entrevista

“Não posso garantir que a privacidade das pessoas esteja assegurada”

Lisboa-27/03/2017- Presidente da Comissão Nacional de Proteção de Dados Pessoais (CNPD) ,Maria Filipa Pires Urbano da Costa Calvão.
(Paulo Spranger/Global Imagens)
Lisboa-27/03/2017- Presidente da Comissão Nacional de Proteção de Dados Pessoais (CNPD) ,Maria Filipa Pires Urbano da Costa Calvão. (Paulo Spranger/Global Imagens)

Filipa Calvão, presidente da CNPD lamenta o "fraco investimento" dos organismos públicos na segurança dos sistemas de informação.

O pretexto da entrevista foi o novo regulamento geral de proteção de dados, que só vai entrar em vigor em maio do próximo ano mas que já está a deixar apreensivas muitas empresas e organizações.

A presidente da CNPD, que está no final do seu mandato de cinco anos, abordou também nesta entrevista o arquivamento do processo da polémica lista VIP, a atualidade das denúncias de Edward Snowden, os riscos das redes sociais e da utilização indevida de drones.

Como é que reagiu à notícia de que o Ministério Público arquivou o processo da lista VIP?
Não me posso pronunciar sobre as decisões do MP.

Ficou surpreendida?
A CNPD entendeu que havia elementos suficientes para avançar com um processo-crime e por isso enviou para o MP, a verdade é que o MP entendeu não haver indícios ou elementos suficientes para acusar nem aparentemente para uma contra-ordenação, porque não nos reenviou o processo para avançarmos com um processo.

O Ministério Público entendeu não haver indícios ou elementos suficientes para acusar nem aparentemente para uma contra-ordenação [no processo da lista VIP do Fisco]. Do nosso ponto de vista havia indícios que justificariam um qualquer quadro sancionatório”

E pelos vistos nem sequer ouviu dirigentes e funcionários…
Sei que foram feitas várias diligências, agora quais não sei. A CNPD entende que há ali falhas, que há declarações, comportamentos e condutas que não ficaram explicadas e que puseram em risco informação de cidadãos. E do nosso ponto de vista havia indícios que justificariam um qualquer quadro sancionatório.

A CNPD fez várias recomendações à Autoridade Tributária (AT). Já foram acatadas?
Não fizemos uma nova inspeção para verificar, pois temos poucos recursos, mas temos sido informados de uma série de medidas que foram tomadas. Em princípio, estamos em crer que está tudo em ordem.

Uma das recomendações era a criação de “regras inequívocas e medidas que assegurem a proteção dos dados pessoais”. Tem essa garantia?
Temos elementos de que foram adotadas uma série de medidas que previnem aquilo que estava a acontecer. O livre acesso por parte dos trabalhadores a informação de cidadãos já está mais delimitado. E também a obrigatoriedade de criar registos que permitem verificar quem acedeu e se podia ter acedido. E portanto não tenho razões para suspeitar que isso não está a ser cumprido. O que não quer dizer que não haja pontualmente acessos indevidos. O que quer dizer é que se houver há regras internas claramente a proibi-los e há registos de quem acede e portanto é possível fiscalizar e sancionar quem incumprir.

No parecer sobre o OE/2017, a CNPD mostrava-se preocupada com o aumento de número de organismos com acesso à base de dados da AT.
Isso é outro problema. Já não é numa lógica de acesso indevido à margem da lei, mas numa lógica de muitos organismos públicos e privados irem beber informação à base de dados da AT, que é das mais atualizadas. As bases de dados da AT não podem ser a fonte de informação para os organismos públicos. A CNPD entende que é inconstitucional.

Hoje em dia um bom hacker acede à informação que quiser.
Infelizmente é verdade. Todos os sistemas de informação, por muitas medidas de segurança que se adotem, têm fragilidades. Mas há um fraco investimento dos organismos públicos em termos de segurança dos sistemas de informação. Preocupam-se muito na modernização mas, seja para poupar dinheiro ou porque não foram concebidos com esta preocupação, quando se chama a atenção já é tarde para encontrar soluções que sejam mais garantísticas. É preciso trabalhar em medidas de segurança.

Todos os sistemas de informação, por muitas medidas de segurança que se adotem, têm fragilidades. Mas há um fraco investimento dos organismos públicos em termos de segurança.

Nos últimos anos as pessoas têm sentido que a sua privacidade está cada vez menos assegurada. Com o novo regulamento de proteção de dados as pessoas podem sentir-se mais tranquilas?
Gostava de dizer que sim mas não posso garantir. Agora o regulamento procurou acautelar algumas falhas na aplicação da anterior legislação. Tem uma norma que, sendo um bocadinho frágil, não deixa ser um alerta sobre os especiais cuidados do tratamento de dados pessoais de crianças na internet. Mas esse não é o único problema. São também as redes sociais onde, voluntariamente ou inconscientemente, lançamos muita informação que é toda analisada e tratada. Há empresas que se ocupam disso. As próprias políticas de privacidade são claras a dizer que isso é feito e portanto não podemos mostrar espanto. O gmail da Google também diz que os conteúdos são analisados. Não há razão para deixar de usar as redes sociais mas temos de ter mais consciência de que corremos certos riscos e ponderar se os queremos correr ou não.

Diria que as pessoas estão mais conscientes?
Acho que isto vai aos bocadinhos. As pessoas devem perceber, sobretudo, que isto não significa não usarem as tecnologias, é usar mas obrigar as empresas e os organismos públicos a terem cuidados e encontrar soluções que previnam esses efeitos.

Edward Snowden disse há duas semanas que desde que fez a denúncia em 2013 pouco mudou do ponto de vista da vigilância massiva e indiscriminada.
É verdade e é triste e preocupante. Nós continuamos com as reivindicações dos Estados que precisam destes meios e tecnologias para combater o terrorismo. Mas temos de pensar que quando estamos a viver num estado de Direito são reconhecidos aos cidadãos um conjunto de direitos, desde logo a privacidade nas comunicações eletrónicas e noutros contextos, garantias de liberdade de ação…

Que não estão garantidos.
Num Estado de Direito não há razão para não conseguirmos equilibrar esses direitos com outras finalidades legítimas. Queremos garantir a segurança mas vamos equilibrar com os direitos que existem. O Estado tem de perceber que não pode fazer tudo e invadir as casas das pessoas para garantir o combate ao terrorismo, até porque nem assim consegue combater.

A ministra da Administração Interna inglesa queixou-se há dias por não poder aceder aos dados do WhatsApp do homem que matou várias pessoas junto do Parlamento. Pensava que as empresas davam esta informação.
Não sei se não deu entretanto. Mas este é um problema. Há processos a correr nos EUA de algumas empresas como a Microsoft que se recusavam a fornecer as comunicações encriptadas, que é um direito fundamental que está consagrado. Percebo que, perante situações extremas, haja esta vontade de aceder a informação mas é preciso ter calma. Hoje é uma comunicação, um sms, amanhã querem pôr câmaras dentro das casas das pessoas que só serão abertas se houver…não pode ser. Isto tem que ter um limite.
A este propósito, nós temos uma lei de retenção de dados que obriga as operadoras a conservar os dados de tráfico e localização. E essa lei transpõe uma diretiva que já foi declarada violadora da Carta dos Direitos Fundamentais pelo Tribunal de Justiça da UE por ser desproporcional. Num acórdão recente veio dizer que os estados membros têm a obrigação de rever as suas leis de retenção de dados precisamente porque permitir ao Estados que recolham informação de forma massiva para o caso de vir a ser útil para alguma investigação criminal é um excesso.

Mesmo que seja em nome do combate ao terrorismo?
É sempre em nome do combate ao terrorismo e de organizações criminosas. É sempre isto que se invoca. Não é só a privacidade que é afetada é também a liberdade de ação e de expressão que fica condicionada. Tem de haver aqui um limite qualquer sob pena de se negar um direito fundamental da cultura europeia.

Isto está cada vez mais aberto e exposto. Por isso é que é importante dizer que há limites num Estado de Direito. O Estado não pode fazer o que quer

Mas o que se está a passar vai no sentido contrário.
Isto está cada vez mais aberto e exposto. Por isso é que é importante dizer que há limites num estado de Direito. O Estado não pode fazer o que quer. É preciso a intervenção de um juiz para dizer se pode ou não aceder. Quem está a investigar quer sempre mais. Cabe ao juiz fazer a triagem. Por isso insisto que a lei de retenção de dados tem de ser revista rapidamente porque não respeita nem a Constituição portuguesa nem a Carta de Direitos Fundamentais, embora seja mais limitada do que noutros países pois exige a intervenção de um juiz.

Estamos a pouco mais de um ano da aplicação do novo regulamento geral de proteção de dados. Portugal está preparado?
Diria que neste momento não estamos. Falta aprovar legislação para adaptar e complementar alguns aspetos do regulamento. Mas estou em crer que em maio do próximo ano estaremos em condições de aplicar o regulamento.

Quais as alterações com maior impacto no dia-a-dia dos organismos e empresas?
A principal alteração é do paradigma. As autoridades de proteção de dados deixam de fazer controlos prévios e são as empresas e organizações públicas e privadas que passam a verificar internamente se o tratamento de dados que querem fazer está ou não em conformidade com a lei. Se estiverem podem iniciar, se não estiverem têm de adotar medidas para o garantir.

Esta alteração vai no bom sentido?
É uma tendência geral do Direito Administrativo nas últimas décadas. Por outro lado, justificada também com a ideia de que tudo isto são obstáculos à iniciativa económica e que atrasa a vida das empresas e por isso mais vale deixar que cada um vá por sua responsabilidade para o mercado e depois então em sede de fiscalização sucessiva atuam as autoridades de proteção de dados.

Isto não vai retirar muito trabalho à CNPD?
Sim desse ponto de vista vai obrigar a uma reestruturação da estrutura interna da comissão porque a fatia principal do trabalho da CNPD é o controlo prévio. Mas vai implicar uma responsabilidade maior para as empresas em termos de tratamento de dados pessoais, com novas obrigações que não tinham e daí a certa ansiedade que se sente no mercado em relação ao novo regulamento.

Sente essa ansiedade?
Sim sente-se. Porque há aqui um problema acrescido. Este novo regulamento vem responder a uma necessidade que a Comissão Europeia detetou de uniformizar o regime de proteção de dados na Europa. As empresas, sobretudo as grandes multinacionais, lidavam com regimes muito diferentes. Mais exigentes nuns países, menos noutros. E portanto, a ideia foi eliminar estes entraves todos à iniciativa económica. Por outro lado, há aspetos que o regulamento define com algum rigor, mas há outros que deixa em aberto para a regulamentação de cada país.

Se cada estado membro regular à sua maneira essa harmonização não poderá ficar em causa?
Esse é um problema. Mas estamos a tentar articular tudo a nível europeu entre as autoridades de proteção de dados e ajudar o poder político a encontrar soluções mais ou menos harmonizadas. Está a demorar algum tempo para que os responsáveis de tratamento de dados saibam o que têm de fazer. Porque estamos a tentar a encontrar consensos de muitas das normas. E isto está a demorar um bocadinho e dai a ansiedade das empresas. Estão a querer preparar, e bem, a sua estrutura interna.

É aqui que entra a nova figura do encarregado dos dados?
Sim. O encarregado de proteção de dados. As empresas vão ter de ter alguém, dentro da organização ou contratar fora, que faça esse controlo.

Essa obrigação é para todas as empresas, sejam pequenas, médias ou grandes?
Isto não pode ser pelo número de trabalhadores. Há uma série de critérios combinados, os conceitos são um bocadinho imprecisos, daí o papel das autoridades em identificar as atividades empresariais que implicam a criação dessa figura. Mas os organismos públicos vão ter todos de ter obrigatoriamente de ter encarregados.

E estão preparados?
O regulamento diz que o encarregado tem de ter conhecimentos jurídicos e sistemas de informação mas não tem de ser necessariamente um jurista ou alguém da área das tecnologias. Tem de ser alguém que consiga congregar este conjunto de conhecimentos e consiga garantir a aplicação da lei. Podem ser equipas mistas, porventura. Isto também está a ser discutido no grupo de trabalho das autoridades de proteção de dados. Pode passar pela certificação desses encarregados de proteção de dados. Há alguns países da UE que como já tinham essa figura, já estão a dar alguns cursos nesse sentido.

Diz que os organismos públicos poderão contratar pessoas mas como vai ser com as restrições orçamentais?
O regulamento deixa em aberto a possibilidade de ser alguém da própria organização, mas o que é importante é que seja independente da organização e não reporte diretamente à administração da empresa ou organismo público. Tem mesmo de ser alguém com garantias de independência.

Consegue dar-me um exemplo prático de como vai passar a decorrer o processo de tratamento de dados?
Os princípios de proteção são os mesmos, não há assim uma alteração significativa de condições para o tratamento de dados. É mais ou menos a mesma coisa. Geralmente, ou está previsto na lei ou há consentimento dos titulares. Mas se for com base no consentimento, vai ter de verificar se o consentimento cumpre todos os requisitos que a lei prevê, nomeadamente, que o consentimento passa a ser sempre explícito. Até aqui, havia certos tratamentos de dados menos sensíveis que podiam ter um consentimento implícito. Por outro lado, vão ter de alterar a política de privacidade. Estamos habituados a passar à frente das políticas de privacidade dos sites que consultamos, uma coisa insuportável de páginas e páginas. Ninguém tem tempo para estar a ler aquilo tudo.

Empresas e organismos vão ter de alterar a política de privacidade. Têm de pôr uma linguagem muito mais simples, sucinta e clara e vão ter de ter um registo com as operações de dados pessoais. Até aqui não era obrigatório.

E não vai continuar a ser assim?
Não. Têm de rever e pôr uma linguagem muito mais simples, sucinta e clara para que se perceba exatamente que impactos podem resultar de se estar a utilizar aquele serviço. E vão ter de ter um registo com as operações de dados pessoais. Até aqui não era obrigatório. Há também regras mais específicas sobre a relação de subcontratação. Grande parte dos responsáveis pelo tratamento de dados pessoais contratam outras empresas para fazerem esse processamento da informação. O regulamento é agora mais exigente, criando um conjunto de obrigações para os que são subcontratados.

A definição dos próprios dados pessoais é ou não alargada?
Não. Anda-se para aí a dizer isso mas não é. É exatamente o mesmo que estava na diretiva, tem é mais exemplos. O regulamento veio tornar isso é mais explícito.

O novo regulamento também consagra o direito ao apagamento dos dados.
Este direito de alguma forma já estava previsto na anterior diretiva e na nossa lei de dados pessoais. O que mudou um bocado são os pressupostos.

As coimas são substancialmente agravadas. Uma multa pode chegar aos 20 milhões. É exequível?
Estamos a falar de uma regra para toda a Europa mas os valores ainda vão ser definidos por cada estado membro. De qualquer das formas é o valor máximo. Só em casos extremos, provavelmente nunca será aplicado esse valor. Mas é um valor que assusta e faz pensar duas vezes. A legislação em vigor, que é de 1998, tem coimas tão baixas que às vezes compensa continuar a cometer ilícitos. Até porque o regime não prevê a penalização sobre a reincidência.

E não poderá acontecer como nas violações à Lei da Concorrência, em que o regulador aplica multas brutais, as empresas recorrem para os tribunais e o valor final acaba por ser um muito inferior?
Pode acontecer. Muitas vezes há dificuldade em provar certas coisas que faz com que alguns processos cheguem aos tribunais e depois morrem.

A CNPD tem-se queixado muito da falta de recursos. No relatório de 2015 afirmava claramente que “os recursos não são suficientes para dar uma resposta atempada ao número crescente de processos”.
E não são. Temos cerca de 20 mil processos pendentes, o que é um absurdo. Não faz sentido e ainda menos sentido faz com o novo regulamento. Nós não podemos ter só duas equipas de inspeção. Precisamos de ter mais gente.

Temos cerca de 20 mil processos pendentes, o que é um absurdo. Não faz sentido e ainda menos sentido faz com o novo regulamento. Nós não podemos ter só duas equipas de inspeção. Precisamos de ter mais gente.

Já fez esse pedido a quem de direito?
Todos os anos chamo a atenção para isso. O novo regulamento impõe aos estados membros que deem os meios necessários e já há uma movimentação das autoridades de proteção de dados a chamar a atenção para esta questão. Vamos deixar de cobrar taxas e portanto precisamos do Orçamento do Estado.

Tem a garantia de que vai ter mais verbas do OE?
Têm que vir. Não podem cativar tudo.

Mas esse é um problema transversal a muitos organismos.
Nós temos receitas próprias e têm sobrado todos os anos mas com as cativações não nos deixam gastá-las. Mas como vamos deixar de as ter e precisamos de mais não sei como é que isto vai ser feito. Tem que haver aqui uma ginástica do lado do Estado, da Assembleia da República neste caso, para termos esse reforço sob pena de não conseguirmos fazer nada. Os nossos recursos são claramente insuficientes para o número de tratamento de dados pessoais que se faz no país. Repare que ainda temos as regiões autónomas onde não temos nenhum serviço. E como vamos fazer inspeções se não tivermos dinheiro para as deslocações, gasolina e gasóleos? Os cortes estão nesta ordem. Temos também obrigações de representação no exterior, muitas vezes têm sido canceladas as nossas participações por causa das cativações. E não há dinheiro. Tem que haver a perceção de que é preciso apostar sob pena de se negar completamente a proteção de dados. E aí não vale a pena estarmos a fazer leis e estarmos com isto. Das duas uma: ou é para as leis serem aplicadas ou se não há meios de garantir a aplicação das leis não vale a pena estamos a fazer leis e deixem lá estar o regulamento.

Em relação aos drones continua a não haver legislação sobre a privacidade.

A atividade da CNPD tem aumentado nos últimos anos, nomeadamente em relação à videovigilância e à utilização de drones.
Em relação aos drones continua a não haver legislação para os drones e eles continuam a andar por aí. Aquilo que vamos autorizando são situações aparentemente legítimas mas estamos a falar de situações, de acordo com o que é declarado, em que pode de facto haver uma câmara. Continua a não haver legislação a regular estas questões. Há um regulamento administrativo a definir questões de utilização dos drones no plano da segurança e de responsabilidade civil, mas não há nenhuma normação sobre a privacidade.
O nosso problema não é a utilização de drones, é o que vai acoplado aos drones. Se vai uma câmara ou leitor térmico e o que fazem com aquilo. Se vai gravador e o que estão a gravar e a ouvir. Não há regras claras sobre isso e esta é uma matéria com um impacto brutal na privacidade das pessoas. Porque não é a mesma coisa do que ter uma câmara fixa num estabelecimento

Mas não era suposto haver já essa regulamentação?
Chegou a ser preparado um decreto-lei mas que nunca teve normas sobre a parte da proteção da privacidade. E estamos muito atrasados em relação à Europa. O grande problema é sabermos o que o drone está a fazer. As pessoas têm o direito de saber que podem estar a ser filmadas. Claro que se for a uma distância e altitude considerável, em principio a resolução da câmara não permite identificar as pessoas mas eu não sei o que lá esta. Que câmara é aquela, quem a esta a usar e com que finalidade. São tudo questões que temos o direito de saber.

A CNPD alertou quem de direito?
Há mais de dois anos na primeira comissão da Assembleia da República. Depois disso já voltei a insistir no assunto.

Têm tido muitos pedidos?
Sim, além dos pontuais das forças de segurança, há alguns pedidos de outros organismos públicos e entidades privadas e a resposta que temos dado é tendencialmente a mesma: não autorizamos ao abrigo da lei de proteção de dados pessoais porque o risco de impacto sobre a privacidade das pessoas é de tal ordem que, sem mais elementos, não se pode autorizar. O que dizemos é se utilizarem o drone a uma altura que não permita identificação das pessoas nada a opor.

Quantos pedidos estamos a falar?
Cerca de duas dezenas.

Voltando à videovigilância, têm muitos casos em que as regras não são cumpridas?
A maior parte dos nossos processos de contraordenação é sobre sistemas de videovigilância utilizados sem terem pedido de autorização ou serem utilizados para além do que foi autorizado.

Em relação aos dados biométricos a CNPD autorizou 576 pedidos em 2015.
Acho que há aqui um marketing muito forte das empresas que vendem este tipo de tecnologia e vamos ter um problema novo de enquadramento com o novo regulamento. Até aqui, a CPND entendia que não eram dados sensíveis a verdade é que nalguns países europeus, a recolha de impressão digital não era assim tão comum. Também por causa da evolução tecnológica, fez com que agora o novo regulamento viesse qualificado como dado sensível, o que vai obrigar a uma mudança de posição da CNPD e estar mais atenta do que estava até aqui.

O número de queixas e reclamações à CNPD também tem vindo a aumentar. O que é que as pessoas se queixam?
Queixam-se muito contra a entidade patronal no contexto da relação de trabalho e nas relações de vizinhança por causa das câmaras de videovigilância. E agora tem havido também um número crescente de queixas por causa dos spam nos e-mails.

A CNDP aplicou 178 coimas de 220 mil euros em 2015. Não é muito.
Não. As coimas são baixas. As aplicadas por causa dos spam é que são um bocadinho mais altas porque é uma legislação mais recente mas de resto são baixas. E nós aplicamos, por regra, pelo valor mínimo.

Porquê?
Porque achamos que há empresas que não sobreviveriam se fosse muito acima disto e haveria um aumento da litigiosidade que torna tudo mais ineficiente. A coima mais baixa já é um alerta suficiente e geralmente corrigem a situação.

A CNPD não estava a investigar a venda ilegal de dados das operadoras de telecomunicações?
Há alguns indícios que foram detetados mas não lhe posso dizer que empresas estão envolvidas. Não posso falar. Mas genericamente, há situações de indícios de venda de bases de dados a terceiros muitas vezes a partir de empresas subcontratadas e depois é muito fácil passar essa informação.

 

 

Comentários
Outras Notícias que lhe podem interessar
Hoje
Angel Gurría, secretário-geral da OCDE. Fotografia: Steven Governo/Lusa

OCDE. Défice português “desaparece” em 2020, mas é preciso mais

Fotografia: D.R.

Fisco vendeu uma média de 134 imóveis penhorados por mês

ANDRÉ AREIAS/LUSA

Operestiva diz que só pode contratar 30 estivadores

Outros conteúdos GMG
“Não posso garantir que a privacidade das pessoas esteja assegurada”