Dans un communiqué, APDPO fait valoir que les fonctions de « conseil, sensibilisation et contrôle/audit » du délégué à la protection des données « sont exercées de manière indépendante et n’engagent pas le responsable du traitement, qui est celui qui décide des mesures de protection des données à appliquer ».

« Le règlement général sur la protection des données (RGPD) oblige les entités publiques à désigner un EPD/DPO [encarregado da proteção de dados]. Ce technicien n’est pas et ne peut être responsable des obligations incombant au responsable du traitement. C’est le responsable du traitement, c’est-à-dire les organes en la personne de leurs supérieurs hiérarchiques, qui est chargé d’adopter toutes les mesures de protection des données », ajoute-t-il.

« Aux termes de l’article 38 alinéa 3 du RGPD, ‘le responsable ne peut être révoqué ou sanctionné par le responsable du traitement ou le sous-traitant pour l’exercice de ses fonctions’. Et c’est ce qu’a fait l’EPD/DPO : il a exercé ses fonctions selon les termes de la loi’ », renforce l’association.

Ainsi, l’APDPO entend déposer une plainte auprès de la Commission nationale de protection des données si la révocation du responsable des données de la Chambre de Lisbonne se concrétise.

Vendredi, le président du maire, Fernando Medina (PS), a annoncé un ensemble de mesures suite à l’affaire de la divulgation de données personnelles de militants russes à l’ambassade de Russie par la municipalité, dont le limogeage du responsable de la protection des données.

Lors d’une conférence de presse pour présenter l’audit réalisé, Fernando Medina a révélé que la municipalité avait à plusieurs reprises manqué de respect à un arrêté de 2013 signé par António Costa, alors président de la municipalité et actuel Premier ministre.

Avec l’extinction des Gouvernements civils en 2011, et le transfert de compétence à la commune, une procédure a été engagée pour traiter la communication des manifestations et la commune « a suivi de près ce qui avait été fait en la matière au niveau des Gouvernements civils », en vertu de la législation.

En 2013, António Costa a émis un ordre — toujours en vigueur, car c’est le dernier sur le sujet — pour changer la pratique, donnant « l’ordre de changer la procédure afin de n’envoyer des données qu’à la police de sécurité publique et au ministère de l’Intérieur Administration ».

Cependant, a supposé Fernando Medina, cet arrêté a fait l’objet de « violations répétées » au fil des ans, c’est-à-dire qu’il y avait « une pratique relativement homogène, même lorsqu’il y avait une instruction du maire de modifier cette procédure ».

En 2018, le nouveau Règlement général sur la protection des données (RGPD) est entré en vigueur, mais dans le « important effort d’adaptation » de la commune, la procédure de traitement des avis de manifestation « n’a pas été adaptée ».

Selon les conclusions de l’audit, depuis 2012, 7045 manifestations ont été communiquées à la Ville de Lisbonne.

« Au total, 180 communications ont été envoyées sur la tenue d’une manifestation aux ambassades, 122 avant l’entrée en vigueur du RGPD et 58 après. Après l’entrée en vigueur du RGPD, c’est-à-dire pour la période de mai 2018 à mai 2021, les données personnelles ont été considérées comme ayant été envoyées dans 52 des processus », indique le document.

TYS // VAM