Lei dos Metadados: somos todos suspeitos

Passada a maratona do debate orçamental que termina hoje, sexta-feira, outros temas vão incendiar o retomar aos trabalhos parlamentares em pleno. A lei dos Metadados vai ser um desses casos e já tem dada marcada. A Assembleia da República vai debater este assunto no dia 3 de Junho, na sequência de um agendamento potestativo do PSD. A maioria dos partidos vai apresentar alterações, mas a maioria do PS garante que será aprovada a iniciativa do executivo. O choque entre a oposição e o partido que suporta o governo vai ser duro.

0
637

Mas o que são os Metadados e o que podem espiar na vida privada de qualquer cidadão? São, no fundo, o rasto que deixamos quando fazemos comunicações ou usamos tráfego nos nossos telemóveis. Ou seja, os Metadados não fornecem o conteúdo das nossas chamadas telefónicas, mas sim ao que elas significam: permite saber a que horas alguém fez determinada chamada, quando e por quanto tempo esta durou, isto para além da sua localização na altura do telefonema. É este último ponto que mais interessa para efeitos de investigação criminal. Em suma, os Metadados são dados que utilizam outros dados que as operadoras telefónicas possuem. Mas ao fazer esta recolha dos Metadados de forma universal está a lesar-se o direito à privacidade dos cidadãos.

O assunto ganhou força pois o Tribunal Constitucional (TC) tornou público, a 27 de Abril, um acórdão onde considera essa lei inconstitucional e por vários motivos, todos eles se centrando, no fundo, na violação do direito de privacidade dos cidadãos, porque a lei não visa apenas pessoas suspeitas de crimes e sim toda a gente.

O Presidente da República já anunciou que vai enviar para o Tribunal Constitucional a lei dos Metadados, pois tem medo que esta venha reabrir todos os processos judiciais, mesmo os já julgados. O caso promete não acabar tão cedo.

Associação quer seis meses

Na sociedade civil a polémica continua. A conservação de Metadados de telecomunicações para eventual utilização em investigações criminais deveria ser feita por “seis meses”, defende a presidente da Associação dos Profissionais de Protecção e de Segurança de Dados (APDPO).

Inês Oliveira, que é também encarregada de protecção de dados (EPD) do Ministério da Justiça, disse, em declarações à imprensa, que considera que estes seis meses representam já “um período menor” face à duração de um ano prevista na Lei de 2008, agora chumbada pelo TC, sendo o prazo um dos aspectos declarados inconstitucionais por aquela entidade. Para além disso, estão em causa as categorias de dados a armazenar pelos operadores de telecomunicações e as condições da sua transmissão para investigação.

Em acórdão de 19 de Abril, o TC declarou inconstitucionais normas da chamada lei dos Metadados que determinam que os fornecedores de serviços telefónicos e de internet devem conservar os dados relativos às comunicações dos clientes – entre os quais origem, destino, data e hora, tipo de equipamento e localização – pelo período de um ano, para eventual utilização em investigação criminal.

A presidente da (APDPO) frisa que “a protecção de dados é um direito fundamental, mas não é absoluto e não pode ser utilizada de forma abusiva para termos uma sociedade segura. Agora, não podemos tratar todos como suspeitos e andar durante um ano a conservar dados que podem não ser utilizados pelas polícias, mas que podem ser pirateados ou utilizados para fins comerciais”, alerta a presidente da (APDPO).

Sem deixar de admitir que o uso de Metadados para investigação criminal “é uma finalidade legítima” e que a segurança nacional e o combate à criminalidade “podem fazer ceder a protecção de dados”, Inês Oliveira distingue o acesso das autoridades da questão da conservação e defende que o chumbo do TC à lei dos Metadados deixa margem para alternativas na investigação.

“Uma conservação massiva e indiscriminada dos dados, considerando todos como suspeitos, é grave e tem de haver um motivo muito preponderante. O TC veio dizer que não há motivo e que as polícias acabam por ter outras formas de rastrear um suspeito, nomeadamente escutas, conservando daí para a frente os dados ou acedendo aos dados da facturação que essas empresas já conservam”, observa.

Neste momento o grupo de trabalho criado pelo Ministério da Justiça para avaliar o impacto desta decisão está a ultimar uma nova proposta de lei e Inês Oliveira defende que a lei dos Metadados pode representar um maior risco de acesso indevido, ao contemplar uma base de dados distinta daquela que as operadoras já têm para facturação.

“Não se venha dizer que acaba agora por hipotecar as investigações todas. Não. As polícias podem continuar a aceder aos dados, pedindo às operadoras os dados que guardam para efeitos de facturação durante seis meses. Portanto, temos de medir bem e ver se não estamos a duplicar dados com o risco acrescido de poderem ser acedidos por terceiros”, refere. E acrescenta: “O direito fundamental à protecção de dados tem de ser muito bem balanceado nos fins policiais. Senão, corremos o risco de ele ficar totalmente hipotecado”.

Inês Oliveira considera ainda “muito perigosa” a ideia de “colocar em entidades privadas uma quantidade de dados exorbitante” e recorda o ciberataque à Vodafone, em Fevereiro deste ano: “Não temos a certeza de que terceiros não tiveram acesso a estas informações”.

Conciliar dados e cidadãos

Questionada sobre como conciliar o direito à protecção dos dados pessoais com o direito à segurança, a presidente da APDPO reitera que o entendimento de 2014 do Tribunal de Justiça da União Europeia já explicava como equilibrar em termos práticos a retenção de dados, invocando a possível existência de crimes graves e um período temporal limitado.

“Numa conservação generalizada estamos a considerar todos os utilizadores suspeitos da prática de um crime e isso é que não pode acontecer”, afirma Inês Oliveira.

A presidente da APDPO denuncia ainda a ausência de uma cultura de protecção de dados em Portugal e considera que há um défice de fiscalização nesta área.

Para Inês Oliveira, que lidera a associação desde 2021 e que em 2018 se tornou a encarregada de protecção de dados (EPD) do Ministério da Justiça, “a Comissão Nacional de Protecção de Dados (CNPD) devia fiscalizar mais” o cumprimento das normas, sobretudo face ao Regulamento Geral de Protecção de Dados (RGPD), que entrou em vigor aproximadamente à quatro anos.

“A fiscalização deveria ser muito mais activa e, efectivamente, a não fiscalização faz com que haja um certo relaxamento”, disse criticando a autoridade administrativa por não fazer acções de sensibilização ou apresentar planos de actividades, adiantando que “também não vai divulgando as decisões”.

“A não transparência na aplicação das coimas da CNPD, que não vejo em mais nenhum país, traz um efeito sistémico de que nada acontece”, disse.

Perante o “relaxamento” no respeito pelas normas do RGPD, que considera ser transversal entre os sectores público e privado, Inês Oliveira alerta que a resposta passa pela consciencialização das estruturas de topo das organizações para a importância da segurança dos dados e salienta que se uma entidade não der prioridade a este tema, “ou está a ser atacada ou vai ser”.

“A primeira coisa a fazer é capacitar as lideranças para a importância da protecção de dados e para a obrigação de nomear um EPD. Atrevo-me a dizer que muitas das organizações desconhecem esta obrigação, porque, efectivamente, apesar de já termos legislação de protecção de dados desde 1991, é uma matéria que tem ficado sempre na gaveta. Não temos uma cultura de protecção de dados”, afirmou.

Mais do que considerar a protecção de dados como mera salvaguarda de informações, a presidente da APDPO desfaz a ideia “errada” de ser só uma despesa para empresas ou organismos públicos e lembra o caso do envio de dados de activistas às autoridades russas pela Câmara Municipal de Lisboa (CML), em 2021, para assinalar o impacto ao nível da reputação e da confiança para a sociedade.

“São despesas que podem trazer benefícios reputacionais aos dirigentes. O caso da CML é bastante exemplificativo do prejuízo reputacional que trouxe para o presidente da Câmara – então Fernando Medina, quando este caso ocorreu – e, em segundo lugar, o grande benefício é gerar confiança para o mercado, e a confiança trará lucro para as empresas e trará eficiência e interesse público no âmbito do sector público”, disse.

Contradições na UE

Além da intervenção da CNPD em Portugal, Inês Oliveira considera que a nível europeu tem sido dada “uma resposta um pouco contraditória no que toca à protecção de dados”, em que ao “RGPD altamente protector” que passou a ser aplicado desde 25 de Maio de 2018 se têm sucedido diversos diplomas “que acabam por neutralizar e hipotecar o direito à protecção de dados”, citando como exemplo uma recente proposta de combate à pornografia infantil.

“Obriga as operadoras a rastrear os comportamentos dos utilizadores e a sinalizar mensagens com conteúdos pornográficos e a destacar imagens com nus de crianças. Ou seja, a própria Comissão Europeia tem uma preocupação muito grande com a protecção de dados, mas depois – e não estou a dizer que as finalidades não são legítimas – neutraliza totalmente o direito à protecção de dados e põe entidades privadas a fiscalizar os utilizadores”, explica.

Embora reconheça os “recursos diminutos” da CNPD, Inês Oliveira destaca a necessidade de ir além da notificação de nomeação do encarregado de protecção de dados nas organizações, que diz estar ainda “manifestamente abaixo” do que deveria ser.

Partindo do caso do acolhimento de refugiados ucranianos por elementos russos em Setúbal e da inexistência de um encarregado de protecção de dados EPD na autarquia até então, a líder da APDPO nota que são precisas competências específicas para a função.

“Continuam a existir organizações que não nomeiam EPD, mas muito mais grave é nomearem mal, nomearem qualquer um, nomearem pessoas que não têm habilitações literárias para o cargo. A mera nomeação não basta, tem de ser uma nomeação nos termos da lei e cumprindo os seus requisitos. Não pode ser qualquer pessoa a ser EPD”, conclui.

Municípios preocupados

Municípios consideram lei da protecção de dados complexa e de difícil aplicação. Dizem que o novo regulamento é complexo e representa dificuldades de aplicação nas autarquias, sobretudo nas mais pequenas, quatro anos depois da sua entrada em funcionamento.

São vários os municípios com soluções diferentes. Carlos Pinto de Sá, presidente da Câmara de Évora (CDU), onde o Regulamento Geral sobre a Protecção de Dados (RGPD) ainda se encontra “em fase de implementação”, considerou que a legislação “não olhou para a realidade” dos municípios e que, por isso, “apresenta dificuldades muito significativas de aplicação”.

Até agora, este município já tomou um conjunto de medidas, como o facto de os dirigentes terem de “garantir a protecção de dados ao nível do seu serviço”, indicou o autarca, manifestando-se convencido que a lei, no futuro, “vai ter que ter algumas alterações para ser eficaz”.

“Há um conjunto de questões que a legislação coloca que os municípios pequenos têm muita dificuldade em responder”, argumentou, aludindo à nomeação de um Encarregado da Protecção de Dados (EPD) na autarquia, como obriga a lei.

No caso da Câmara de Évora, ainda não foi nomeado um EPD, mas Pinto de Sá adiantou que está a ser discutida na Comunidade Intermunicipal do Alentejo Central a possibilidade de existir “uma figura comum a vários municípios”.

Já consciente dos “desafios” que a alteração do quadro normativo da protecção de dados colocava, a Câmara do Porto constituiu, em 2017, um grupo de trabalho para dar cumprimento ao regulamento, tendo em 2018 criado um Departamento Municipal de Protecção de Dados, cujo principal propósito é “alertar e aconselhar” para o cumprimento das normas.

Também nesse ano, o presidente da Câmara do Porto, o independente Rui Moreira, designou uma Encarregada da Protecção de Dados.

A densidade e complexidade do regulamento e a necessidade reforçada de formação dos colaboradores são desafios apontados pelo Porto, e também pela Câmara de Coimbra (coligação liderada pelo PSD), onde o regulamento tem sido aplicado desde a sua criação, nomeadamente com a nomeação de um EPD em 2018.

A Câmara de Coimbra refere que a aplicação do regulamento “exige um esforço adicional e significativo”, nomeadamente no que toca à aplicação do regulamento relacionado com a desmaterialização de processos nos serviços camarários, que têm levado à “alteração de procedimentos e de fluxos de circulação de informação”.

Por outro lado, a Câmara de Vila Real (PS), que nomeou o seu EPD em Março de 2021, assegurou que o “software” de gestão utilizado por este município “está preparado para responder às exigências do RGPD”, estando “activos os requisitos mínimos para cumprimento do previsto na Lei da Protecção dos Dados Pessoais”.

No entanto, esta autarquia referiu que ainda não foram elaborados os documentos do RGPD e da cibersegurança do município, “pelo facto de a responsabilidade da sua preparação ser da Comunidade Intermunicipal do Douro (CIM Douro), para permitir a sua configuração no sistema de gestão”.

No Funchal (PSD), a principal câmara municipal da Região Autónoma da Madeira (RAM), o RGPD foi implementado em 2020, incluindo a designação de um EPD, e “tem decorrido dentro da normalidade”, informou a autarquia.

O município funchalense considera que, apesar de alguns problemas relacionados com a formação e sensibilização para esta temática, “até à data, tem sido possível responder a todas as situações no âmbito do RGPD”.

No Funchal, no Porto e em Coimbra já houve queixas de cidadãos sobre o tratamento dos respectivos dados, em pouco número e “sem provimento”, pelo que não foram aplicadas sanções, afirmaram as autarquias.

Segundo o regulamento, os cidadãos têm de dar consentimento explícito para os seus dados pessoais serem usados – e para que fim – e podem pedir para sejam apagados a qualquer momento.

A lei estabelece que a Comissão Nacional de Protecção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD. O incumprimento destas regras pode levar a sanções que podem ir, nos casos mais graves, até 20 milhões de euros e, nos casos menos graves de violação dos dados pessoais, até 10 milhões de euros.

O município de Lisboa designou o seu EPD após, em Junho de 2021, ter ocorrido uma polémica acerca da divulgação, por esta câmara, à embaixada da Rússia na capital portuguesa, de dados pessoais de activistas dissidentes russos, que na altura argumentaram que desta forma foi posta em causa a respectiva segurança e de familiares.

Quatro anos após a entrada em vigor do Regulamento Geral sobre a Protecção de Dados (RGPD), a Comissão Nacional de Protecção de Dados (CNPD) registou em 2021 máximos de processos de averiguações, violações de dados e coimas.

Segundo dados da CNPD, o maior aumento ocorreu nas coimas, que atingiram no ano passado as 60 num valor total de 1,49 milhões de euros. Do total de coimas sobressai a aplicada à Câmara Municipal de Lisboa no caso do envio de dados de ativistas às autoridades russas, no valor de 1,25 milhões de euros. ■