio à integração na comunidade e de índole solidária, cultural e lúdica.
97. A EDINSTVO foi fundada em 2002 por_ e_ .
98. Desde essa data, foram promovidas várias iniciativas inseridas no objeto da Associação,
estando incluída no Conselho Local de Ação Social de Setúbal - CLASS (cfr. autos de
declarações e ata da reunião do CLASS de 11 de março de 2022, juntos ao Relatório de Inspeção
à CMS, como Anexo VIII - fl. 2 a 7 e Anexo VI).
99. Em 2004 a Câmara Municipal de Setúbal protocolou com a ED!NSTVO a colocação de dois
colaboradores desta última para integração na equipa do Gabinete "SEI - Setúbal Etnias e
lmigraçÊío" (SEI), tendo como objetivo garantir o atendimento, aconselhamento e ajuda aos
imigrantes que naquele se apresentassem.
100. O SEI está integrado no Departamento de Cultura, Desporto, Direitos Sociais, Saúde e
Juventude da CMS.
101. O protocolo foi sucessivamente renovado, tendo-se mantido em vigor até maio de 2022.
Av. D. Carlos 1, 134, 1°
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd.pt
www.cnpd.pt
Processo AVG/2022/712 1 7v
102. lnexiste qualquer disposição no protocolo sobre proteção de dados pessoais ou que regule
as responsabilidades das partes na gestão desse tipo de informação.
103. A CMS, em face da iminente chegada de um fluxo considerável de refugiados ucranianos,
decidiu criar uma Linha Municipal de Apoio a Refugiados (LIMAR), em março de 2022, com
atendimento telefónico e presencial.
104. O Município de Setúbal assumiu, deste modo, a qualidade de responsável pelo tratamento
da informação tratada no âmbito dos serviços prestados através da LIMAR.
105. Para a LIMAR poder prestar o serviço para que foi constituída, foram disponibilizadas duas
salas no edifício do Mercado do Livramento, edifício público municipal, localizado em Setúbal,
uma para o atendimento e outra para apoio e arquivo do registo documental.
106. A sala de apoio e arquivo dispunha de armários próprios para conservação da
documentação e apenas era acedida pelos membros da LIMAR.
107. A equipa da CMS criou formulários específicos - formulário de "atendimento" e de
"atendimento telefónico" - (cf. Anexos Ili e IV do Relatório de Inspeção à CMS), para a recolha
dos elementos necessários ao apoio requerido no âmbito da LIMAR.
108. Estes formulários continham várias informações pessoais sobre os refugiados, desde o
nome, à morada, passando pela data de nascimento, estado civil, contactos, agregado familiar,
informação sobre os documentos de identificação, sobre a rede de suporte (identificação dos
locais e das pessoas com quem pudessem ficar e seus respetivos agregados), informação
sobre o período em que poderiam ficar com as pessoas dessa rede de suporte e identificação
sobre as necessidades dessas pessoas em matéria de alojamento, bens essenciais,
alimentação, saúde, educação, equipamentos de infância, emprego, respostas sociais, entre
outros, para além da descrição da situação concreta (cfr. Anexos Ili e IV do Relatório de
Inspeção à CMS).
109. Juntamente com os formulários de atendimento, poderia ser preenchida a ficha de
inscrição nos cursos de Português Língua de Acolhimento - PLA, do Instituto de Emprego e
Formação Profissional (IEFP), para os refugiados que manifestaram desejo de aprendizagem
da língua portuguesa, e era associada a cópia da página biográfica do passaporte ou de outro
documento de identificação.
rJ
CNPD
comissão Nacional
de Proteção de Dados
Processo AVG/2022/712 1 8
11 O. As fichas de inscrição do IEFP contêm, entre outros, os seguintes quadros relativos à
informa,ção pessoal dos requerentes: nome completo, morada, data de nascimento, estado civil,
sexo, n.0 de telemóvel, país de origem, número do documento de identificação, habilitações
literárias, profissão no país de origem, função ou profissão atual, situação laboral em Portugal
(cfr. An,exo VII do Relatório de Inspeção à CMS).
111. Os formulários de atendimento eram manuscritos, sendo arquivados os processos em
papel. Foi também criado um registo digital dos dados recolhidos, na plataforma "Microsoft",
em formato Excel - ficheiro "LIMAR_BASE.DADOS.xlxs", que exige palavra-passe para acesso
(ver Anexo XII do Relatório de Inspeção à CMS).
112. Do processo constava o formulário de atendimento, o Certificado de Proteção Temporária 1,
cópia dos documentos de identificação, certidões de nascimento de menores, ficha de inscrição
nos cursos de Português Língua de Acolhimento - PLA. do IEFP, e os comprovativos das
comunicações para os diversos serviços públicos para os apoios devidos, designadamente para
o IEFP para procura de emprego, para a Segurança Social de Setúbal, para o recebimento do
Rendim,ento Social de Inserção e outras prestações, para o Agrupamento dos Centros de Saúde
de Setúbal e para o Centro Hospitalar e para outras entidades públicas e privadas que garantem
os apoios solicitados, designadamente de alimentos, roupas e outros bens essenciais.
113. Do processo constava também a "Declaração de Consentimento", relativamente ao
tratamento de dados pessoais fornecidos à CMS no âmbito do apoio aos refugiados, na qual,
na parte relativa à comunicação de dados a terceiros, se afirma: "[ ... ] Mais autorizo que os
registos de dados recolhidos possam ser partilhados com outros serviços ou entidades no
sentido do encaminhamento para respostas específicas ou da prestação de apoio social
ajustados à situação, com as garantias de privacidade e não discriminação.[ ... ]" (cfr. Anexo Ili -
fl.4 do Relatório de Inspeção à CMS).
114. O texto da declaração encontrava-se redigido em português, ucraniano e russo.
115. Durante as diligências, foi verificado aleatoriamente o processo "A72", criado pela equipa
"FN / YK" e , com folha de rosto "Registo de Atendimento" e
1 Emitido na sequência do preenchimento online, em principio pelo interessado, do formulário do Serviço de Estrangeiros e Fronteiras
disponível em https://sefforukraine.sef.pt. Nos termos legais, devem ser submetidas cópias (dos dados' biográficos) dos documentos de
identificação e, no caso de menores, certidões de nascimento (cfr. Relatório de Inspeção ao SEF).
r
Av. D. Garlos 1,134, 1°
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976832
geral@cnpd.pt
www.cnpd.pt
Processo AVG/2022/712 1 8v
no qual constava a cópia de passaporte (folha de dados biográficos), a cópia do certificado de
proteçzio temporária e as cópias dos emails enviados para as entidades para o apoio necessário.
bem como a declaração de consentimento.
116. No topo de cada processo de atendimento constam as iniciais dos elementos que
efetuar,am o atendimento, como segue: "--/YK" ou "--/IK", sendo que onde se encontra " .. •
constavam as iniciais do técnico do serviço social do Município.
117. Os procedimentos para a gestão dos processos relativos aos refugiados e o seu
encaminhamento para as entidades competentes foram alvo de discussão e fixação em reunião
da redEi do CLASS, presidido pelo Vereador da Cultura, Desporto, Direitos Sociais, Saúde e
Juventude da Câmara Municipal de Setúbal,- (cfr. Anexo VI do Relatório de Inspeção
à CMS).
118. Nela foi referida a matéria relativa aos cursos de PLA. mas não foi fixado ou aconselhado
o transporte das fichas de inscrição para o IEFP (cfr. Anexo VI do Relatório de Inspeção à CMS).
119. Sendo, antes, acordado um modelo de email a utilizar para situações de precariedade ou
necessidade de apoio - emprego, atendimento e apoio social, saúde· o qual não contemplava
a situação dos refugiados que pretendiam aprender português como língua de acolhimento (cfr.
Anexo V - fl. 3).
120. A LIMAR funcionou, a partir do mês de março de 2022, com recurso a funcionários do SEI.
121. As equipas de atendimento da CMS eram constituídas por dois colaboradores, um técnico
social e um tradutor, que no caso eram ou-
122. No período compreendido entre os dias 11 e 28 de março,
por doença.
esteve ausente
123. Nesse período apenas- colaborou nos atendimentos que envolviam tradução
(cf. Anexo VIII - fls. 2 a 4 do Relatório de Inspeção à CMS).
124. A participação de- na equipa não foi alicerçada em qualquer decisão formal
ou contratual, embora este não desempenhasse qualquer função no Município.
125.■-prestou apoio no âmbito da LIMAR, auxiliando à tradução e, a pedido dos
refugiados, no preenchimento de documentação para os cursos "Português Língua de
r
rJ Processo AVG/2022/712 1 9 (
CNPD
Comissão Nacional
de Proteção de Oados
Acolhimento - PLA" (aprendizagem da língua portuguesa) do IEFP e dos formulários SEF para
obtençiío do título de proteção temporária, na condição de voluntário (cf. Anexo VIII - fls. 2 a 4
do Relatório de Inspeção à CMS).
126. Diqitalizou e procedeu ao carregamento para o formulário SEF do passaporte e certidão de
nascimento das crianças para as quais foi, pelos próprios refugiados solicitado auxílio (cf.
Anexo VIII - fls. 2 a 4 do Relatório de Inspeção à CMS).
127. On~anizou e transportou fichas de inscrição nos cursos de PLA para o IEFP (cf. Anexo VI II
- fls. 1 a 7 do Relatório de Inspeção à CMS e Relatório de Inspeção ao IEFP).
128. Não foi possível apurar o número exato de fichas de inscrição para os cursos de PLA
transportadas por- .
1 29.■-prestou apoio como intérprete na informação inicial prestada aos refugiados,
referente aos apoios sociais e procedimentos de pagamento dos subsídios de transporte e
alimentação e da bolsa de formação, nas instalações do IEFP de Setúbal (cfr. comunicação
eletrónica do Diretor do IEFP de Setúbal junta aos autos).
130. Teve acesso aos equipamentos informáticos do LIMAR, usando credenciais da mulher,
habilitando-o a utilizar o computador e o portátil da CMS para acesso a portais Web onde
inseriria documentos (cf. auto de declarações junto ao processo).
131 .■-cedeu ao marido as credenciais de acesso a tais equipamentos (cf. auto de
declarações junto ao processo).
1 32.■-manteve colaboração como intérprete no contexto do acolhimento aos
refugiados e não procedeu a registo de dados nos processos internos (cf. Anexo VIII - fls. 5 a 7
do Relatório de Inspeção à CMS).
133. Essa colaboração terminou a 7 de abril de 2022 (cfr. Anexo VIII - fl. 1 do Relatório de
Inspeção à CMS).
134. A 3 de maio de 2022, o Presidente da Câmara Municipal de Setúbal, através do despacho
n. 0 153/2022, designou como EPD um trabalhador do Município que ocupava igualmente
funções dirigentes.
Av. D. Carlos 1, 134, 1º
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd.pt
www.cnpdpt
Processo AVG/2022/712 1 9v
135. Tendo surgido dúvidas sobre a adequação dessa designação, foi solicitado à CNPD, a 1 O
de maio de 2022, pronúncia sobre a sua conformidade.
136. Ulteriormente, foi lançado um procedimento de contratação pública para prover ao cargo
de Encarregado da Proteção de Dados do Município de Setúbal.
137. Tal concurso veio a resultar na designação do novo Encarregado da Proteção de Dados, no
dia 22 de setembro de 2022.
138. Foi apurado não existirem na CMS políticas ou orientações de gestão segura da
informação que contenha dados pessoais, não sendo os funcionários da autarquia informados
sobre os procedimentos a adotar.
139. A exceção à inexistência das referidas políticas e/ou orientações é um correio eletrónico
da Divisão de Informática sobre a segurança das palavras-passe de acesso ao computador,
email e internet, que a autarquia disponibilizou à CNPD durante a ação inspetiva (cfr. Anexo IX
do Relatório de Inspeção à CMS)).
140. Não foi realizada nenhuma Avaliação de Impacto sobre a Proteção de Dados, não obstante
os refugiados (que se equiparam aos requerentes de asilo) serem considerados pessoas
vulneráveis de acordo com as Diretrizes sobre Avaliações de Impacto sobre a Proteção de
Dados do Comité Europeu para a Proteção de Dados (cf. critério 7 para a avaliação da
necessidade de realização de uma AIPO, pp. 12 das Diretrizes2).
141. Não estão definidos prazos de conservação para a informação recolhida pela LI MAR.
142. Não é prestada aos titulares dos dados (refugiados), no momento da recolha, informação
de quem é o responsável pelo tratamento, das finalidades do tratamento, dos destinatários ou
categorias de destinatários dos dados pessoais, dos direitos dos titulares dos dados, do direito
de apresentar reclamação a uma autoridade de controlo.
143. Do Registo de Atendimento consta uma "Declaração de Consentimento" com o seguinte
teor: Declaro que consinto que as informações e dados por mim fornecidos à Câmara Municipal
de Setúbal, no âmbito da Linha Municipal de Apoio aos Refugiados, sejam tratados por meios
automatizados ou outros, estando asseguradas as devidas garantias de privacidade e de não
2 Disponíveis em https://ec.europa.eu/newsroom/article29/items/61 l 236/en.
r
ProcessoAVG/2022/712110 r
Comissão Nacional
de Proteção de Dados
discriminação. Mais autorizo que os registos e dados recolhidos possam ser partilhados com
outros serviços e entidades no sentido de encaminhamento para respostas específicas ou da
prestação de apoio social ajustados à situação, com as garantias de privacidade e não
discriminação. Tomo igualmente conhecimento que será assegurada a confidencialidade e
segurança dos dados pessoais por mim fornecidos, podendo aceder-lhes e/ou retificar os
mesmos sempre que tal se justifique, nos termos da Lei n. 0 67/98, de 26 de outubro, na versão
da Lei n.0 103/2015, de 24 de agosto, e que as falsas declarações são punidas por lei.
144. Nessa declaração não consta qualquer referência ao Regulamento (UE) 2016/679 do
Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses
dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
145. Ao permitir que pessoas estranhas aos serviços municipais pudessem aceder a
equipamentos informáticos utilizados para o tratamento de dados pessoais sem perfil de
acesso específico e, bem assim, ao conceder-lhes acesso a informação dos refugiados
apoiados através da LIMAR, constante dos formulários dos cursos PLA, transportando-os para
o exterior das instalações do Município sem previamente assumir qualquer compromisso formal
e sem definir qualquer orientação sobre a gestão e segurança da informação assim acedida e
transportada, o arguido não atuou com os cuidados a que está obrigado, e de que era capaz,
representando como possível que estava a agir contra a lei.
146. Ao utilizar ficheiros Excel para a gestão e conservação da informação relativa a um
conjunto de titulares vulneráveis (refugiados), ficheiros que não comportam registos de
auditoria, não permitindo saber quem a eles acedeu, quando e que operações efetuou, o arguido
não atuou com os cuidados a que está obrigado, e de que era capaz, representando como
possível que estava a agir contra a lei.
147. Ao não definir os prazos de conservação da informação recolhida através da LIMAR,
mantendo a informação conservada para além do necessário, o arguido não atuou com os
cuidados a que está obrigado, e de que era capaz, representando como possível que estava a
agir contra a lei.
Av. D. Carlos 1, 134, 1 °
1200-651 Lisboa
T(+351)213928400
F (+351) 213 976 832
geral@cnpd.pt
www.cnpd.pt
Processo AVG/2022/712 , 10v r
148. Ao não disponibilizar as informações obrigatórias sobre os tratamentos de dados pessoais
de forma concisa, transparente, inteligível e de fácil acesso, o arguido não atuou com os
cuidados a que está obrigado, e de que era capaz, representando como possível que estava a
agir contra a lei.
149. Ao não designar o Encarregado da Proteção de Dados, o arguido não atuou com os
cuidados a que está obrigado, e de que era capaz, representando como possível que estava a
agir contra a lei.
150. O arguido agiu sempre de modo voluntário e consciente dos atos praticados.
IV. Convicção probatória
151. Os factos dados como provados tiveram por base a análise crítica da prova produzida.
tanto oral, como documentalmente, bem como os relatórios de inspeção que a CNPD real izou
no ACM, SEF, IEFP de Setúbal e CMS e os depoimentos recolhidos.
Destes últimos, destacam-se os seguintes (cf. autos de declarações juntos ao Relatório de
Inspeção à CMS):
a. As declarações de - que negou ter copiado os documentos de
identificação dos refugiados para o processo interno da CMS;
b. que confirmou ter cedido ao marido as credenciais de acesso aos
equipamentos informáticos;
c. De
terceiros;
que negou ter partilhado dados pessoais dos refugiados com
d. De- que nega ter copiado para si ou para terceiros, bem como rejeita ter
disponibilizado a entidades que não as indicadas pelo Município, a documentação
relativa aos refugiados a que teve acesso;
e. Da Chefe de Divisão de Direitos Sociais e Saúde da CMS, , que
afirmou que- manteve colaboração como intérprete no contexto do
:J
CNPD
comissão Nacional
de Proteção de Dados
Processo AVG/2022/712 i 11
acolhimento aos refugiados e que não procedeu a registo de dados nos processos
internos;
f. E que, atenta a ·articulação direta· de- com o IEFP - CE Setúbal, a qual
se devia à relação que aquele firmou mantinha com a delegação do IEFP enquanto
dirigente da associação EDINSTVO e formador, era este quem levava as inscrições
e cópias dos documentos de identificação para a frequência de cursos de PLA;
g. Finalmente, afirmou não ter recebido qualquer reclamação sobre o atendimento
efetuado aos refugiados;
h. Do presidente da Associação dos Ucranianos em Portugal, que
declarou não ter recebido qualquer queixa por parte de refugiados quanto ao
atendimento prestado em Setúbal;
i. E não ter conhecimento de qualquer caso de recolha ou envio de dados de
refugiados ucranianos para a Rússia, ainda que admitisse a existência desse risco.
V. D-ireito
152. A CNPD é competente nos termos do n.0 2 do artigo 58.º do Regulamento (UE) 2016/679,
de 27 de abril de 2016 - Regulamento Geral sobre a Proteção de Dados (RGPD), conjugado com
o artigo 3. 0, o n. 0 2 do artigo 4. 0, e a alínea b) do n. 0 1 do artigo 6. 0 , todos da Lei n. 0 58/2019, de
8 de agosto (LERGPD).
i. Violação do princípio da integridade/confidencial idade (ai. f) do n.0 1 do artigo 5.0
do RGPD)
153. A alínea n do n. 0 1 do artigo 5. 0 do RGPD demanda que os dados pessoais sejam 'Tratados
de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não
autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as
medidas técnicas ou organizativas adequadas («integridade e confidencialidade»)".
154. Ora, a CMS não definiu medidas organizativas de salvaguarda da informação, políticas ou
orientaçiSes de gestão segura da informação, nem definiu formalmente qualquer compromisso
r
Av. O.Ca rlos 1,1 34, 1°
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd.pt
www.cnpd.pt
Processo AVG/2022/712 i 11v
com a EDVINSTO que regulasse o acesso e o transporte da informação contendo dados
pessoais.
155. De resto, ao possibilitar a pessoas estranhas aos serviços do Município a utilização dos
equipamentos, sem perfil específico, onde dados pessoais confiados ao Município se
encontram alojados sem qualquer contrato ou acordo formal onde constem as obrigações das
partes em matéria de proteção de dados pessoais, o Município de Setúbal violou o princípio da
integridade e confidencialidade.
156. Igualmente, ao conservar a informação contendo dados pessoais sobre os refugiados em
ficheiros Excel, ainda que com acesso condicionado por palavra passe, o Município de Setúbal
violou este mesmo princípio atendendo a que a conservação de modo não estruturado de dados
pessoais, em ficheiros cuja rastreabilidade de acessos e alterações é manifestamente reduzida
ou inexistente, representa, por si só, um risco à sua segurança, integridade e confidencialidade.
ii. Violação do princípio da limitação da conservação (ai. e) do n. 0 1 do artigo 5. 0 do
RGPD)
157. A alínea e) do n. 0 1 do artigo 5. 0 do RGPD obriga a que os dados pessoais sejam
"Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante
o período necessário para as finalidades para as quais são tratados; os dados pessoais podem
ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para
fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para
fins estatísticos, em conformidade com o artigo 89. 0
, n. 0 1, sujeitos à aplicação das medidas
técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar
os direitos e liberdades do titular dos dados («limitação da conservação»)".
158. O Município de Setúbal não definiu qualquer período de conservação dos dados pessoais
recolhidos através da Linha Municipal de Apoio a Refugiados nem tampouco delimitou os
critérios usados para definir esses prazos.
r
p
Comissão Nacional
de Proteção de Dados
Processo AVG/2022/712 i 12
iii. Violação do artigo 13. 0 do RGPD
159. O considerando 60 do RGPD explicita que "Os princípios do tratamento equitativo e
transparente exigem que o titular dos dados seja informado da operação de tratamento de
dados e das suas finalidades.".
160. O artigo 12. 0
, n.0 1, do RGPD dispõe que: "O responsável pelo tratamento toma as medidas
adequadas para fornecer ao titular as informações a que se referem os artigos 13. 0 e 14. 0 e
qualquer comunicação prevista nos artigos 15. 0 a 22. 0 e 34. 0 a respeito do tratamento, de forma
concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em
especial quando as informações são dirigidas especificamente a crianças.".
161. Os n.ºs 1 e 2 do artigo 13. 0 do RGPD obrigam os responsáveis pelo tratamento a fornecer
aos titulares dos dados um conjunto específico de informações, entre as quais, com relevância
para o caso, se encontram as seguintes:
li 1. (...):
a) A identidade e os contactos do responsável pelo tratamento e, se for caso disso, do seu
representante;
(...)
c) As finalidades do tratamento a que os dados pessoais se destinam, bem como o
fundamento jurídico para o tratamento;
(...)
e) Os destinatários ou categorias de destinatários dos dados pessoais, se os houver;
(...)
2. (. .. ):
(...)
b) A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados
pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a
limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor
ao tratamento, bem como do direito à portabilidade dos dados;
r
Av. D. Carlos 1, 134, 1 °
1200-657 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd.pt
www.cnpd.pt
Processo AVG/2022/712 i 12v
c) Se o tratamento dos dados se basear no artigo 6. º, n. 0 7, alínea a), ou no artigo 9. 0
, n. 0 2,
alínea a), a existência do direito de retirar consentimento em qualquer altura, sem
comprometer a licitude do tratamento efetuado com base no consentimento previamente
dado;
d) O direito de apresentar reclamação a uma autoridade de controlo;
e) Se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual,
ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a
fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados.
162. A declaração de consentimento anexa aos autos recolhida com a pretensão de legitimar o
tratamento de dados pessoais dos refugiados não apresenta qualquer elemento relativo às
informações previstas na ai. a), c) e e) do n. 0 1 e nas ais. b), c), d) e e) do n. 0 2, todos do artigo
13.ºdoRGPD.
163. Ademais, o fundamento jurídico explicitado refere a Lei n. 0 67 /98, de 26 de agosto, que se
trata de legislação já revogada, no que deve ter-se por defeituosamente cumprida a prestação
da informação prevista na ai. c) do n. 0 1 do artigo 13. º,
164. E isto porque o RGPD passou a ser aplicado no dia 25 de maio de 2018, revogando
implicitamente boa parte das normas daquele diploma nacional, tendo a Lei n. 0 58/2019, de 8
de agosto, que entrou em vigor no dia 9 de agosto de 2019, revogado expressamente a referida
Lei n. 0 6 7 /98, de 26 de agosto.
165. Igualmente defeituosa é a delimitação das entidades terceiras para quem os dados
pessoais podem ser transmitidos, tal como prevista na ai. e) do n. 0 1 do artigo 13. 0 . Ainda que
se admita que o leque desses destinatários seja extenso, a CMS não pode deixar de reconhecer
que pelo menos as entidades definidas nos procedimentos fixados pelo CLASS, na reunião de
11 de março de 2022, poderiam e deveriam ser dadas a conhecer aos titulares dos dados.
166. Finalmente e quanto à alínea b) do n. 0 2 do artigo 13.0 do RGPD, é omitida a referência à
possibilidade de requerer o apagamento dos dados ou a limitação do tratamento, ou, ainda, à
eventual possibilidade de requerer o direito à portabilidade.
167. Quanto a este conjunto de violações, releva o disposto no n. 0 5 do artigo 83. 0 do RGPD,
onde se determina que "A violação das disposições a seguir enumeradas está sujeita, em
conformidade com o n. 0 2, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 %
r
Processo AVG/2022/712 l 13 r
p
Comissão Nacional
de Proteção de Dados
do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro
anterior, consoante o montante que for mais elevado: a) Os princípios básicos do tratamento,
incluindo as condições de consentimento, quando este seja o fundamento de licitude, nos
termos dos artigos 5. 0
, 6. 0
, 7. 0 e 9. 0 ; b) Os direitos dos titulares dos dados nos termos dos
artigos 12. 0 a 22. 0
".
iv. Violação do n. 0 1 do artigo 37. 0 do RGPD
168. De acordo com a alínea a) do n. 0 1 do artigo 37.º do RGPD, "O responsável pelo tratamento
e o subcontratante designam um encarregado da proteção de dados sempre que: O tratamento
for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício
da sua função jurisdicional".
169. O Município de Setúbal, ao não designar o Encarregado da Proteção de Dados, violou esta
disposição.
170. Sobre a violação do artigo 37. 0 , sublinha-se que o n. 0 4 do artigo 83.º assim dispõe: "A
violação das disposições a seguir enumeradas está sujeita, em conformidade com o n. 0 2, a
coimas até 1 O 000 000 EUR ou, no caso de uma empresa, até 2% do seu volume de negócios
anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante
que for mais elevado: a) As obrigações do responsável pelo tratamento e do subcontratante nos
termos dos artigos 8. 0
, 11.0
, 25. 0 a 39. 0 e 42.º e 43. 0
".
171. A CNPD dispõe de poderes de correção consignados no artigo 58. 0
, n. 0 2, do RGPD.
172. Acresce que do princípio do primado do Direito da União, refletido no artigo 288. 0 do
Tratado sobre o Funcionamento da União Europeia, decorre que os regulamentos têm valor
obrigatório e são diretamente aplicáveis em todos os Estados-Membros, afastando com isso
qualquer possibilidade de um «Estado[ ... ], unilateralmente, anular os seus efeitos através de um
ato legislativo oponível aos textos comunitários» - acórdãos do T JUE Costa/ENEL, Proc. n.0
6/64; Comissão/República Italiana , Proc. n. 0 39/72; Vario la / Administração Finanças Italiana,
Proc. n. 0 34/73.
Av. D. Carlos 1, 134, 1 °
1200-651 Lisboa
T (+351) 213 928400
F (+351) 213 976 832
geral@cnpd pt
www.cnpd.pt
Processo AVG/2022/712 l 13v (
173. Deste modo, a CNPD e com os fundamentos melhor expressos na sua
Deliberação/2019/494, de 3 de setembro (acessível em
https://www.cnpd.pt/umbraco/surface/cnpdDecision/download/121704), decide não aplicar,
no caso em apreço, por força do princípio do primado do Direito da União Europeia, em
conjugação com o preceituado no artigo 8. 0
, n. 0 4, da Constituição da República Portuguesa, o
disposto no n. 0 2 dos artigos 37. 0 e 38. º, assim como nos n. ºs 1 e 3 do artigo 39. º, todos da Lei
n. 0 58/2019, de 8 de agosto (doravante LERGPD).
v. Sanções
17 4. Verifica-se assim, em face da factualidade apurada, que o arguido procedeu a tratamentos
de dados pessoais sem cuidar de assegurar as condições de segurança e integridade dos
mesmos, designadamente não estabelecendo medidas organizativas e não subscrevendo
compromissos vinculativos com entidades e/ou pessoas estranhas aos serviços municipais que
pudessem aceder a esses dados pessoais.
175. Verifica-se, ainda, que o arguido não delimitou o prazo de conservação da informação ou
os critérios utilizados para o fixar, como era sua obrigação, nem procedeu ao apagamento da
informação contendo dados pessoais assim que esta deixasse de apresentar pertinência para
a finalidade prosseguida, devendo assim ser eliminada.
176. Ademais, em face da factualidade apurada, verifica-se que o arguido desrespeitou
obrigações específicas que lhe são impostas pelo RGPD, designadamente as de informação aos
titulares dos dados.
177. Finalmente, verifica-se, também, que o arguido não procedeu à designação do Encarregado
da Proteção de Dados.
178. Tal significa que se mostra suficientemente indiciada a prática pelo arguido de três
contraordenações previstas e puníveis,
i. a primeira pelas disposições conjugadas da alínea 0 do n. 0 1 do artigo 5. º, na
vertente da incapacidade de garantir a segurança dos tratamentos e a integridade e
confidencialidade dos dados pessoais tratados, e da alínea a) do n. 0 5 do artigo 83. 0
;
Comissão Nacional
de Proteção de Dados
Processo AVG/2022/712 l 14
ii. a segunda pelas disposições conjugadas da alínea e) do n. 0 1 do artigo 5. 0
, por
desrespeito do princípio da limitação da conservação e da alínea a) do n. 0 5 do artigo
83. 0
,
179. a terceira pelas disposições conjugadas dos n. ºs 1 e 2 do artigo 13. 0 (Informações a
facultar quando os dados pessoais são recolhidos junto do titular dos dados) e da alínea b) do
n.º 5 do artigo 83. 0
,
180. todos do RGPD, cada uma delas sancionada com coima até€ 20.000.000,00.
181. Verifica-se, igualmente, em face dessa mesma factualidade, que se mostra
suficientemente indiciada a prática pelo arguido de uma contraordenação prevista e punível
pelas disposições conjugadas do n. 0 1 do artigo 37.º (designação do encarregado da proteção
de dados) e da alínea a) do n. 0 4 do artigo 83. 0 ,
182. todos do RGPD, sancionada com coima até€ 10.000.000,00.
183. Todas as violações aqui listadas foram cometidas com negligência, de modo voluntário e
consciente. A CNPD dispõe dos poderes de correção previstos no artigo 58. º, n. 0 2, do RGPD,
designadamente, os de "Fazer repreensões ao responsável pelo tratamento ou ao
subcontratante sempre que as operações de tratamento tiverem violado as disposições do
presente regulamento" (alínea b) do artigo citado) e os de "Impor uma coima nos termos do
artigo 83.o, para além ou em vez das medidas referidas no presente número, consoante as
circunstâncias de cada caso" (alínea i) do artigo citado).
184. As violações do princípio da limitação da conservação (alínea e) do n. 0 1 do artigo 5. 0 do
RGPD) e dos deveres de facultar um conjunto de informações ao titular dos dados quando a
recolha é realizada diretamente pelo responsável pelo tratamento (n. ºs 1 e 2 do artigo 13. 0
)
devem merecer um grau de desvalor distinto das demais, atento o contexto de emergência que
se observava à altura da factualidade que as comprova. Isto porque as primeiras estão
intrinsecamente ligadas ao processo de acolhimento dos refugiados, admitindo-se, nessa
situação, um episódico, ainda que sempre censurável, descuido ou menor cuidado no
cumprimento de regras que não aparecessem como de igual prioridade face às concretas
necessidades de prover pela resposta humanitária rápida que era procurada.
r
Av. D. Carlos 1, 134, 1 °
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd pt
www.cnpd.pt
Processo AVG/2022/712 l 14v
185. Distintamente se dirá das demais violações, não porque o contexto seja outro, mas porque
a sua existência não depende e não reflete a situação pontual de resposta às solicitações dos
refugiados. Antes sendo reveladoras de uma postura e comportamento estruturais da
organização, a qual apresenta deficiências graves na assunção de princípios críticos da
proteção de dados que se projetam para lá destes específicos tratamentos.
186. De acordo com o disposto no artigo 83. 0
, n.º 1, alíneas a) a k), a determinação da medida
da coima é feita em função dos seguintes critérios:
i. A natureza, a gravidade e a duração da infração tendo em conta a natureza, o âmbito
ou o objetivo do tratamento de dados em causa, bem como o número de titulares de
dados afetados e o nível de danos por eles sofridos - Considera-se que as violações
cometidas pelo arguido assumem um grau de gravidade significativo, atento o
universo de titulares de dados em causa (especialmente vulneráveis), do qual se não
apurou o número em concreto, ainda que o contexto em que as mesmas ocorreram,
no qual a emergência humanitária obrigava a procedimentos mais expeditos, tornem
menos gravosa a sua avaliação. As violações detetadas quanto ao princípio da
limitação da conservação decorreram num período relativamente curto (cerca de dois
meses). Já a violação da designação do EPD prolongou-se desde 25 de maio de 2018
e até 3 de maio de 2022, merecendo, por isso um maior grau de censura, embora
tenha sido corrigida.
ii. Não se detetaram quaisquer danos causados aos titulares dos dados;
iii. Apenas uma das contraordenações por que vem acusado o arguido não é punida pela
moldura mais gravosa prevista no RGPD (no caso, a violação da obrigação de
designação do encarregado da proteção de dados);
iv. O caráter intencional ou negligente da infração - como já se explicitou supra,
considera-se ser negligente a conduta relativa às infrações detetadas;
v. A iniciativa tomada pelo responsável pelo tratamento ou pelo subcontratante para
atenuar os danos sofridos pelos titulares - a este título releva a iniciativa do arguido
de designar um encarregado da proteção de dados e de cessar o protocolo com a
associação EDVINSTO, ainda que quanto a esta última, a correção pudesse ter-se
limitado ao respeito pelo previsto no artigo 28.0 do RGPD;
r
Comissão Nacional
de Proteção de Dados
Processo A VG/2022/712 1 15 f
vi. O grau de responsabilidade do responsável pelo tratamento ou do subcontratante
tendo em conta as medidas técnicas ou organizativas por ele implementadas nos
termos dos artigos 25. 0 e 32. 0
- considera-se ser elevada a responsabilidade do
arguido ao não ter definido medidas técnicas e organizativas minimamente
suficientes e idóneas à proteção da informação pessoal tratada;
vii. Quaisquer infrações pertinentes anteriormente cometidas pelo responsável pelo
tratamento ou pelo subcontratante - que não se verificam;
viii. O grau de cooperação com a autoridade de controlo, a fim de sanar a infração e
atenuar os seus eventuais efeitos negativos - que se reputa de adequado, face à
disponibilização da informação requerida e a cooperação em todos os momentos do
processo de averiguações;
ix. As categorias específicas de dados pessoais afetadas pela infração - no caso, existe
um vasto conjunto de informação sobre os refugiados que se dirigiam à LIMAR,
disponibilizando o nome, a morada, passando pela data de nascimento, estado civil,
contactos, agregado familiar, informação sobre os documentos de identificação,
sobre a rede de suporte (identificação dos locais e das pessoas com quem pudessem
ficar e seus respetivos agregados), informação sobre o período em que poderiam ficar
com as pessoas dessa rede de suporte e identificação sobre as necessidades dessas
pessoas em matéria de alojamento, bens essenciais, alimentação, saúde, educação,
equipamentos de infância, emprego, respostas sociais, entre outros, para além da
descrição da situação concreta.
x. Entre estes dados, contam-se alguns - os relativos à saúde - que se enquadram nas
categorias especiais de dados previstas no n. 0 1 do artigo 9. 0 do RGPD.
xi. A forma como a autoridade de controlo tomou conhecimento da infração, em especial
se o responsável pelo tratamento ou o subcontratante a notificaram, e em caso
afirmativo, em que medida o fizeram - que, no caso, resultou da publicação pelos
meios de comunicação social das suspeitas de violações em matéria de tratamentos
de dados pessoais dos refugiados, não advindo daqui qualquer circunstância
atenuante para a arguido;
xii. O cumprimento das medidas a que se refere o artigo 58. 0
, n. 0 2, caso as mesmas
tenham sido previamente impostas ao responsável pelo tratamento ou ao
Av. D. Carlos 1, 134, 1 °
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd.pt
www.cnpd.pt
Processo AVG/2022/712 i 1 sv /
subcontratante em causa relativamente à mesma matéria - não se aplicando este
critério, já que inexistiam quaisquer medidas corretivas previamente determinadas;
xiii. O cumprimento de códigos de conduta aprovados nos termos do artigo 40. 0 ou de
procedimento de certificação aprovados nos termos do artigo 42. 0
- critério que
também não se aplica, por inexistir qualquer código de conduta ou procedimento de
certificação, nos termos apontados; e
xiv. Qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, à
luz da alínea k) do n. 0 2 do artigo 83. 0 do RGPD, como os benefícios financeiros
obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração -
Como fator atenuante, terá sempre de se relevar o concreto contexto em que as
violações ocorreram, num momento em que a chegada de refugiados ucranianos a
Portugal era intensa e as instituições públicas e privadas se deparavam com a
urgência de lhes dar resposta.
xv. Também se levará em conta a situação financeira do Município, espelhada nas
informações prestadas nos pontos 184 a 186 da defesa que apresentam uma quebra
da receita executada de montante significativo face ao ano de 2021.
187. Atentos os critérios supramencionados, a CNPD entende como necessária a aplicação, no
caso concreto, de duas repreensões e de uma coima ao arguido, considerando ser esta a medida
efetiva proporcionada e dissuasiva que se impõe dadas as concretas circunstâncias em que
ocorreram as infrações.
188. A moldura da coima abstratamente aplicável ao arguido pela infração prevista e punível
nos termos das disposições conjugadas da alínea 0 do n. 0 1 do artigo 5. 0
, na vertente da
incapacidade de garantir a segurança dos tratamentos e a integridade e confidencialidade dos
dados pessoais tratados, e da alínea a) do n. 0 5 do artigo 83. 0 e tem como limite máximo €
20.000.000,00.
189. Enquanto que a moldura da coima abstratamente aplicável ao arguido pela infração
prevista e punível nos termos das disposições conjugadas do n.0 1 do artigo 37. 0 (designação
do encarregado da proteção de dados) e da alínea a) do n.º 4 do artigo 83. 0
, todos do RGPD,
tem como limite máximo€ 10.000.000,00.
Processo AVG/2022/712 i 16
Comissão Nacional
de Proteção de Dados
190. Valorando a factualidade apurada à luz dos critérios acima enunciados, a CNPD, - nos
termos do artigo 58. 0
, n. 0 2, ai. b) do RGPD, considera, ainda, ajustada, a aplicação ao arguido
de:
i. uma coima, no valor de €120.000 (cento e vinte mil euros) por violação da alínea 0
do n. 0 1 do artigo 5. 0
, na vertente da incapacidade de garantir a segurança dos
tratamentos e a integridade e confidencialidade dos dados pessoais tratados, e da
alínea a) do n. 0 5 do artigo 83. 0 do RGPD;
ii. uma repreensão, por violação da alínea e) do n. 0 1 do artigo 5. 0 em conjugação com
a alínea b) do n. 0 2 do artigo 58. 0 do RGPD;
iii. uma repreensão, por violação dos n. ºs 1 e 2 do artigo 13. 0 em conjugação com a
alínea b) do n.º 2 do artigo 58.º do RGPD;
iv. uma coima no valor de €100.000 (cem mil euros) por violação do n. 0 1 do artigo
37. 0 (designação do encarregado da proteção de dados) em conjugação com a
alínea a) do n. 0 4 do artigo 83. 0
.
191. Somadas as coimas parcelares, resulta um total de€ 220.000 (duzentos e vinte mil euros).
192. Feito o enquadramento das coimas parcelares, importa determinar a coima única aplicável
ao caso concreto.
193. Verifica-se que o RGPD estabelece no n.0 3 do artigo 83. º, que, "[s]e o responsável pelo
tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das
mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do
presente regulamento, o montante total da coima não pode exceder o montante especificado
para a violação mais grave". Como literalmente expresso, tal normativo apenas deve ser
convocado nos casos em que as infrações tenham sido praticadas "no âmbito das mesmas
operações de tratamento", ou de "operações ligadas entre si", o que não se verifica no caso
concreto, aplicando-se, então, o Regime Geral das Contraordenações (RGCO), ex vi artigo 45. 0
da Lei n. 0 58/2019, de 8 de agosto.
194. O RGCO fixa no artigo 19. 0 os critérios legais do cúmulo jurídico das condenações em
coimas, que se traduz em que a coima única a aplicar na decisão condenatória deve ser fixada
entre um limite mínimo constituído pela mais elevada das coimas concretamente aplicadas a
Av. O. Carlos 1, 134, 1 °
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd.pt
www.cnpd.pt
Processo AVG/2022/712 l 16v (
cada uma das contraordenações (n.º 3), no caso€ 120.000 (cento e vinte mil euros), e com um
limite máximo constituído pela soma das coimas concretamente aplicadas a cada uma das
contraordenações (n.º 1), sendo esse total de€ 220.000 (duzentos e vinte mil euros).
195. Temos, então, que a moldura abstrata da coima única a aplicar se situa entre o mínimo de
€ 100.000 (cem mil euros) e o máximo de€ 220.000 (duzentos e vinte mil euros).
vi. Fundamentação da aplicação da coima única
196. O pressuposto essencial para a efetuação do cúmulo jurídico de coimas parcelares é a
prática de diversas infrações pelo mesmo Arguido antes de transitar em julgado a condenação
por qualquer delas.
197. Nesse sentido, para se proceder ao cúmulo jurídico é necessária a verificação dos
seguintes requisitos, de natureza processual e material, (i) que se trate de sanções relativas a
contraordenações praticadas antes do trânsito em julgado da condenação por qualquer deles,
(ii) que tenham sido cometidas pelo mesmo arguido e que as sanções parcelares se
reconduzam à mesma espécie.
198. O que se verifica cumulativamente nos presentes autos, mercê da existência do concurso
efetivo ou puro, quer na vertente de concurso real, quer na vertente de concurso ideal.
199. Apurou-se ter o arguido agido livre e conscientemente, ainda que de modo negligente, ao
i. não garantir que os dados por si tratados o fossem "de uma forma que garant[isse]
a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou
ilícito e contra a sua perda, destruição ou danificação acidental, adotando as
medidas técnicas ou organizativas adequadas.
ii. não designar o encarregado da proteção de dados.
200. Releva-se aqui o contexto concreto em que as violações ocorreram, em conjunto com o
facto de o Município ter atuado por forma a obviar a constrangimentos de natureza humanitária
e emergentes. Constrangimentos esses que assumem um grau de originalidade que pode
explicar alguma da impreparação demonstrada.
Processo AVG/2022/712 l 17 (
Comissão Nacional
de Proteção de Dados
201. De todo o modo, a violação da obrigação da designação do Encarregado da Proteção de
Dados não está diretamente ligada a essa emergência, pelo que se não pode admitir o mesmo
grau de desvalorização da ação que se atribui à outra violação.
202. Ora, atendendo, ainda, aos bens jurídicos protegidos pelas contraordenações em causa,
que o arguido cometeu, afigura-se efetiva, proporcional e dissuasiva, a aplicação ao arguido, em
cúmulo jurídico, nos termos das disposições conjugadas do artigo 83. 0
, n. 0 3 do RGPD e 19. º,
n. 0 3 do RGCO, uma coima única de€ 170.000,00 (cento e setenta mil euros).
vi. Conclusão
203. Face ao exposto, a CNPD delibera:
Aplicar ao arguido Município de Setúbal,
a) observando o disposto no artigo 19.0 do RGCO, uma coima única, no valor de €
€170.000 (cento e setenta mil euros) em razão da violação do princípio da
integridade e confidencialidade da violação da obrigação de designação do
encarregado da proteção de dados;
b) observando o disposto na alínea b) do n.0 2 do artigo 58.º do RGPD, duas
repreensões,
1. Uma pela violação do princípio da limitação da conservação;
li. Uma pela violação do dever de facultar as informações imprescindíveis
quando os dados pessoais são recolhidos junto do titular.
204. Nos termos preceituados no artigo 58. 0
, n.ºs 2 e 3 do Regime Geral das Contraordenações,
informar o arguido que:
a) A condenação se torna definitiva e exequível se não for judicialmente impugnada, nos termos
do artigo 59° do mesmo diploma;
b) Em caso de impugnação judicial o Tribunal pode decidir mediante audiência ou, caso a
arguido e o Ministério Público não se oponham, mediante simples despacho.
*
Av. D. Carlos 1, 134, 1 °
1200-651 Lisboa
T (+351) 213 928 400
F (+351) 213 976 832
geral@cnpd.pt
www.cnpd.pt
Processo AVG/2022/712 l 17v
205. Deverá a arguido proceder ao pagamento da coima no prazo máximo de 1 O dias após o
seu carácter definitivo, enviando à CNPD as respetivas guias de pagamento. No caso de
impossibilidade do respetivo pagamento tempestivo, deve o arguido comunicar tal facto, por
escrito, à CNPD.
Aprovg;: de 2 de novembro de 2022
Ana Paula Lourenço (relatara)
Luís Barroso
~ h<'\~ LA-=> U.,Ul\-.u.J...:. 6J...,. - .LA&.)
Maria Cândida Guedes de Oliveira ~ ai.~~4- rW t...J:" (""y • - ~,. ---
~- ~
JoséGraz~
~\._>-.~(._~_\..9-..Jô--
Maria da Conceição Diniz
Filipa Galvão (Presidente)