Rita Abranches, investigadora em biologia na Universidade Nova de Lisboa, “nem queria acreditar”. A 28 de abril recebeu um email da Direção-Geral de Estatísticas da Educação e Ciência (DGEEC) no qual era interpelada a acabar de preencher um questionário que estava a ser enviado aos doutorados em Portugal, que são mais de 50 mil. “A sua resposta é de carácter obrigatório”, lia-se nas regras citadas. Querendo cumprir com o seu dever, carregou na hiperligação. Para sua surpresa, ao abri-la, viu dados pessoais que não correspondiam aos seus.
O que aconteceu a Rita não foi uma falha única, como confirmou ao Observador a DGEEC — que reconheceu ter havido “uma falha” — e outras entidades públicas que foram envolvidas neste caso, como a Comissão Nacional de Proteção de Dados (CNPD), o Instituto Nacional de Estatística (INE) e o Ministério da Ciência Tecnologia e Ensino Superior (MCTES). Todos os doutorados que ainda não tinham acabado o questionário deste ano — 250, ao todo — acabaram por ter acesso às respostas, que supostamente eram confidenciais, de outro colega. “Houve 250 acessos [à hiperligação errada]”, assumiu a DGEEC ao Observador. O problema foi entretanto resolvido, mas os dados foram vistos.
O email com dados pessoais que foi visto por 250 doutorados
Quando Rita Abranches abriu o email ficou “pasmada” e prontamente alertou a DGEEC e o gabinete do ministro Manuel Heitor — é o MCTES quem tutela esta instituição. Além disso, avisou também a pessoa visada, ou seja, aquela cujos dados apareciam quando se clicava na hiperligação. Por motivos de confidencialidade, a investigadora não revelou quem é. Dos contactos que fez, a investigadora só obteve resposta da última pessoa.
Passou-se mais de uma semana. Como não tinha sido contactada pelas outras entidades a quem enviou o email, Rita ficou sem saber se os seus dados também tinham sido comprometidos. “Se os dados de um investigador foram, quem terá recebido um link com o meu?”, questionou-se. Só depois de o Observador questionar a DGEEC é que Rita recebeu uma resposta da mesma entidade. Inicialmente, não foi uma justificação, apenas uma garantia que, finalmente, a deixou mais descansada. “Foi um caso isolado”, como afirmou Nuno Rodrigues, diretor-geral da DGEEC, numa resposta por email ao Observador nesse mesmo dia.
Ao Observador, a DGEEC justificou o que aconteceu dizendo que “no email de recordatória enviado aos doutorados, os links ‘visíveis” de acesso individualizado ao questionário encontravam-se corretamente atribuídos a cada um dos doutorados”. “Porém”, diz a DGEEC, houve uma “falha”. Durante a preparação do “mail merge” [a junção dos emails para enviar a quem ainda não tinha respondido], o endereço do inquérito já preenchido pela pessoa lesada “ficou associado aos links individuais deste grupo de doutorados”, explica o responsável pela entidade. “[A hiperligação] Estava erradamente a remeter para o questionário de um outro doutorado”, refere a DGEEC. O responsável pela Direção-Geral justifica ainda que “não foi possível detetar o erro antes do envio dos emails” porque ocorreu “de uma forma ‘mascarada’”.
Rita Abranches não foi a única investigadora que viu estes dados. Como não teve inicialmente resposta das entidades públicas que avisou — a DGEEC e o MCTES — , tentou falar “com mais pessoas” que poderiam ter recebido o mesmo email. Através de grupos de Facebook e outros colegas que sabia que recebiam este inquérito, tentou perceber se mais pessoas teriam sido afetadas. Afinal, continuava sem saber se os dados do inquérito que tinha preenchido “até meio” tinham sido enviados para outros doutorados.
Este ponto era importante para Rita por uma questão de princípio. Além disso, era importante avisar outros potenciais lesados, porque o inquérito faz respostas bastante pessoais, que vão além do nome completo ou do contacto telefónico. Como é possível ver no inquérito feito em 2017, que a DGEEC disponibiliza online, há perguntas como se o doutorado é “divorciado/separado/viúvo”, qual é a principal fonte de rendimento que utilizou para financiar o doutoramento ou como avalia a satisfação que tem no emprego atual.
“Falei com mais pessoas e conheço algumas que não tiveram problemas técnicos”, reconheceu Rita. Mesmo assim, tendo havido 250 acessos indevidos, foi possível encontrar mais investigadores que tiveram o mesmo problema. Ao Observador, Ricardo Noronha, investigador do Instituto de História Contemporânea da Universidade Nova, revela que também acabou por aceder indevidamente aos dados devido a esta falha da DGEEC. “Na altura achei caricato”, assume. Mesmo assim, tentou preencher as respostas em branco. “Supostamente é obrigatório”, assume o investigador, dizendo que não avançou com nenhuma queixa formal para nenhuma entidade.
Esta foi apenas a segunda vez que Ricardo recebeu um destes inquéritos e refere que não deu muita relevância ao assunto. Ao abrir, só percebeu “que havia dados preenchidos por outra pessoa”, mas rapidamente tentou colmatar o problema sem gravar ou copiar a informação. “Nem me lembro do nome que lá estava”, diz. Mesmo assim, após as perguntas feitas pelo Observador — na altura ainda não havia confirmação do erro –, disse: “É provável que alguém tenha recebido o meu”.
DGEEC diz que emails vão passar a ser revistos para evitar erros
Ao que o Observador apurou, depois de saber que este problema aconteceu, a 28 de abril, “a DGEEC informou devidamente a CNPD [Comissão Nacional de Proteção de Dados] do ocorrido”, refere o responsável pela Direção-Geral. A entidade esclarece ainda que esse aviso foi feito “em conformidade com o exigido no n.o 1 do art.o 33 do Regulamento Geral sobre a Proteção de Dados [RGPD]” — que impõe que “autoridade de controlo” tem de ser avisada no “prazo de 72 horas. De acordo com a CNPD, a DGEEC notificou a entidade “de um incidente que afetou um (1) titular de dados, dentro do prazo legal para o efeito”.
Devido a esta falha, o Diretor-Geral da DGEEC refere que vai passar a haver uma “dupla verificação (por pessoas diferentes) do conteúdo dos emails (e respetivos links) antes de serem enviados”. Adicionalmente, vai passar a ser feita uma “separação entre o link de entrada do questionário e o código individualizado de acesso ao questionário”. “Para facilitar o acesso dos “respondentes” estas duas informações foram agregadas, o que esteve na origem do erro verificado)”, esclarece a DGEEC.
A DGEEC menciona ainda que “a falha apenas afetou dados de um questionário (um Doutorado), cujo link de acesso foi enviado para um grupo restrito dos Doutorados que ainda não tinham respondido ao mesmo”. Dos outros mais de 50 mil emails que foram enviados desde “meados de janeiro de 2021”, não há falhas. Esta direção afirma também que foram “enviadas diversas recordatórias sem ocorrências de falhas”.
O Inquérito aos Doutorados, que utiliza oficialmente as siglas “CDH”, é um instrumento oficial de recolha de “informação sobre doutorados a residir em Portugal e doutorados portugueses a residir no estrangeiro”. De acordo com a DGEEC, este inquérito tem como objetivo recolher “apenas a informação indispensável que permite a caracterização dos doutorados, das suas carreiras e percursos profissionais, dos seus padrões de mobilidade internacional e da sua atividade científica”. Este ano, “foi acrescentado um conjunto de questões sobre o contexto decorrente da pandemia COVID-19”. Contudo, a entidade diz que essas perguntas não eram de resposta obrigatória.
De qualquer forma, o resto do inquérito — à semelhança, por exemplo, dos Censos — é de resposta obrigatória. Isto porque a DGEEC “integra o Sistema Estatístico Nacional (SEN) e está sujeita à legislação que estipula o funcionamento do SEN (Lei n22/2008, de 13 de maio), sendo uma direção que tem como objetivo “a produção de estatísticas na área da Ciência e Tecnologia e Ensino Superior”, respondeu o MCTES.
Porém, para elaborar dados estatísticos, tem uma delegação de competências atribuída pelo Instituto Nacional de Estatística (INE), para as áreas da “Educação, Formação e Aprendizagem; Ciência e Tecnologia; Sociedade da Informação”. De acordo com o protocolo, que foi celebrado a 7 de dezembro de 2012, esta entidade tem de assegurar que não viola dados pessoais. Apesar de ter autonomia, o INE, além da tutela do MCTES, deve fiscalizar a DGEEC devido a este protocolo.
Cnpd ainda está a analisar o caso, INE diz que “tratou-se de um acidente”
Em resposta ao Observador sobre este assunto, a CNPD afirmou que “não foi concluída a análise do caso”, não especificando que medida poderá aplicar. Apesar de a comissão afirmar que foi informada pela DGEEC, não confirma se recebeu alguma queixa sobre este assunto. Relativamente à obrigatoriedade destes inquéritos, a instituição refere apenas que “os tratamentos de dados pessoais deixaram de carecer de autorização prévia da CNPD com a aplicação do RGPD”. “Já não são submetidos à CNPD para consulta prévia, exceto em algumas situações específicas de avaliações de impacto (cf. n.º 1 do artigo 36.º do RGPD)”, adianta a entidade.
Já o INE confirma que a “Direção-Geral de Estatísticas da Educação e Ciência (DGEEC) do Ministério da Educação e do Ministério da Ciência, Tecnologia e Ensino Superior é uma das entidades com delegação de competências do INE, em concreto nas áreas estatísticas Educação, Formação e Aprendizagem, Ciência e Tecnologia e Sociedade da Informação”. O instituto lembra que “o INE e DGEEC articulam-se regularmente no âmbito das atividades elencadas nos Planos”.
De acordo com o INE, o instituto teve conhecimento do “acontecimento relatado”. “Segundo a informação recebida da DGEEC, tratou-se de um acidente, tendo também sido informado das soluções encontradas pela DGEEC para prevenir este tipo de ocorrências”, confirmou ainda a entidade. As soluções, depreende-se, serão aquelas que foram apresentadas ao Observador pela DGEEC, como a dupla verificação de email.
“Estes erros tecnológicos podem acontecer por falhas de segurança. Porém, por vezes, é só um erro humano”
Ana Rocha, advogada na CCA especialista em proteção de dados pessoais, refere que, “estes erros tecnológicos podem acontecer por falhas de segurança”. Contudo, ressalva que, “por vezes, é só um erro humano”. Em resposta às questões do Observador, a jurista não se pronuncia sobre o caso concreto, fazendo apenas uma análise abstrata sobre as questões levantadas. Quanto se trata de uma falha de proteção de dados, a advogada salienta: “O responsável tem de notificar o mais rapidamente possível — até 72 horas até ter tido conhecimento da violação — a CNPD”.
A especialista em proteção de dados pessoais lembra que “não há sistemas seguros”. “Há muitas medidas a tomar e melhores práticas a aplicar, mas é sempre possível haver uma violação de dados”, reitera. Mesmo assim, Ana Rocha diz que “a lesada pode agir contra o responsável pelo tratamento dos dados”. “Quem quer que tenha sofrido danos materiais tem direito a receber uma indemnização pelo danos sofridos”, afirma.
Apesar de o Estado estar naquilo a que a jurista apelida de “período de graça” na aplicação do RGPD — a lei 58/2019, que implementou totalmente o RGPD em Portugal, prevê que o Estado não tenha de pagar coimas durante três anos — não quer dizer que não haverá nenhuma repercussão, refere. Sendo o Estado, pode aplicar-se a Lei 67/2007 (regime da responsabilidade civil extracontratual do estado e demais entidades públicas). Ou seja, se a pessoa lesada considerar que tem de ser ressarcida — “não é possível apagar da memória a informação de quem acedeu”, diz a especialista — pode intentar uma ação contra a DGEEC.
A DGEEC refere que o problema foi sanado, “tendo sido imediatamente bloqueado o acesso ao respetivo link”. Além disso, o MCTES diz que mal soube da situação encaminhou-a “de imediato” para a DGEEC. O encarregado de proteção de dados desta instituição entrou em contacto com o “investigador que viu os dados difundidos, desde o momento em que a situação foi detetada”, adianta o ministério. Não foi possível apurar o que decorreu desta conversa, nem se a pessoa lesada avançou ou não com uma queixa a título pessoal para a CNPD.
Quanto à falta de resposta do primeiro aviso da investigadora Rita Abranches — a DGEEC só a contactou após as questões enviadas pelo Observador, apesar de o responsável pela Direção-Geral dizer que logo a 28 de abril resolveu o problema com a pessoa lesada –, a advogada refere que não há uma obrigação de aviso. Não obstante, há um ponto no qual a Direção-Geral podia sido mais diligente e dar uma resposta. “Há um direito de acesso aos dados, que não é exatamente para isto, mas permite saber que dados é que tratam sobre mim e pedir a informação”, refere. Ou seja, através deste direito, a investigadora deveria ter sido informada que os seus dados não tinham sido comprometidos — o que acabou por acontecer. Contudo, neste ponto, há “30 dias para responder”, e não 72 horas.
O aviso de Rita Abranches pode ter permitido que não tenham existido mais do que “250 acessos”, o que pode ser interpretado como “boa-fé” e levar o Estado também a responder-lhe prontamente. “Nem que seja para descansar, porque os dados podem estar comprometidos”, refere Ana Rocha. Porém, a lei não prevê esta situação. A investigadora também não fez uma queixa para a CNPD — apesar de ter avisado as outras entidades — mas a jurista salienta que, neste caso, esta não tinha “dever de comunicação”. No final, soube que não teve os seus dados comprometidos, e pode ter impedido que mais erros destes venham a acontecer.