Quid JUP
Quid JUP: A violação do RGPD pela Câmara de Lisboa e a intervenção da CNPD
A falta de proteção de dados pela Câmara de Lisboa
De acordo com o relatório do Projeto de Deliberação/2021/16 da CNPD, “deu entrada no dia 19 de março (…) uma participação relativa à comunicação à Embaixada da Rússia e ao Ministério dos Negócios Estrangeiros russo de dados pessoais dos promotores de uma manifestação, efetuada pelo Município de Lisboa.”
Ao abrigo das atribuições que lhe pertencem à luz do Regulamento (EU) 2016/679 de 27 de abril de 2016 (Regulamento Geral de Proteção de Dados-RGPD), a CNPD viu-se obrigada a intervir.
Deste modo, na sequência de tal participação, foi aberto, pela CNPD, a 21 de março de 2021, um processo para averiguar a denúncia. Foi realizada, em junho, “ação inspetiva nas instalações do Município de Lisboa, para verificar o tratamento de dados pessoais relativo aos avisos de reuniões, comícios, manifestações ou desfiles, em lugares públicos.”
Foram recolhidas provas relativas ao tratamento de dados pessoais no que concerne a estes eventos, de vertente internacional, “e apenas em relação àqueles cuja eventual violação da legislação de proteção de dados ainda não se encontra prescrita” (eventos a partir de julho de 2018).
Entretanto, a CNPD já terminou a fase de instrução do processo e acusou a Câmara de Lisboa, sob a presidência de Fernando Medina, de violar disposições do RGPD “ao comunicar os dados pessoais dos promotores de manifestações a entidades terceiras e ainda quanto às comunicações para diversos serviços do Município.”
111 comunicações indevidas
Do relatório já mencionado consta que “o Município de Lisboa cometeu, em autoria material, e na forma consumada, cento e onze infrações, em concurso efetivo, violando o princípio da licitude”, previsto no RGPD, na medida em que não terá existido fundamento de licitude que viabilizasse a divulgação dos dados já mencionados. Ainda se fala numa violação ao princípio da proporcionalidade, revelando-se como manifestamente desnecessária a comunicação, a entidades terceiras, dos dados.
A ausência de avaliação do impacto sobre a proteção de dados e a falta de proteção do direito de informação aos titulares dos mesmos também representou, por parte do Município de Lisboa, um desrespeito pelo que se encontra consagrado no RGPD.
Segundo o mencionado Projeto de Deliberação, a única informação que foi prestada aos promotores das manifestações, relativamente às operações sobre os dados de que eram titulares, constava da resposta uniformizada a acusar a receção do aviso de manifestação, não se encontrando disponível no sítio da internet do Município qualquer informação relativa ao tratamento dos dados em causa.
De acordo com o Regulamento, estas condutas (no total de 111) são sancionáveis com coima até ao montante máximo de 20.000.000,00€ cada.
“A lei só permite a comunicação da informação relativa ao objeto, data, hora, local e trajeto da manifestação, sem transmissão de dados pessoais”, indica o organismo, lembrando que, “sendo dados especialmente sensíveis, porque revelam opiniões e convicções políticas, filosóficas ou religiosas, impunha-se ao Município, enquanto responsável pelo tratamento, um cuidado acrescido, nos termos da Constituição portuguesa e do RGPD”.
Entretanto, a Câmara de Lisboa já se prontificou, após a realização de uma auditoria ao procedimento de partilha de dados pessoais, a oferecer uma “avaliação de segurança” a todos os cidadãos cujos dados pessoais tenham sido partilhados com embaixadas estrangeiras. Nesse sentido, os serviços contactarão “individualmente cada cidadão, prestando o apoio necessário e restabelecendo a confiança de todos”. Esta medida foi proposta pela Amnistia Internacional.
O que são o RGPD e o EPD
O RGPD, Regulamento Geral de Proteção de Dados, é um regulamento do direito europeu publicado em 2016 que se aplica a todas as organizações de cariz privado e público dos 28 Estados- Membros da União Europeia e que tem em vista defender “o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a proteção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e de informação e a diversidade cultural, religiosa e linguística.” Assim, tem em vista a proteção das pessoas singulares no que concerne ao tratamento de dados pessoais e à sua livre circulação.
Cabe notar que este Regulamento da UE, em vigor desde 25 de maio de 2018, não necessitando de transposição para a ordem jurídica interna dos Estados-Membros (mas que foi entretanto transposto pela lei nº 58/2019 de 8 de agosto para a ordem jurídica portuguesa), impõe que a autarquia nomeie um encarregado de proteção de dados e o comunique à CNDE. Face à polémica, Fernando Medina demitiu Luís Feliciano, encarregado da proteção de dados da autarquia desde 2018. “Há um problema de confiança em relação à forma como o município tratou dos dados pessoais e é preciso dar um sinal claro”, disse o autarca.
A verdade é que Luís Feliciano, que desde 1988 se encontrava nos quadros da autarquia, está a ser visto como o “bode expiatório” numa situação que tem gerado insegurança e revolta.
O encarregado de proteção de dados (EPD) deve assegurar, na ordem jurídica nacional, a execução do RGPD, tendo como funções, de acordo com a referida lei, “assegurar a realização de auditorias, quer periódicas, quer não programadas (…), sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança” e, por fim, “assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados” (art. 11º).
Cabe, quanto a este aspeto, observar que a lei exige que não só as entidades públicas, mas também as entidades privadas, sempre que desenvolvam uma atividade que envolva o tratamento de dados pessoais, designem um encarregado de proteção de dados (art. 13º da lei nº 58/2019).
Meios de defesa dos direitos em causa
A mencionada lei confere, para além do direito de apresentação de queixa à CNPD, tutela administrativa quanto à garantia do cumprimento das disposições legais em matéria de proteção de dados pessoais, “nos termos do Código do Procedimento Administrativo” (art. 32º).
O art. 33º ainda prevê que “qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de obter do responsável ou subcontratante a reparação pelo dano sofrido.” Estando em causa a responsabilidade de uma entidade pública, é aplicável o regime previsto na Lei n.º 67/2007, de 31 de dezembro, que se trata do Regime da Responsabilidade Civil Extracontratual do Estado e Demais Entidades Públicas.
Já quanto à CNPD, esta “tem legitimidade para intervir em processos judiciais no caso de violação das disposições do RGPD e da presente lei, e deve denunciar ao Ministério Público as infrações penais de que tiver conhecimento, no exercício das suas funções e por causa delas, bem como praticar os atos cautelares necessários e urgentes para assegurar os meios de prova” (art. 36º da lei nº 58/2019).
A CNPD é uma entidade administrativa independente com poderes de autoridade, que age com independência na prossecução das suas atribuições e competências, sendo que tanto entidades públicas como privadas devem com esta colaborar.
Cabe notar que “qualquer pessoa, de acordo com as regras gerais de legitimidade processual, pode propor ações contra as decisões, nomeadamente de natureza contraordenacional, e omissões da CNPD, bem como ações de responsabilidade civil pelos danos que tais atos ou omissões possam ter causado” (art. 34º).
Existe prescrição quanto aos procedimentos por contraordenação sempre que, tratando-se de contraordenação muito grave, tenha ocorrido um prazo de 3 anos e, tratando-se de contraordenação grave, se tenham passado 2 anos (art. 40º).
As coimas também prescrevem, sempre que se tenham passado três anos (no caso de a coima ser de valor superior a 100 000 euros) ou dois anos (quando a coima seja de valor igual ou inferior a 100 00o euros), de acordo com o art. 41º.
De observar que “as coimas previstas no RGPD e na (…) lei aplicam-se de igual modo às entidades públicas e privadas” (art. 44º).
A posição da CNPD
O Projeto de Deliberação da CNPD, quanto à situação de violação de disposições legais pela Câmara de Lisboa, afirmou que “o Município de Lisboa procedeu a um conjunto de operações sobre informação relativa a pessoas singulares, no exercício de uma atividade pública específica, da qual resulta necessariamente impacto na privacidade e na liberdade daquelas e tinha obrigação de conhecer o enquadramento legal em que poderia de facto realizar esse conjunto de operações e de conformar os procedimentos e atuações face às regras e princípios do RGPD.”
“A CNPD considerou que a proliferação de envios dos dados pessoais dos promotores de eventos, por várias entidades nacionais e estrangeiras, potencia a criação de perfis de pessoas em torno das suas ideias, opiniões ou convicções, de modo ilegal e cuja utilização posterior escapa completamente ao controlo do responsável pelo tratamento. O envio de dados pessoais dos promotores a representações diplomáticas e a outras entidades estrangeiras, além de ser uma violação do direito fundamental à proteção de dados, pode pôr em risco outros direitos fundamentais que a Constituição portuguesa consagra.”
A CNPD aguarda agora a apresentação da defesa pelo Município de Lisboa, sendo que emitirá a sua deliberação final em sede de processo contraordenacional. Medina já assegurou que as competências relacionadas com as manifestações que eram confiadas à Câmara vão passar para o domínio da Polícia Municipal, sendo os dados apenas partilhados com a PSP e com o Ministério da Administração Interna.
Um estudo apresentado em junho indica que mais de metade das autarquias portuguesas não cumprem as regras de proteção de dados impostas pelo RGPD.
Artigo da autoria de Laura Teixeira. Revisto por José Milheiro e Marco Matos.
