A Câmara Municipal de Lisboa foi multada em 1,2 milhões de euros por violação de proteção de dados, na sequência do caso "Russiagate", sobre a divulgação pela autarquia de dados pessoais de ativistas à embaixada russa em Portugal.

A notícia foi avançada pela Sic Notícias e confirmada pela CNN Portugal.

O município, na altura presidido por Fernando Medina, tinha feito chegar às autoridades russas os nomes, moradas e contactos de três ativistas russos que organizaram um protesto, em frente à embaixada russa em Lisboa, pela libertação de Alexey Navalny, opositor do Governo russo.

A autarquia, agora liderada por Carlos Moedas, reagiu em comunicado, apontando a "herança pesada" que recebeu de Medina e garantindo que esta multa coloca em causa outras "opções e apoios sociais" que seriam atribuídos aos lisboetas.

"Esta decisão é uma herança pesada que a anterior liderança da Câmara Municipal de Lisboa deixa aos lisboetas e que coloca em causa opções e apoios sociais previstos no orçamento agora apresentado", diz a autarquia.

E acrescenta: "Vamos avaliar em pormenor esta multa e qual a melhor forma de protegermos os interesses dos munícipes e da instituição."

As conclusões da CNPD

Em julho, a Comissão Nacional de Proteção de Dados acusou o município de Lisboa de ter violado o Regulamento Geral sobre a Proteção de Dados (RGPD) relativamente a avisos de manifestações realizadas desde julho de 2018.

A CNPD tinha concluído estarem em causa várias infrações.

Tendo terminado a fase de instrução, [a CNPD] acusou o município de Lisboa de, ao comunicar os dados pessoais dos promotores de manifestações a entidades terceiras, ter violado o RGPD. Concluiu também pela violação do RGPD quanto às comunicações para diversos serviços do município”, indicava o comunicado, na altura.

Segundo a comissão, as infrações resultam de falta de licitude e da violação do princípio de necessidade, já que a lei apenas permite que haja comunicação de informação referente a objetos, datas, horas, locais e trajetos de manifestações, “sem transmissão de dados pessoais”.

Foram registadas ainda outras infrações ao RGPD, com destaque para o facto de os promotores dos protestos não terem sido informados do processo de tratamento dos seus dados pessoais.

No entender da CNPD, por estarem em causa “dados especialmente sensíveis, porque revelam opiniões e convicções políticas, filosóficas ou religiosas, impunha-se ao município, enquanto responsável pelo tratamento, um cuidado acrescido, nos termos da Constituição portuguesa e do RGPD”.

O envio destes dados a entidades estrangeiras como representações diplomáticas, é referido, “pode pôr em risco” direitos fundamentais consagrados na Constituição.

“A CNPD considerou que a proliferação de envios dos dados pessoais dos promotores dos eventos, por várias entidades nacionais e estrangeiras, potencia a criação de perfis de pessoas em torno das suas ideias, opiniões ou convicções, de modo ilegal”, descreve a comissão, sublinhando que a utilização posterior dessa informação “escapa completamente ao controlo do responsável pelo tratamento”.

O que estava em causa

A polémica em torno do envio de dados de promotores de manifestações a entidades externas à Câmara de Lisboa surgiu no início do mês de junho de 2021, depois de notícias dando conta de que o município fez chegar à embaixada russa nomes, moradas e contactos de três ativistas que organizaram em janeiro um protesto pela libertação de Alexey Navalny, opositor do Governo russo.

O então presidente da Câmara Municipal de Lisboa pediu então "desculpas públicas" pela partilha desses dados, assumindo que foi "um erro lamentável que não podia ter acontecido", mas o caso originou uma série de protestos, da Amnistia Internacional aos partidos políticos.

Em 18 de junho, na apresentação de uma auditoria interna realizada ao caso de divulgação de dados de manifestantes a embaixadas, Fernando Medina reconheceu que a autarquia desrespeitou reiteradamente um despacho de 2013 assinado por António Costa, presidente do município à data e atual primeiro-ministro.

Nesse ano, António Costa emitiu um despacho para alterar a prática de envio de informação pessoal sobre manifestantes, dando “ordem de mudança de procedimento no sentido de só serem enviados dados à Polícia de Segurança Pública e ao Ministério da Administração Interna”.

Contudo, assumiu Fernando Medina, esse despacho foi alvo de “reiterados incumprimentos” ao longo dos anos, ou seja, ocorreu “uma prática relativamente homogénea, mesmo quando houve instrução do presidente da câmara para alteração desse procedimento”.

Em 2018, entrou em vigor o novo RGPD, mas, no “esforço substancial de adaptação” do município, o procedimento de tramitação de avisos de manifestações “não sofreu adaptações”.

De acordo com as conclusões da auditoria, desde 2012 foram comunicadas à Câmara de Lisboa 7.045 manifestações.

“No total, foram remetidas 180 comunicações de realização de manifestação junto de embaixadas, 122 anteriores à entrada em vigor do RGPD e 58 após. Depois da entrada em vigor do RGPD, ou seja, para o período de maio de 2018 a maio de 2021, foram considerados como tendo sido enviados dados pessoais em 52 dos processos”, lê-se no documento.

A Câmara de Lisboa exonerou o encarregado de proteção de dados do município e coordenador da equipa de projeto de proteção de dados pessoais, Luís Feliciano, na sequência deste caso.

Paula Caeiro Varela