A Comissão Nacional de Proteção de Dados (CNPD), “acusou” a Câmara de Lisboa de ter violado o Regulamento Geral sobre a Proteção de Dados (RGPD) ao comunicar a embaixadas e serviços consulares os dados pessoais dos organizadores de manifestações. A comissão detetou também o envio de dados para diversos serviços da autarquia, assim como para vários ministérios, acusando-a de um total 225 infrações, punível até 20 milhões de euros cada uma.
Feitas as contas as coimas previstas nesta acusação — que dá dez dias à autarquia para se defender — podiam atingir os 4.490 mihões de euros. Mas, segundo Público, este não será o valor que poderá vir a ser fixado na decisão final da CNPD. Segundo Regulamento Geral de Proteção de Dados, os valores das coimas são calculados de acordo com a situação financeira das entidades em causa. Até agora maior coima aplicada pela CNPD à data foi de 380 mil euros — o que até acabou por ser perdoado porque a entidade em causa, um hospital público, não tinha meios para pagar.
A queixa à CNPD partiu dos próprios ativistas lesados, a 19 de março, que se queixaram que os seus dados tinham sido enviados à embaixada da Rússia, tal como noticiou o Observador. O procedimento aconteceu, segundo a auditoria feita pela autarquia, em pelo menos 52 manifestações.
Uma semana depois a comissão estava na Câmara de Lisboa para verificar o tratamento de dados pessoais em relação a todas as reuniões, comícios, manifestações ou desfiles em lugares públicos, cujo objeto tivesse uma dimensão internacional — como aconteceu com os ativistas russos — e ocorridos depois de julho de 2018, cuja lei em vigor de proteção de dados não esteja prescrita.
Segundo a deliberação da CNPD, todas as manifestações devem ser comunicadas por três dos seus promotores à Câmara Municipal de Lisboa. Mas apesar de haver um e-mail destinado a essa comunicação, ela pode ser feita por esta via e até presencialmente em qualquer serviços — que depois deve digitalizar a comunicação e enviá-la para o tal endereço de e-mail.
Em 2012 as regras na autarquia ditavam que depois fosse dado conhecimento aos gabinetes do primeiro-ministro, da Administração Interna, dos Assuntos Parlamentares, ao gabinete coordenador de segurança, à Unidade de Coordenação Territorial e à Polícia Municipal. Mas um ano depois, Medina mudaria as regras, passando a restringir o envio da informação apenas para o gabinete do ministro da Administração Interna e para o Comando da PSP de Lisboa. Mas tal não terá sido cumprido.
A CNPD identificou várias entidades externas à Câmara de Lisboa e além das definidas no protocolo a quem foram enviados os dados pessoais, como a Assembleia da República ou o Ministério dos Negócios Estrangeiros em função do local ou do motivo do evento. Além destas foram também enviados dados para entidades internacionais. Além da embaixada russa, como veio a público, também as embaixadas da Hungria, Venezuela. Ucrânia, China, Brasil. Palestina, Israel, Itália, os serviços consulares da India, a embaixada da Guiné Bissau, EUA, Angola, Chipre, Turquia, Nigéria, Paquistão e para a própria Comunidade dos Países da Língua Portuguesa (CPLP) receberam dados pessoais dos promotores destes eventos. A autarquia explicou que tal se deveu ao facto de alguns dos eventos serem próximos destes locais, fazendo parte do protocolo comunicar por essa razão. Mas a comissão verificou que nem sempre houve essa correspondência.
Câmara de Lisboa entrega dados de manifestantes anti-Putin aos Negócios Estrangeiros russos
Até dentro da autarquia os dados foram comunicados a serviços que não devia, desde o gabinete do vereador à Direção Municipal de Higiene Urbana, por exemplo.
Já quanto aos dados relativos a manifestações posteriores ao dia 11 de junho, depois de estourar esta polémica e de o chefe de gabinete de Medina ter informado os serviços que estes dados só podiam ir para o MAI e para a PSP, foram “eliminados”, com exceção do nome próprio e nalguns casos do nome completo.
Os técnicos da CNPD encontraram ainda um ficheiro Excel com todas as manifestações ocorridas desde 2012 até agora e com a identificação do promotor, da hora, data, local e motivo do evento. E a partilha desse documento foi sendo feita para cada vez mais destinatários. Em 2018 foram enviados para alguns ministérios, para serviços da autarquia e para a Polícia Municipal. No ano seguinte acrescentou-se a PSP, depois o Serviço Municipal de Proteção Civil e até os assessores do gabinete do Presidente da Câmara acabaram a receber a informação. A partir de 14 de junho de 2021, porém, estão apenas MAI, PSP e gabinete do Presidente da autarquia.
Assim, a CNPD concluíu que a autarquia cometeu 225 infrações, violando, com dolo, os princípios da licitude, da proporcionalidade e da necessidade previstos no Regime Geral de Proteção de Dados, cuja coima pode ir até 20 milhões de euros por cada sanção.
“A lei só permite a comunicação da informação relativa ao objeto, data, hora, local e trajeto da manifestação, sem transmissão de dados pessoais”, argumenta a CNPD em comunicado, onde nota que os dados enviados são “especialmente sensíveis, porque revelam opiniões e convicções políticas, filosóficas ou religiosas”, pelo que se “impunha” ao município, “enquanto responsável pelo tratamento, um cuidado acrescido, nos termos da Constituição portuguesa e do RGPD”.
A Comissão considera ainda que o envio dos dados “potencia a criação de perfis de pessoas em torno das suas ideias, opiniões ou convicções, de modo ilegal e cuja utilização posterior escapa completamente ao controlo do responsável pelo tratamento”. Além de ser “uma violação do direito fundamental à proteção de dados, pode pôr em risco outros direitos fundamentais que a Constituição portuguesa consagra”.
O município de Lisboa tem agora dez dias para apresentar a sua defesa, e só depois a CNPD dará a “deliberação final em sede de processo contraordenacional”.