POLÍTICA
Russiagate. Exoneração de encarregado de proteção de
dados congelada, relatório ainda não foi divulgado
Tiago Miranda
Medina garantiu exoneração do encarregado de proteção de
dados, mas só com processo disciplinar ou aprovação em Reunião da Câmara o
poderá fazer. Vereador do PSD não garante voto favorável à exoneração
22 JUNHO 2021
13:42
Hugo Séneca
Fernando Medina
anunciou que vai exonerar o Encarregado de Proteção de Dados (DPO) da Câmara
Municipal de Lisboa na sequência do envio de dados de manifestantes para várias
embaixadas estrangeiras, mas essa decisão só deverá tornar-se realidade caso
garanta a aprovação em Reunião de Câmara. E não vai ser já na próxima Reunião
de quinta-feira que o presidente da Câmara de Lisboa vai poder saber se todos
os partidos aprovam ou não a exoneração. Ao que o Expresso apurou a Ordem de
Trabalhos definida pelo executivo camarário liderado por Medina não conta com
qualquer proposta de exoneração do DPO.
Para levar essa destituição
em frente, o executivo camarário terá de abrir um processo disciplinar no caso
de o DPO ter um contrato de trabalho, e ainda demonstrar que a exoneração não é
ilegal à luz do Regulamento Geral de Proteção de Dados (RGPD).
“Queremos ver o
relatório da auditoria. Não exoneramos ninguém sem razões para o fazer”, refere
ao Expresso João Pedro Costa, vereador do PSD na Câmara de Lisboa. “Não deve
ser a entidade que quer exonerar a pessoa que faz a auditoria ao trabalho
dessas pessoas”, acrescenta o vereador.
Na verdade,
apesar da promessa do autarca de divulgação da auditoria após a conferência de
imprensa, quatro dias depois da conferência de imprensa onde foram divulgadas
as suas conclusões a Câmara ainda não divulgou o relatório - pelo menos até à
publicação deste texto, ao início da tarde de terça-feira.
EXONERAÇÃO
ILEGAL?
A revelação do
envio de dados pessoais para a embaixada Rússia acabou por trazer para a linha
frente o nome do DPO Luís Feliciano – mas a 28 de abril, a prestação dos
serviços do DPO já havia sido alvo de uma primeira tentativa de análise: a
ordem de trabalhos da Reunião da Câmara chegou ter definida a prorrogação de
funções do DPO e respetivos membros da Equipa de Projeto de Proteção de Dados
Pessoais. Essa proposta haveria de ser retirada no próprio dia 28 de abril pelo
vice-presidente da Câmara Municipal de Lisboa João Paulo Saraiva, recorda um
voto de protesto dos vereadores do PSD.
A 19 de maio a
mesma proposta voltou a ser apresentada em Reunião da Câmara, sendo a
prorrogação da equipa liderada por Luís Feliciano aprovada com votos a favor de
todos os partidos e abstenção do PSD - já depois de os procedimentos internos,
incluindo dos emails sobre manifestações, terem sido alterados internamente
(facto que não foi ainda justificado pela CML). O facto de as funções de o
atual DPO terem sido aprovadas em Reunião de Câmara leva o PSD a considerar que
a exoneração terá sempre de ser votada também pelo mesmo órgão camarário.
Em paralelo com
frente política, o elenco liderado por Medina terá de enfrentar várias questões
legais associadas ao envio de dados de organizadores de 180 manifestações para
embaixadas estrangeiras, e ainda uma alegada ilegalidade da demissão do atual
DPO do município. Na segunda-feira ao final da tarde, a Associação dos
Profissionais de Proteção e Segurança de Dados (APDPO) anunciou que vai avançar
com uma queixa formal na Comissão Nacional de Proteção de Dados (CNPD), caso se
confirme a exoneração do encarregado de proteção de dados da Câmara Municipal
de Lisboa, após o envio de dados de organizadores de manifestações para
embaixadas de diferentes países.
A APDPO considera
que, à luz do Regulamento Geral de Proteção de Dados (RGPD), essa decisão será
“ilegal”, se se confirmar.
“Os DPO são
profissionais com funções de informação, aconselhamento, sensibilização e
controlo/auditoria. Todas as suas recomendações são não vinculativas. Assim, o
DPO não é, ao contrário do que tem sido dito, responsável pela proteção de
dados. É a organização, na pessoa do seu dirigente máximo, que é a responsável
pelo tratamento e pela proteção de dados”, sublinha Inês Oliveira, presidente
da APDPO, em declarações ao Expresso.
A posição da
associação tem por base o RGPD que foi aprovado pela Comissão Europeia e
Parlamento Europeu.
Foi devido ao
RGPD que muitas organizações estatais e privadas tiveram de nomear, a título
oficial e com funções de interligação com as autoridades, responsáveis pela
proteção de dados, que são conhecidos por DPO, sigla inglesa de Data Protection
Officer. Estes profissionais podem não ter funções exclusivas de DPO, e podem
ou não pertencer aos quadros das empresas, câmaras ou institutos públicos.
Além de
determinar que o DPO não recebe ordens no que toca ao tratamento de dados, o
artigo 38º do RGPD distingue as responsabilidades que estes profissionais devem
assumir face aos restantes colegas que trabalham na mesma organização. “O
encarregado não pode ser destituído nem penalizado pelo responsável pelo
tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O
encarregado da proteção de dados informa diretamente a direção ao mais alto
nível do responsável pelo tratamento ou do subcontratante”, refere uma das
alíneas do artigo 38º do RGPD.
É devido a este
artigo do RGPD que Inês Oliveira considera que o Município de Lisboa não tem
sustentação legal para proceder à exoneração do DPO: “A APDPO considera que a
exoneração do DPO da CML viola o RGPD, em concreto o artigo 38.º n.º 3, que
prevê claramente que o DPO não pode ser destituído pelo exercício da sua
função”, reitera por escrito.
AINDA FALTA
PROCESSO DISCIPLINAR
Uma coisa é
certa: ainda é cedo para dar a exoneração como um dado adquirido. Sofia de
Vasconcelos Casimiro, advogada e professora da Faculdade de Direito da
Universidade de Lisboa, considera que o artigo 38º invocado pela APDPO apenas
pretende garantir a imparcialidade do DPO, e não impede qualquer
responsabilização da pessoa que exerce essas funções – mas só depois de
confirmadas as más práticas.
“Esse artigo não
dá qualquer garantia de que o DPO não é penalizado. Caso contrário, estaríamos
a criar uma função que nunca poderia ser responsabilizada pelas violações das
regras básicas das suas funções”, explica a professora de Direito. Sobre o
processo de exoneração, Sofia Vasconcelos Casimiro não tem dúvidas: se o DPO
tiver contrato de trabalho, a exoneração só poderá avançar quando apuradas as
responsabilidades durante um processo disciplinar, que assegure os direitos de
defesa do visado".
E se esse
processo disciplinar atribuir responsabilidades ao DPO da Câmara de Lisboa pela
partilha de dados indevida dos organizadores de manifestação? “O regime do RGPD
não prevê qualquer responsabilidade contraordenacional do DPO no exercício das
suas funções. Isso só acontece se usurpar funções, realizar ele próprio
tratamentos ilícitos de dados, ou se violar o dever de sigilo. Nos casos de
quebra de dever de sigilo, trata-se de crime punido com prisão até dois anos”,
explica Luís Neto Galvão, especialista em questões jurídicas relacionadas com
tecnologias proteção de dados da SRS Advogados que tem trabalhado com a
Comissão Europeia e o Conselho da Europa.
Neto Galvão
recorda ainda que o DPO tem funções de controlo que passam por recomendações de
boas práticas e alertas para as autoridades e não pela execução de medidas. “É
claro que, em caso de falta grave, como uma violação do dever de
confidencialidade, o DPO pode ser destituído. Mas tal não significa que possa
ser destituído pelo mero conhecimento de más práticas. Quando tal ocorre,
compete ao DPO avisar a organização, se necessário, ao mais alto nível e
sugerir medidas. Ao DPO não está cometida, pelo RGPD, qualquer responsabilidade
pela execução dessas medidas”, refere por escrito.
A APDPO também
tem uma leitura similar: no comunicado lançado ao final da tarde a associação
recorda que, do mesmo que garante autonomia ao DPO, a legislação europeia de
proteção de dados faz incidir as responsabilidades de más práticas nas
organizações. “É ao responsável pelo tratamento, ou seja, aos organismos nas
pessoas dos seus dirigentes máximos, que incumbe adotar todas as medidas de
proteção de dados", acrescenta.
A lei 58/2019,
que executa o RGPD para a legislação nacional, não fornece muitos detalhes no
que toca às responsabilidades que podem ser assumidas pelo denominado DPO:
“Independentemente da natureza da sua relação jurídica, o encarregado de
proteção de dados exerce a sua função com autonomia técnica perante a entidade
responsável pelo tratamento ou subcontratante”, refere uma das alíneas do
artigo 9º da lei 58/2019.
A autonomia
concedida tanto pelo RGPD como pela lei nacional torna o DPO num elemento que
deve ter acesso direto a nível hierárquico mais elevado – e que terá de atuar,
mesmo contra os eventuais interesses das chefias hierárquicas, quando há uma má
prática em termos de tratamento de dados. “Pela importância das funções que
exerce e pela natural hostilidade que o exercício do seu cargo pode gerar numa
organização, a destituição de um DPO é uma decisão de enorme gravidade e
sensibilidade, que tem de ser antecedida de um procedimento que dê ao próprio a
possibilidade de se defender e que documente ter sido tomada dentro da
legalidade”, explica Luís Neto Galvão.
João Pedro Costa
recorda que o desfecho deste caso também é político: “Os partidos com assento
na Reunião da Câmara vão ter de decidir se o trabalhador é o bode expiatório ou
se é a entidade patronal que assume a responsabilidade”.
Entre 2012 e
2021, a Câmara Municipal de Lisboa autorizou mais de sete mil manifestações –
mas 180 desses pedidos de autorização redundaram no envio de dados para
embaixadas ou serviços diplomáticos dos países visados pelas manifestações.
Nesses 180
pedidos cujos dados foram enviados indevidamente para embaixadas estrangeiras
encontram-se 52 processos, que já terão sido levados a cabo depois de 2018, ano
de entrada em vigor do RGPD na UE, que prevê multas que poderão chegar aos 20
milhões de euros. Portugal só garantiu a promulgação da lei que executa (que
põe em prática dentro de uma margem de manobra pré-estabelecida) o RGPD em
2019.
Na passada
sexta-feira, Fernando Medina pediu desculpa aos visados pelo envio de dados
para as embaixadas estrangeiras e anunciou que iria proceder à exoneração do
DPO.
O caso ganhou
proporções com as denúncias de ativistas russos, depois de terem descoberto que
os seus dados tinham sido enviados para a embaixada e governos russos, na
sequência de um pedido de autorização para uma manifestação na cidade. Nomes,
moradas, números de identificação e telefones terão sido partilhados nessa
ocasião.
Antes deste caso
mais mediático, também já haviam sido registadas, no passado, suspeitas de
partilha de dados de manifestantes pró-Palestina com a diplomacia de Israel.
Durante o
executivo de António Costa, que liderou a Câmara Municipal de Lisboa antes de
chegar a primeiro-ministro, foi enviada, em 2013, uma ordem com vista a
interromper o envio de dados de organizadores e manifestações para as
embaixadas estrangeiras, mantendo a PSP como única entidade que teria de ser
devidamente informada. Apesar de aprovada e divulgada, essa regra acabou por
não ser devidamente respeitada nos anos que se seguiram.
* texto
corrigido, depois da informação de que a Câmara entregou aos jornalistas dois
emails, na sexta-feira, que confirmarão que os governos civis chegaram a enviar
avisos de manifestações a pelo menos duas embaixadas.
Sem comentários:
Enviar um comentário