A Comissão Nacional de Proteção de Dados (CNPD) identificou 225 contraordenações nas comunicações feitas pela Câmara de Lisboa no âmbito de manifestações, ficando a autarquia sujeita a coimas, por cada uma, até 10 a 20 milhões de euros.

Na sequência de uma participação - que deu entrada na CNPD em 19 de março - relativa à comunicação à embaixada da Rússia em Portugal e ao Ministério dos Negócios Estrangeiros russo de dados pessoais dos promotores de uma manifestação, efetuada pelo município de Lisboa, a comissão de proteção de dados abriu um processo para averiguar a denúncia.

Nos dias 17 e 22 de junho de 2022, a CNPD realizou ação inspetiva nas instalações do município de Lisboa para verificar o tratamento de dados pessoais relativo aos avisos de reuniões, comícios, manifestações ou desfiles, em lugares públicos”, lê-se no relatório divulgado esta quinta-feira por esta entidade, que conclui que a autarquia presidida por Fernando Medina (PS) cometeu um total de 225 contraordenações.

A presidente da CNPD defendeu que o encarregado de proteção de dados da Câmara de Lisboa não deve ser destituído, sublinhando que a responsabilidade deve ser imputada apenas ao município.

Filipa Calvão foi ouvida à tarde no parlamento pela Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias a propósito da transmissão por parte da Câmara Municipal de Lisboa de dados pessoais de manifestantes a entidades terceiras, nomeadamente embaixadas.

Um dos pontos abordados pela presidente da CNPD foi a proposta da Câmara de Lisboa de exonerar o encarregado de proteção de dados do município e também coordenador da equipa de projeto de proteção de dados pessoais, Luís Feliciano, na sequência desta polémica, o que, no entender de Filipa Calvão, não encontra fundamento no Regulamento Geral de Proteção de Dados (RGPD).

“Uma questão a saber é se em algumas circunstâncias podem os encarregados ter aqui alguma falha que justifique a sua destituição ou afastamento das suas funções. Desse ponto de vista, o RGPD é bastante claro a determinar que não pode ser destituído, nem prejudicado ou penalizado pelo exercício das suas funções”, afirmou.

Ainda a este propósito, a presidente da CNPD criticou a Câmara de Lisboa por ter permitido que Luís Feliciano acumulasse as funções de encarregado e coordenador de projeto, considerando que “não ficou salvaguardada uma prevenção de conflito de interesses”.

“Quando muito, aquilo que se pode perguntar é se neste contexto terá cumprido a sua função. Na relação entre o encarregado de proteção de dados e o topo do município de Lisboa a interação era com o vice-presidente, mas reitero que a responsabilidade do tratamento só pode ser imputada ao município de Lisboa”, insistiu.

Outro dos pontos abordados pela responsável da CNPD foi a prática da Câmara de Lisboa na comunicação feita a entidades terceiras, nomeadamente embaixadas, sobre a realização de manifestações, adiantando que não se trata de um procedimento adotado por outros municípios.

As informações que a CNPD recolheu até agora demonstram que essa prática não está a ser seguida noutros municípios. Tanto quanto agora nos foi possível perceber essa prática é exclusiva do município de Lisboa”, ressalvou.

Filipa Calvão deu também conta aos deputados do projeto de deliberação da CNPD sobre violações à proteção de dados da Câmara de Lisboa a respeito de manifestações, no qual consta um total de 225 contraordenações, ficando a autarquia sujeita a coimas, por cada uma, até 10 a 20 milhões de euros.

“Detetámos comunicações que na nossa perspetiva não encontram fundamento, nem base legal para que se tivessem realizado. Entendemos que o diploma aplicado não legitima o município a transmitir esta informação a entidades terceiras. Poderá justificar-se em alguns casos a informação de que vai ser realizada a manifestação, mas não a informação sobre os promotores”, argumentou.

Questionada sobre um eventual pedido de isenção de pagamento da coima por parte da Câmara de Lisboa, a presidente da CNPD defendeu que “deve existir uma igualdade de tratamento entre as entidades privadas e públicas”.

O regime de dispensa de aplicação de coima parece-nos ser um regime muito excecional, sob pena de estarmos aqui a violar a igualdade de tratamento de organizações públicas e privadas”, atestou.

A Comissão Nacional de Proteção de Dados (CNPD) identificou 225 contraordenações nas comunicações feitas pela Câmara de Lisboa no âmbito de manifestações, ficando a autarquia sujeita a coimas, por cada uma, até 10 a 20 milhões de euros.

Na sequência de uma participação - que deu entrada na CNPD em 19 de março - relativa à comunicação à embaixada da Rússia em Portugal e ao Ministério dos Negócios Estrangeiros russo de dados pessoais dos promotores de uma manifestação, efetuada pelo município de Lisboa, a comissão de proteção de dados abriu um processo para averiguar a denúncia.

Segundo o projeto de deliberação da CNPD, 111 contraordenações dizem respeito à comunicação de dados a terceiros, 111 são relativas à difusão de informações para serviços e gabinetes municipais, existindo ainda uma comunicação que viola o “direito de informação”, outra que põe em causa o princípio da limitação da conservação de dados e, por fim, uma contraordenação por ausência da avaliação de impacto sobre a proteção de dados (AIPD).

A coima relativa à contraordenação pela ausência da avaliação do impacto sobre a proteção de dados pode atingir 10 milhões de euros, enquanto as restantes 224 podem ir, cada uma, até aos 20 milhões de euros.

A CNPD defende no documento que a autarquia “procedeu a um conjunto de operações sobre informação relativa a pessoas singulares, no exercício de uma atividade pública específica, da qual resulta necessariamente impacto na privacidade e na liberdade daquelas e tinha obrigação de conhecer o enquadramento legal em que poderia, de facto, realizar esse conjunto de operações”.

A Câmara de Lisboa agiu “de forma livre, deliberada e consciente” ao remeter 111 comunicações eletrónicas “com informação relativa a pessoas singulares que subscreveram os avisos de reuniões, comícios, manifestações e desfiles, para os serviços do município, os quais não tinham necessidade de conhecer aquela informação pessoal para a preparação e execução das tarefas públicas”.

Agiu também “de forma livre, deliberada e consciente” ao enviar dados de manifestantes a terceiros, ao conservar informações “já depois de esgotada a finalidade que motivou a recolha”, ao não informar os titulares da recolha da sua informação pessoal e também “ao não ter realizado a avaliação de impacto do tratamento de informação sobre os dados pessoais de grande sensibilidade”, entende a comissão.

De acordo com a CNPD, o objetivo de uma AIPD é verificar que são cumpridas as obrigações legais quanto à proteção de dados pessoais, incumbindo ao responsável pelo tratamento, “neste caso o município de Lisboa, um especial cuidado no tratamento de dados relativos ao exercício do direito fundamental de reunião e manifestação”.

A deliberação, datada de 30 de junho, refere que a Câmara de Lisboa será notificada para, querendo, exercer o direito de audição e defesa, no prazo de 10 dias úteis a contar da data de receção do documento.

A CNPD refere ainda que “na fixação do montante, aquando da determinação da medida concreta da coima única” serão tidos em conta aspetos como “a gravidade da infração”, o “caráter intencional ou negligente”, a iniciativa tomada “para atenuar os danos sofridos pelos titulares”, conforme estabelece o Regulamento Geral de Proteção de Dados (RGPD).

 

A Câmara de Lisboa agendou para hoje a exoneração do encarregado de proteção de dados do município e coordenador da equipa de projeto de proteção de dados pessoais, Luís Feliciano, na sequência deste caso, mas a votação foi adiada para sexta-feira.

Em 21 de junho, a Associação dos Profissionais de Proteção e de Segurança de Dados (APDPO) defendeu que a exoneração do encarregado da proteção de dados da Câmara de Lisboa é ilegal e anunciou que apresentará queixa se a situação se materializar.

A APDPO argumenta que este técnico “não é responsável, nem pode sê-lo, pelas obrigações que incubem ao responsável pelo tratamento”, acrescentando que é “aos organismos nas pessoas dos seus dirigentes máximos, que incumbe adotar todas as medidas de proteção de dados”.

Agência Lusa / MJC