MEDINAGATE … O RGPD “apanhou” a Capital.

PUB
Oliveira Dias

1. É mais ou menos óbvia a constatação da olímpica indiferença que, genericamente, as autarquias locais dedicam ao Regulamento Geral de Protecção de Dados, vulgo RGPD, com especial destaque para as freguesias.

2. O denominador comum, entre o RGPD e as Autarquias Locais portuguesas, é que ambas têm no cidadão o seu principal (senão único) destinatário, logo desconsiderar um deles, é relegar o seu principal destinatário – o cidadão – para um plano secundário.

3. O que aconteceu no maior município português, é um alerta dramático, pelas consequências na vida das pessoas visadas, e uma pedrada no charco da indiferença, cujo impacto nos responsáveis envolvidos pode vir a ser dantesco, como a frente se explicará.

4. Quando falo em “responsáveis” é importante reter que o principal pilar do RGPD é precisamente o da “responsabilização”, e esta, no quadro administrativo de uma autarquia é bastante peculiar, e nem sempre facilmente aferível num primeiro olhar.

5. Assim no caso que envolve os “data brech” do Município de Lisboa, relativamente ao último incidente que envolveu 3 cidadãos estrangeiros, cujos dados pessoais foram partilhados com as respectivas embaixadas, e que desencadeou a cascata de acontecimentos ulteriores, estamos em presença de 3 incidentes de quebra de dados, um por cada cidadão visado.

6. Com o anúncio das conclusões da auditoria interna que foi realizada a pedido do Presidente da Câmara, sabe-se agora que esse número sobe para 52 casos de violação de dados pessoais, desde a entrada em vigor do RGPD, em 25 de Maio de 2018.

7. É invocado o vetusto diploma das manifestações (D.L. nº 406/74, de 29 de Agosto), cujo nº 1 do seu Artº 2º, estabelece que o aviso de manifestação ou comício é dirigido ao Governador Civil, ou ao Presidente de Câmara, consoante se trate de município capital de Distrito, ou fora dela, estabelecendo o nº 2 do mesmo Artº e diploma, os dados a serem inscritos no aviso, a saber: o nome dos promotores (pelo menos 3), profissão e morada, validados com as respectivas assinaturas. O Artº 3º estabelece ainda que se especifiquem outros dados, a saber: a hora, local, e objecto da manifestação, e trajecto a seguir, a fim das autoridades melhor diligenciarem a concretização do evento sem afectar a ordem pública. Por último neste diploma não se autoriza que estas informações possam ser partilhadas com terceiros, sejam nacionais e muito menos estrangeiros, como é o caso das embaixadas. Já o Artº 13º, estabelece a prerrogativa, do Governador Civil ou Presidente de Câmara, conforme o caso, possa pedir um parecer junto das autoridades militares, ou outras autoridades (embora não indique que outras autoridades são estas, percebe-se que se trata de autoridades policiais, não se podendo considerar as representações diplomáticas estrangeiras como “autoridades”, por violação do “ius imperie” português), no entanto este pedido de parecer tem de assentar em razões de segurança pública.

8. O Relatório invoca também a Lei orgânica nº 1/2011, de 30 de Novembro, pela qual se extinguiu os Governos Civis, transferindo-se determinadas competências para os municípios, dentre elas, esta sobre as manifestações.

9. É preciso atentar num pormenor da maior importância: antes daquela Lei orgânica os dados constantes no aviso entregue ao cuidado do Governador Civil, podiam ser partilhados com outras autoridades policiais, porque estas estavam sob a superintendência do Governador Civil. Logo a tramitação destes dados era digamos “interna”. Diferentemente acontece aquando da extinção dos governos civis, pois sobre as autoridades policiais os municípios não têm nenhum poder de superintendência, o que faz das autoridades policiais entidades externas aos municípios. Veremos porque isto é importante também.

10. Em 25 de maio de 2018, o RGPD entra em vigor. A partilha de dados pessoais, de forma não autorizada é uma das mais graves violações.

11. Assim os Presidentes de Câmara, ao recepcionarem um aviso de manifestação, estão objectivamente impedidos de partilhar os dados pessoais dos promotores (recorde-se: o nome a profissão, morada e a assinatura), com terceiros, incluso as autoridades policiais. Mas podem, e devem partilhar os demais dados (hora, local e objecto da realização, e trajecto) a fim das autoridades policiais assegurarem a ordem pública.

12. O RGPD impõe ás entidades públicas a nomeação de um responsável pela protecção de dados (DPO/EPD), cargo de enorme responsabilidade, cuja função é acompanhar e assegurar que o RGPD é cumprido. No âmbito da actuação do DPO, que exerce de forma independente e sem sujeições hierárquicas, inscrevem-se as actividades formativas visando sensibilizar os colaboradores para o RGPD, e aqui, assume especialmente importância, a circunstância do município de Lisboa ter 12.000 colaboradores, convocando, por isso, a necessidade de pelo menos todas as chefias serem envolvidas nestas acções de sensibilização. Isto como mínimo.

13. O Município de Lisboa tem um DPO, e contratou uma grande empresa de consultoria, para implementar um sistema de gestão de RGPD. A nomeação do DPO é uma competência, no caso, da Câmara Municipal.

14. É óbvio que quando um DPO não exerce a sua função de modo adequado, as consequências de um incidente, recaem sobre ele próprio. Daí o “peso” desta função.

15. Neste caso, e tendo presente o tal pilar da responsabilização, de quem é a responsabilidade? Do Presidente da Câmara, do DPO, ou do dirigente do serviço autor do incidente em causa (gabinete de apoio á presidência), ou da Secretaria-Geral, ou de todos, ainda que em diferentes graus de responsabilidade?

16. Do Presidente da Câmara, é e não é, porque, tem aqui um duplo papel, por um lado como vimos, a competência para nomear o DPO não é do Presidente da Câmara, mas sim da Câmara Municipal, sendo a este órgão colegial que o DPO reporta e assiste, e por outro lado é exclusivamente competência sua, a recepção do aviso de manifestação, e depois actuar em conformidade. Assim se o gabinete que lhe dá apoio envia para uma embaixada dados pessoais, isso tem de ser do seu conhecimento, caso a caso (a questão de se saber se uma autarquia tem legitimidade para se relacionar directamente com outros Estados, através das suas representações diplomáticas, é outra questão, mas que na óptica do RGPD é secundária). Quando se verifica um incidente de quebra de dados isso tem de ser comunicado á Câmara Municipal, por quem ? Neste caso pelo Presidente da Câmara e pelo DPO.

17. Do DPO não será porque segundo informações veiculadas nas redes sociais, e a serem verdadeiras, este só não deu formação ao gabinete de apoio á presidência (autor do incidente) porque lhe foi comunicado, pela Secretaria-Geral do município, não existir tratamento de dados pessoais naquele serviço, razão porque ficou fora dos planeamentos. Ademais, quando lhe chegou ás mãos a reclamação dos visados, o DPO, não só lhes reconheceu razão, como instou a câmara municipal a notificar esse facto á autoridade nacional (CNPD), como lhe competia nos termos do nº 1, do Artº 33º. Talvez se pudesse assacar ao DPO uma postura mais pró-activa, para não se ficar apenas por aquilo que lhe transmitem, razão porque o ideal é recorrer a auditorias internas de RGPD, promovidas pelo DPO, para confirmar ou infirmar as informações que são prestadas pelos serviços… .

18. Da chefia dos serviços autores do incidente (gabinete de apoio á Presidência), dificilmente será, porque não tendo sido envolvidos em acções de sensibilização, e apesar do desconhecimento da Lei não aproveitar a ninguém, a sua responsabilidade é mitigada pela ausência de algo a que não só tinham direito, como lhe foi negada – a formação.

19. Assim a responsabilidade repousa por inteiro na secretaria-geral, por ter falhado na identificação dos processos de tratamento de dados, e assim ter comprometido a conformidade para com o RGPD, na actuação dos serviços.

20. Quanto ás medidas que a Câmara Municipal de Lisboa anunciou, muitas dúvidas, desde logo:

a) propõem-se delegar na Policia Municipal as competências do D.L. nº 406/74, de 29 de Agosto, ou seja, a competência do Presidente da Câmara em recepcionar o aviso de manifestação, passar, pelo instrumento de delegação de competências, para a policia municipal, porém não se sabe em que instrumento legal se apoia essa delegação uma vez que não está prevista, na Lei orgânica que extinguiu os governadores civis.

b) a intenção de partilhar os dados pessoais dos promotores com as autoridades policiais e com o ministério da administração interna, não encontra escora q.b. na legislação aplicável, e sem esse fundamento de licitude, viola o RGPD;

c) a exoneração do DPO, levanta alguns problemas. A Lei define quem nomeia o DPO, e confere-lhe protecção para este poder exercer a sua função com autonomia e não sujeito a disciplina hierárquica, pelo que, segundo pensamos, este não pode ser exonerado, excepto quando em consequência de uma objectiva e fundamentada acusação de incapacidade para o exercício dessa função. Ora isto implicaria que se aguardasse pelo resultado do inquérito que a autoridade nacional (CNPD) desencadeou de forma a apurar responsabilidades, e o DPO é peça central neste processo, pelo que o seu afastamento até pode ser entendido como uma forma de o afastar do apuramento de responsabilidades. A própria auditoria interna, desencadeada pelo Presidente da Câmara, carece de legitimidade em razão de matéria, porque se imiscui em domínios que estão exclusivamente, na alçada do DPO. Esta actuação até pode ser encarada pela CNPD como uma violação ao dever de cooperação (alínea f, do nº 2, do artº 73º do RGPD), devida pelo Município à autoridade nacional, e como as sanções a aplicar são ponderadas em função de vários factores, esta falta de cooperação pode influenciar muito aquela ponderação, em desfavor do Município.

21. O quadro sancionatório, para uma situação destas, para além das ponderações a fazer, não se contém apenas no quadro contra-ordenacional. A Lei 58/2019 de 8 de Agosto, que institui a matriz sancionatória em Portugal das violações ao RGPD, comina prisão até 1 ano ou multa até 120 dias (nº1, Artº 46), para casos de utilização de dados pessoais incompatível com a finalidade da sua recolha. É o caso … só que multiplicado por 52 vezes, tantos quantos os incidentes confessados pela edilidade.

22. Por último, mas não o último, aqui em “casa” (Odivelas, Loures, Amadora) como estão as coisas, melhor ou pior que na capital?

23. O Município de Odivelas, tem o seu DPO. Loures também, a fazer fé na sua Politica de Privacidade (um lapso linguae do RGPD não obriga a que se revele o nome do DPO, apenas que se indique os seus contactos, mas o CPA obriga, subordinado que está ao principio da publicidade, mas por uma razão que dificilmente descortino, as autarquias optam sempre por “esconder” este dado que devia ser público e escrutinável. Eu recomendo sempre que se publicite o nome do DPO, e as suas funções, caso exerça em acumulação).

24. Das Freguesias do Concelho Loures, só a União de Freguesias de Camarate, Unhos e Apelação, se preocupou em cumprir, diligentemente, com o RGPD, as restantes freguesias não consideraram importante a privacidade dos seus fregueses.

25. Das Freguesias do Concelho de Odivelas, a Freguesia de Odivelas, e a da União de Freguesias da Pontinha e Famões, têm em curso actividades de conformidade para com o RGPD, evolvendo auditorias de diagnóstico (passo critico para tudo o resto), formação e nomeação dos respectivos DPO.

26. Das Freguesias do Concelho da Amadora, a Freguesia da Costa do Sol, a Freguesia das Águas Livres e a Freguesia de Alfragide, estão também, em linha com o RGPD.

27. Mesmo em Lisboa, só a Freguesia de Santo António está na senda da conformidade com o RGPD, outras há que por exemplo ou têm políticas de privacidade desactualizadas, logo inócuas, ou nomearam para DPO colaboradores com incompatibilidades para a função, mas o denominador comum, ás Freguesias de Lisboa é o incumprimento generalizado.

Em ano de eleições autárquicas como é que um candidato que se recandidate responderá ao cidadão que lhe perguntar “Porque razão me ignora ao nível da protecção de dados?”.

Rajani Oliveira Dias

Especialista em RGPD Autarquias

PUB IMDENTALCARE