No passado dia 1 de julho, a Comissão Nacional de Proteção de Dados (CNPD) publicou o projeto de deliberação 2021/16, no qual acusou o Município de Lisboa da prática de um total de 225 infrações ao Regulamento Geral de Proteção de Dados (RGPD), por, entre outras, partilha ilícita de dados de ativistas com várias entidades, entre elas, a Embaixada da Rússia.

O Decreto-Lei n.º 406/74, de 29 de agosto, estabelece que as pessoas ou entidades que pretendam realizar reuniões, comícios, manifestações ou desfiles em lugares públicos ou abertos ao público devem avisar por escrito e com a antecedência mínima de dois dias úteis o Presidente da Câmara Municipal territorialmente competente. O aviso deverá ser assinado por três dos promotores devidamente identificados pelo nome, profissão e morada ou, tratando-se de associações, pelas respetivas direções.

De acordo com a CNPD, os dados pessoais dos promotores terão sido partilhados, de forma abusiva, pelo Município de Lisboa com vários dos seus serviços internos e com terceiros (PSP, Polícia Municipal de Lisboa, MAI, consulados e outras entidades), ao longo de vários anos e sem que essa partilha fosse justificada ao abrigo do Decreto-Lei n.º 406/74 e do RGPD e sem que o Município de Lisboa tivesse informado os promotores e definido prazos de conservação para os dados pessoais.

Porque a situação levanta questões pertinentes sobre proteção de dados pessoais, importa analisar alguns dos aspetos relevantes em questão.

Em primeiro lugar, é de assinalar que, pese embora as implicações políticas do caso tenham centrado o debate em torno da figura do Presidente da Câmara Municipal de Lisboa, pois, o Decreto-Lei n.º 406/74 estabelece que o aviso prévio da realização de manifestações em locais públicos seja enviado àquele órgão, o facto é que quem define os meios de tratamento dos dados em questão, não é titular do cargo público, mas a pessoa coletiva pública. Ou seja, o Município de Lisboa é o responsável pelo tratamento dos dados dos promotores. Logo, a existir responsabilidade contraordenacional, será o Município de Lisboa a responder, a esse título pela violação do RGPD, e não o Presidente da Câmara Municipal de Lisboa.

Em segundo lugar, a CNPD considerou que, no contexto em que aqueles dados pessoais se inseriam, nomeadamente a manifestação contra determinadas posições e atuações políticas, os dados pessoais recolhidos – nome, morada e profissão dos promotores – enquadrar-se-iam na categoria de dados pessoais que revelam opiniões políticas, convicções religiosas ou filosóficas e orientação sexual, pelo que estariam em causa categorias especiais de dados. Por outro lado, atendendo ao número de subscritores de avisos prévios, a CNPD entendeu sumariamente e sem justificar que o tratamento seria feito em larga escala.

Considerar que estão em causa operações de tratamento de categorias especiais de dados em larga escala tem significativas implicações para o caso e, em particular, para a responsabilidade contraordenacional do Município.

O tratamento de categorias especiais de dados é excecional e exige, quando seja feito em grande escala, uma avaliação de impacto de proteção de dados pessoais (AIPD), salvo se esse tratamento já estiver legitimado por anterior autorização da CNPD (antes da aplicação do RGPD), o que não seria o caso. Segundo o projeto de deliberação, relativamente a essas operações de tratamento não teria sido solicitada prévia autorização à CNPD ao abrigo do anterior regime de proteção de dados pessoais.

Em termos gerais, uma avaliação de impacto visa determinar os riscos de operações de tratamento de dados, quando estejam em causa direitos, liberdades e garantias dos titulares dos dados, como sucede com as operações de tratamento de categorias especiais de dados em grande escala. O RGPD não define o que é “grande escala”, o que tem de ser feito a partir do contexto do caso concreto e tendo algumas medidas de comparação, por exemplo, percentagem da população, número de titulares de dados, quantidade e qualidade dos dados pessoais recolhidos.

Neste aspeto e dadas as relevantes implicações de se considerar que um tratamento é feito em grande escala (conceito indeterminado, que tem de ser concretizado e fundamentado), o projeto de deliberação “peca” por falta de devida justificação. Por outro lado, não fica claro que o nome, morada e profissão, que não são em si dados sensíveis, possam ser considerados categorias especiais de dados em todas as situações de avisos prévios enviados, o que obviamente dependerá dos promotores que até poderão ser meros colaboradores a cumprir uma obrigação de informação prevista na lei e sem partilharem qualquer ideologia ou convicção política, religiosa.

Em terceiro lugar, a CNPD considerou que a partilha de informação relativa aos promotores por vários órgãos e unidades municipais feriu princípios como os da necessidade e minimização dos dados pessoais, o que não estava justificado por meio de AIPD (cuja realização ficaria dependente de estarem em causa operações de tratamento em grande escala). A CNPD tão-pouco encontrou justificação para tamanha amplitude na difusão da informação, o que teria (e terá) de ser justificado pelo Município de Lisboa ao abrigo do princípio “need to know”. Ou seja, será, entre outros aspetos, necessário ter em conta os procedimentos internos adotados e a razão de ser para terem existido aqueles e não outros procedimentos e para os dados pessoais terem sido enviados para determinados serviços internos do Município.

A partilha de informação não se cingiu, todavia, ao Município de Lisboa, tendo sido transmitida a várias entidades terceiras, nomeadamente, PSP, PML, Gabinete do MAI, entidades consulares. Na ausência de um fundamento legítimo para essa comunicação a terceiros, fundamento que terá de ser apresentado pelo Município de Lisboa, a partilha corresponde a um tratamento ilícito ao abrigo do RGPD. Mais, a difusão de informação não se cingiu sequer ao território nacional, uma vez que as entidades consulares são consideradas extensões de territórios de países terceiros, pelo que também as regras relativas às transferências internacionais de dados terão sido alegadamente violadas.

Em quarto lugar, a CNPD acusa o Município de Lisboa de infringir as regras relativas ao direito de informação dos titulares dos dados. De acordo com a CNPD, os promotores (titulares dos dados) não foram devidamente informados sobre as operações de tratamento, nomeadamente, que havia partilha de dados com terceiros, dos prazos de conservação dos dados, não existindo uma política de privacidade onde essa informação estivesse prevista. Estranha-se, no entanto, a opção de o Município em não utilizar o seu sítio de Internet para disponibilizar essa informação. Apesar de o sítio de Internet da Câmara Municipal de Lisboa ter uma política de privacidade, esta cinge-se aos dados pessoais que são recolhidos a partir do sítio de Internet.

A título de boas práticas, tendo o responsável pelo tratamento um sítio de Internet, é de considerar incluir uma política de privacidade com um âmbito mais geral e eventualmente detalhar em instrumentos específicos (por exemplo, comunicações dirigidas a determinados titulares dos dados) se assim se justificar.  

Por último, a CNPD entende ter havido violação do princípio da limitação da conservação dos dados pessoais, que não estariam sujeitos a um prazo de conservação estabelecido pelo Município e continuaram a ser conservados para além do fundamento que legitimou a sua recolha e sem que tivessem sido anonimizados ou existisse outro fundamento legítimo para a continuação da sua conservação ao abrigo do RGPD.

É, por essa razão, que é muito importante e não deve ser descurada uma adequada política de retenção/conservação de dados pessoais, à qual se encontra subjacente um prévio exercício (muitas vezes extenso) de perceber que tratamentos de dados são realizados, se há prazos legais de conservação e não havendo ou até havendo uma justificação plausível para conservar os dados por períodos mais longos, definir esses prazos de conservação e estabelecer processos adequados para a passagem da informação de um arquivo ativo para, por exemplo, um arquivo intermédio ou, se necessário, para um arquivo histórico, ou para destruição ou apagamento.

No total estão em causa mais de duas centenas de infrações, cuja moldura contraordenacional ascende a €20 milhões cada, podendo o Município de Lisboa vir a ser condenado até ao valor máximo previsto no RGPD.

À semelhança do que aconteceu com o Hospital do Barreiro, que foi isento, por razões justificadas com a pandemia, do pagamento de uma coima de aproximadamente € 400.000, a maior aplicada pela CNPD até à data, o Município de Lisboa, a ser condenado, é provável que venha depois a solicitar uma isenção de pagamento da coima.

Depois de alguma controvérsia sobre a (in)existência de fundamento legítimo para a exoneração do Encarregado de Proteção de Dados (“EPD”), que era de designação obrigatória pelo Município de Lisboa, parece que a exoneração acabou por ter lugar, reacendendo a temática das responsabilidades do EPD face às do responsável pelo tratamento.

O Município de Lisboa tem agora dez dias para apresentar a sua defesa, período após o qual a CNPD emitirá uma decisão. Resta, no entanto, saber se a CNPD conseguirá aplicar os elevados valores anunciados, havendo ainda a possibilidade de o Município recorrer para os tribunais.