Por estes dias fomos surpreendidos com a notícia de que três ativistas russos, residentes em Portugal, depois de terem pedido autorização à Câmara Municipal de Lisboa (“CML”) para realizar uma manifestação contra a prisão de um dos mais conhecidos opositores do regime de Vladimir Putin, Alexei Navalny, terão visto dados pessoais seus enviados pelos serviços camarários para a embaixada russa em Portugal e para o Ministério dos Negócios Estrangeiros, em Moscovo. A manifestação terá tido lugar em Janeiro deste ano, tendo os ativistas tomado conhecimento da cedência dos dados por mero acaso, numa troca de mensagens com os serviços. Após um calvário burocrático onde não faltam pormenores sórdidos (como a tentativa da CML de responsabilizar os próprios ativistas pelo ocorrido, por não terem tido o cuidado de não facultar informações pessoais que excedessem o estritamente necessário para o cumprimento dos preceitos legais, ou a justificação de que uma suposta base legal anacrónica estaria na base do envio dos dados, sendo por isso necessário mudar a lei), o tema ganhou dimensão pública – e, com a mediatização, um pedido de desculpas e o reconhecimento pelo próprio presidente da câmara de que algo não terá corrido bem em todo este processo.
Sem prejuízo das consequências políticas (ou da falta delas) que o caso terá, como profissional de cibersegurança e proteção de dados pessoais assisti, horrorizado, sobretudo à dificuldade geral em enquadrar o problema, nos planos técnico e jurídico. E se nas redes sociais a cacofonia seria mais ou menos previsível e aceitável, já a falta de rigor nos comentários produzidos nos mediatradicionais e, especialmente, a que foi veiculada pelos responsáveis políticos, é preocupante, justificando o esforço de tentar, nos limites de uma coluna de opinião, produzir algumas clarificações conceptuais que ajudem a compreender o que está verdadeiramente em causa.
O primeiro aspeto que importa clarificar é que a proteção dos dados pessoais no nosso ordenamento jurídico não é recente, nem nasceu com o Regulamento Geral sobre a Proteção de Dados – vulgo “RGPD” – diploma que, ainda assim, e desde que passou a ser aplicável, a 25 de Maio de 2018, tem tido o condão de tornar mais efetiva a proteção sobre os dados pessoais. Assim, há que ter presente que, pelo menos desde a aprovação, em 1998, da Lei da Proteção de Dados Pessoais (“LPDP” ou Lei n.º 65/98, que transpôs à época para a ordem jurídica portuguesa a Diretiva n.º 95/46/CE), este tipo de dados pessoais e operações de tratamento estão extensamente regulados no nosso sistema jurídico, por direito de fonte europeia: o RGPD veio adaptar o quadro legal de proteção às exigências de um mundo mais digital, mas no plano dos princípios e dos fundamentos, pouca coisa trouxe de novo. A proteção dos dados pessoais no nosso ordenamento jurídico é, aliás, anterior à adoção de direito da união europeia, constando, como se verá mais adiante, da própria Constituição da República Portuguesa.
Avançando, há vários anos que as organizações que pretendem tratar dados pessoais, para o fazer, necessitam de uma motivação legítima (atualmente constante no artigo 6.º do RGPD, mas que já constava, na LPDP, precisamente num mesmo artigo 6.º). E, também, há mais de duas décadas que, no nosso ordenamento jurídico, os dados tidos como “sensíveis” merecem do legislador ordinário, extensa atenção. A lei é clara, proibindo expressamente o tratamento de dados pessoais referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o tratamento de dados relativos à saúde e à vida sexual, incluindo os dados genéticos. Já na lei anterior, estes dados, na ausência de consentimento expresso por parte do seu titular, só podiam ser tratados, ou mediante disposição legal ou autorização da CNPD, e só quando por motivos de interesse público importante esse tratamento fosse tido como indispensável ao exercício das atribuições legais ou estatutárias do seu responsável (sempre seguindo medidas de segurança adicionais, mais exigentes). O RGPD veio retirar a CNPD do processo de autorização (pois tal tinha-se tornado inexequível numa sociedade digital), transferindo a decisão (e a responsabilidade) de tratar os dados pessoais para o próprio responsável pelo tratamento, mas o princípio da proibição relativa manteve-se, bem como a exigência de cuidado no momento de tratar o que passaram a ser “categorias especiais de dados”.
Importa, neste âmbito, ainda recordar que a Constituição, no seu artigo 35.º, desde longa data que prevê, entre outros aspetos olimpicamente ignorados no nosso dia-a-dia, que, e cita-se, “a informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis”, sendo expressamente “proibido o acesso a dados pessoais de terceiros, salvo em casos excecionais previstos na lei”.
Assim, e no núcleo principal do que está em causa no “Medinagate”, o envio de dados pessoais de ativistas políticos para embaixadas ou governos estrangeiros, há muito que não deveria levantar dúvidas de enquadramento, por parte de responsáveis políticos, mas também dos funcionários da administração pública, no sentido da sua impossibilidade, que não em situações excecionais, devidamente fundamentadas, e nunca, em circunstância alguma, sem o conhecimento dos visados.
Mas se o envio de dados pessoais, no contexto em que ocorreu, é já de si de uma significativa gravidade, o que se assistiu entre janeiro e junho deste ano, no rescaldo das comunicações, torna tudo ainda mais preocupante. Desde logo, na aparente tentativa de encobrimento, pelo menos dos serviços municipais, em desrespeito absoluto pela lei, que exige, não apenas licitude no tratamento, mas também boa-fé, lealdade e transparência. Nas dislexias existentes entre aquilo que a CML exibe na sua Política de Privacidade – onde afirma que nunca cederá dados a terceiros sem consentimento dos titulares – e as práticas reiteradas, de envio de dados sem qualquer questionamento. Ou no tipo de meios utilizados para a transmissão de dados – email simples – num contexto organizativo que denota uma baixíssima maturidade e ausência de governança interna.
Fernando Medina pode defender-se, politicamente, argumentando que desconhecia que os dados pessoais estivessem a ser enviados para as embaixadas. E que a mediatização do tema resulta do período eleitoral que se avizinha.
Espera-se, em qualquer caso, pelo menos, que tudo isto desperte de vez os responsáveis políticos e empresariais para o maior risco que correm quando não colocam o empenho devido no cumprimento da lei: a sua reputação, e a reputação dos organismos que lideram.
Fruto do acaso, do azar, do empenho dos ativistas, de jornais e órgãos de comunicação social ávidos de notícias, de maluquinhos nas redes sociais ou da ação de forças com aspirações políticas (ou de um mix de tudo isto, pois tudo isto faz parte das sociedades democráticas), o mundo sabe hoje que na autarquia da capital de Portugal sobrevive há décadas, sem que tenha sido questionado, um procedimento burocrático que levou a que, pelo menos, dados pessoais de ativistas fossem comunicados ao governo russo e aos seus representantes diplomáticos, subsistindo a dúvida se tal não terá ocorrido em relação aos governos de Israel, Venezuela, ou Angola, países onde as tensões políticas deveriam despertar especiais reservas. Constatamos, ainda, que o nível de maturidade da CML é de tal forma baixo, que comunicações com dados sensíveis são feitas, pelos serviços, por email, sem encriptação de ficheiros ou mecanismos adicionais de segurança, e que os serviços camarários, durante meses, tudo fizeram para ocultar o ocorrido, sem que os mecanismos internos da edilidade, apesar das queixas dos próprios, tenham sido capazes de disparar um alerta. Percebemos, finalmente, todos, que uma cidade que nos últimos anos só num evento que visa colocar Portugal na rota das cidades digitais e de acolhimento do empreendorismo, gasta dez milhões de euros, não tem sido capaz, ela própria, de se projetar como um exemplo de boas práticas, libertando no seu orçamento quantias ridículas para a digitalização e adaptação às exigências legais da economia digital e tratamento seguro dos dados pessoais dos seus cidadãos.
O RGPD, no seu diploma, é claro nas suas exigências e nas suas obrigações: as entidades que pretendam tratar dados pessoais, devem fazê-lo com lealdade e transparência, sendo obrigadas a dispor de meios técnicos e organizativos adequados ao risco das suas atividades, sendo a sua responsabilidade medida, em caso de incidente, não em função do “conhecimento concreto” do presidente da câmara, do CEO, ou do responsável máximo da organização (a quem cabe liderar os rumos e as decisões), mas da diligência colocada para evitar que tais eventos, ocorram.
Ou, traduzindo numa linguagem mais acessível, o RGPD exige aquilo que já a minha avó me aconselhava: “as desculpas não se pedem, evitam-se”. Porque no mundo digital, cada vez mais complexo e imprevisível, as consequências, na reputação dos líderes ou das suas organizações, ou nos danos causados aos titulares, essas, não desaparecem, por muito bem-intencionados que sejam os políticos que ignoram o impacto e a extensão das leis que, eles próprios, aprovam, ou os gestores públicos e privados que não conseguem acompanhar as exigências de um mundo em profunda mudança. O futuro digital, esse, segue o seu caminho, e nestas alturas percebemos, vendo a estupefação do mundo civilizado perante a nossa triste realidade, porque estamos, apesar da propaganda, a ficar para tão para trás.