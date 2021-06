A advogada Elsa Veloso © DR

A Câmara de Lisboa fez chegar às autoridades da Rússia os nomes, moradas e contactos de três manifestantes russos que, em janeiro, participaram num protesto, em Lisboa, pela libertação de Alexey Navalny. O caso foi conhecido nesta semana e obrigou o presidente da autarquia, Fernando Medina, a pedir desculpa pelo "erro grave e lamentável", o que não evitou que fosse atacado quer pela oposição quer por todo o tipo de instituições nem que a Comissão de Proteção de Dados abrisse inquérito ao caso.

Elsa Veloso, especialista em Privacidade, Proteção de dados e Segurança de informação, explica o que está em causa.

O que aconteceu no caso dos ativistas russos que se manifestaram em Lisboa é uma quebra grave da lei da proteção de dados?

Três ativistas russos decidiram organizar uma manifestação em prol da libertação do ativista russo Alexey Navalny em clara oposição ao regime de Vladimir Putin. O decreto-lei 406/74, de 29 de agosto que define e regulamenta o direito de reunião exige um aviso por escrito com a antecedência mínima de dois dias úteis ao governador civil do distrito ou o presidente da câmara municipal (atualmente e desde 2011, apenas ao Presidente da Câmara), conforme o local da aglomeração se situe ou não na capital do distrito. Este aviso deve ser assinado por três dos promotores devidamente identificados pelo nome, profissão e morada ou, tratando-se de associações, pelas respectivas direções. A Câmara de Lisboa, no seguimento desta comunicação, ao enviar uma comunicação eletrónica ao Ministério da Administração Interna e à Polícia de Segurança Pública deu conhecimento à Embaixada Russa que é território Russo. A Câmara Municipal, por ocasião desta lei, além de comunicar a existência de uma manifestação às portas da Embaixada ou outros organismos, partilhou os respetivos dados pessoais identificativos dos organizadores, quando da lei não resulta expressamente o envio desses mesmos dados em concreto.

Não há então justificação possível.

Nada justifica a quebra do Regulamento Geral sobre a Proteção de Dados, uma vez que este exige, para que se possa efetuar um tratamento de dados pessoais, uma base legal e o respeito pelo princípio da finalidade. No caso, poderíamos estar perante o cumprimento de uma obrigação legal, ou interesse público, mas a mesma se verifica dado que o decreto-lei de 1974 não prevê a transferência de dados em concreto dos organizadores da manifestação, nem tão pouco a divulgação comporta qualquer proporcionalidade face aos objetivos em causa nos termos do interesse público, previstos como excepção nos termos do artº 9º nº2 alínea g).

O regulamento de aplicação direta e imediata no ordenamento jurídico nacional e o seu incumprimento leva à aplicação de coimas pesadas, cada uma até € 20.000.000 (vinte milhões de euros) bem como, a aplicação de penas de prisão até 2 anos sobre pessoas singulares.

Que efeitos pode ter esta revelação?

Temos três ordens de efeitos: Efeitos ao nível da segurança e proteção dos titulares dos dados, que veem assim exposta a sua identidade com todas as consequências possíveis e imprevisíveis sobre a sua pessoa e seus familiares, especialmente num dos países com a maior intrusão na esfera da vida privada e ofensa à dignidade da pessoa humana, no que diz respeito à privacidade e confidencialidade dos dados pessoais.

A montante, temos os efeitos que se poderão repercutir na Câmara Municipal de Lisboa, sobretudo pela aplicação das coimas e responsabilização criminal das pessoas singulares, enquanto agentes, como mãos executórias em si, desta violação que, claro está, irá carecer de uma aprofundada e rigorosa investigação e averiguação sobre as circunstâncias em que tal divulgação é efetuada, termos operacionais e procedimentais internos e até hierárquicos, dentro da CML.

Como referimos, as coimas em causa, cada uma, poderá ir até € 20.000.000 (vinte milhões de euros).

Por último, uma consequência ao nível da reputação do próprio Estado e dos seus órgãos de administração, sobretudo ao nível local, na falha e desrespeito do cumprimento das regras do RGPD. Este episódio só vem imprimir desconfiança e, atrevo-me a dizer, descrédito às autoridades e instituições públicas quando deveriam ser as primeiras a cumprir com o Regulamento e com a Lei.

Qual é a moldura penal em casos deste tipo?

A moldura penal encontra-se prevista nos artigos 46.º e seguintes da Lei de Execução Nacional do Regulamento, a Lei 58/2019, de 8 de agosto.

Sem prejuízo da responsabilização do município podem ainda ser responsabilizados os agentes intervenientes no processo, pessoas singulares em caso de preenchimento do ilícito criminal, nomeadamente, a utilização de dados pessoais de forma incompatível com a finalidade determinante da recolha, com pena até 1 ano, ou 120 dias de multa, sendo a pena agravada para o dobro nos seus limites quando se tratar de dados sensíveis, o que corresponde ao caso. As opiniões políticas são consideradas dados sensíveis. Existe ainda a previsão do crime de desvio de dados o qual positiva que, quem transferir dados a título gratuito ou oneroso dados pessoais sem previsão legal ou consentimento. independentemente da finalidade prosseguida é punido com pena de prisão até 1 ano ou 240 dias de multa, agravada para o dobro dos limites se o dano produzido for particularmente grave, e ainda agravada nos casos de negligência. Em último lugar, poderá ainda ser aplicada por preenchimento do tipo, o crime por violação do dever de sigilo por quem esteja obrigado ao sigilo profissional nos termos da lei sem justa causa e sem o devido consentimento, revelar, divulgar no todo ou em parte dados pessoais é punido com pena de prisão até 2 anos ou multa até 240 dias, agravada para o dobro quando estiver em causa agente, trabalhador em funções públicas ou equiparado nos termos da lei penal ou, o próprio Encarregado de Proteção de Dados e ainda, puser em perigo a reputação, a honra ou a intimidade da vida privada de terceiros.

Ou seja, além das coimas a aplicar, poderá ser também exercida responsabilidade criminal por quem tenha responsabilidades no manuseamento dos dados.

De que forma é que a lei protege as pessoas - que tipo de segurança temos?

Neste momento, um dos principais instrumentos de proteção dos dados e segurança da informação é o Regulamento Geral sobre a Proteção de Dados, bem como, a lei de execução nacional que vem amplificar alguns pontos deixados em aberto, propositadamente pelo Regulamento aos Estados-Membros.

O Regulamento prevê que, no tratamento de dados, é imperativo assegurar o cumprimento dos princípios do tratamento lícito, leal e transparente, princípio da recolha para as finalidades determinadas, adequados pertinentes e limitados (princípio da minimização dos dados), exatos e atualizados, conservados pelo tempo necessário e legalmente aceitável, bem como, a integridade e confidencialidade.

Do lado dos titulares dos dados é consagrado o direito aos titulares do acesso aos dados, retificação, apagamento, oposição e limitação, portabilidade e não sujeição a nenhuma decisão tomada exclusivamente com base num tratamento automatizado incluindo a definição de perfis.

Qualquer atividade de tratamento está circunscrita às bases e fundamentos de licitude: consentimento, execução de um contrato, cumprimento de uma obrigação jurídica, defesa dos interesses vitais, exercício de funções de interesse público e ainda interesses legítimos. Por sua vez, e uma vez que estamos também perante dados sensíveis nos ter.º 9.º do RGPD, a saber, opiniões políticas - não podem os dados ser tratados com exceção dos seguintes casos: consentimento, cumprimento de obrigações em matéria de legislação laboral, proteção de interesses vitais, atividades legítimas mediante garantias adequadas por qualquer associação ou organismos sem fins lucrativos, tornados públicos pelos titulares, necessários ao exercício de defesa de direitos em processo judicial ou por motivos de interesse público, sempre de forma proporcional ao objetivo visado e, por último, necessários para efeitos de medicina preventiva e diagnóstico médico.

No que diz respeito à segurança de informação, o Regulamento prevê e obriga à adoção de medidas técnicas e organizativas que protejam, salvaguardem, previnam, mitiguem e transferiram o risco que possa afetar a integridade, disponibilidade, confidencialidade e resiliência dos sistemas de informação preenchidos pelos dados dos titulares, evitando-se assim a destruição, perda, alteração acidental ou ilícita e à divulgação e acesso não autorizados. Outra das formas de proteção dos dados está na criptografia, pseudonimização e anonimização dos dados como parte dessas mesmas medidas.