Quinta-feira, 6 de Novembro de 2014, piso 15 do n.º 28 da Avenida Engenheiro Duarte Pacheco, Amoreiras, Lisboa. O chefe da equipa da Área da Segurança Informática (ASI) do fisco recebe um “alerta” no seu email.

Não é uma mensagem qualquer aquela que vai parar à caixa de correio electrónica de José Morujão Oliveira. Às 15h51 desse mesmo dia, alguém dentro da Autoridade Tributária e Aduaneira (AT) fora consultar as informações fiscais de Pedro Passos Coelho. O sinal de alarme vai directo ao email do funcionário.

Há semanas funcionava uma controversa lista VIP de contribuintes. E aquela quinta-feira de Novembro era já o 39.º dia em que estava activo o polémico “sistema de alarmística” que permitia saber quase em tempo real, de quatro em quatro horas, quem consultava os dados fiscais de um restrito grupo de cidadãos: Pedro Passos Coelho, então primeiro-ministro, Paulo Portas, o seu vice-primeiro-ministro, Aníbal Cavaco Silva, então Presidente da República, e Paulo Núncio, à data secretário de Estado dos Assuntos Fiscais (SEAF).

Sempre que um funcionário (ou o próprio contribuinte no Portal das Finanças) consultava as informações tributárias onde aparecesse o NIF de um dos quatro políticos, o chefe da segurança informática da AT recebia um email a identificar o acesso. Ficava a saber quem tinha entrado e a que horas. Tudo configurado através do software Splunk, que permitia monitorizar os eventos nas plataformas informáticas.

Assim acontecia desde 29 de Setembro. E assim aconteceu naquela tarde, quando uma funcionária da repartição de Finanças da Amadora foi ver os dados do primeiro-ministro. Assim que José Morujão Oliveira receber o alerta no seu email com o log de acesso, a Direcção de Serviços de Auditoria Interna (DSAI) é informada; abre-se um procedimento de averiguação e a funcionária é chamada a justificar-se. Não passará mais de uma semana até os factos ficarem esclarecidos. Por que razão teria ido verificar as informações fiscais do primeiro-ministro?

Por essa altura, o caso Tecnoforma conhecia novos desenvolvimentos, desde que o PÚBLICO avança em meados de Setembro com revelações sobre o período em que Passos Coelho exerceu o mandato de deputado em regime de exclusividade (anos de 1997, 1988 e 1999). A 26 de Setembro, uma sexta-feira, o jornal i publica informações do IRS do primeiro-ministro. E na segunda-feira seguinte começa a funcionar o famoso “sistema de alarmística” que, de tão controverso, acabaria por fazer cair já em Março de 2015 o director-geral do fisco, António Brigas Afonso, e o subdirector-geral, José Maria Pires, que na ausência do director-geral aprovou internamente a polémica lista.

Foi possível ao PÚBLICO reconstituir alguns episódios ocorridos nos cinco meses em que a lista VIP esteve de pé (entre 29 de Setembro de 2014 e 10 de Março de 2015) pela leitura cruzada do processo do Ministério Público (MP) e dos dois relatórios produzidos sobre o caso – um da Comissão Nacional de Protecção de Dados (CNPD) e outro da Inspecção-geral de Finanças (IGF). Mas ao fim de dois anos, há passos e decisões que continuam a ser um mistério. E não ficaram esclarecidos na investigação do MP, que a 8 de Fevereiro deste ano arquivou o inquérito sem ouvir os dirigentes do fisco envolvidos directa e indirectamente no caso.

Todas as citações que o PÚBLICO apresenta neste trabalho resultam da documentação incluída no dossier depositado no DIAP de Lisboa, do despacho de arquivamento e dos inquéritos da CNPD e IGF.

Um dos episódios que aparece no processo do Ministério Público é precisamente o da funcionária da Amadora. Quando a 13 de Novembro a trabalhadora é ouvida pela auditoria interna do fisco, conta o que se passou: “A consulta efectuada resultou de solicitação do próprio [Pedro Passos Coelho] através de contacto telefónico particular, do seu telemóvel para o meu, no sentido de o ajudar a perceber uma questão relacionada com a sua declaração de IRS. O facto de ter sido prestado o referido apoio, via telefone, somente ocorreu porque o contribuinte Pedro Passos Coelho é uma pessoa das minhas relações pessoais e de amizade”.

A funcionária refere que o primeiro-ministro se disponibilizara a confirmar a sua versão dos acontecimentos, algo que os auditores não consideraram ser necessário. A questão fica esclarecida e o caso é encerrado, porque o acesso que tanto alarme gerou foi, afinal, considerado justificado.

Foto

Três mais um

Recuemos. O sistema da lista VIP começou a funcionar ainda antes de ser aprovado pelo subdirector-geral José Maria Pires. E sem haver fundamento “de facto e de direito” dos seus motivos e critérios, conclui a IGF, para quem iniciativa avulsa de lançar o sistema da lista VIP partiu da área da segurança informática: foi o funcionário chefe deste núcleo, Morujão Oliveira, quem definiu e seleccionou os NIF.

Quando a lista é criada, só faziam parte dela três pessoas: Passos, Portas e Cavaco. Estávamos a 29 de Setembro. Mas semanas depois, a 23 de Outubro, há registo de um alerta de acessos a dados fiscais de um quarto nome: o de Paulo Núncio. O porquê de o NIF do secretário de Estado que tutelava a administração fiscal ter sido aparentemente acrescentado à lista continua por esclarecer, mesmo depois dos inquéritos da CNPD, IGF e Ministério Público. E está por saber não só a razão, como o dia em que passou a ser monitorizado.

Embora José Morujão Oliveira tenha afirmado que Paulo Núncio foi incluído no pacote VIP por causa de uma auditoria desencadeada depois de alguém consultar dados do governante, a CNPD concluiu que “não corria nem nunca correu termos na DSAI [auditoria interna] qualquer processo de auditoria por consulta aos dados fiscais do SEAF”. Uma contradição que o Ministério Público não esclarece no seu despacho.

A esta dúvida somam-se outras. Morujão contou ao Ministério Público que foi numa reunião com colegas norte-americanos por causa da implementação do acordo FATCA com os Estados Unidos (troca de informações financeiras) que a AT foi questionada se tinha medidas proactivas de protecção de dados. E então começam os testes do sistema de alarmística.

No dia seguinte, o mesmo funcionário elabora uma informação para o sistema poder ser formalizado. A sua superior hierárquica, Graciosa Martins Delgado, coordenadora da área dos sistemas de informação, tem conhecimento dos testes nesse dia. A 9 de Outubro, o director-geral António Brigas Afonso recebe no seu gabinete essa informação. E no dia seguinte há um despacho de concordância, mas quem o assina é José Maria Pires, pois Brigas Afonso estava ausente da AT e Pires era o seu substituto legal. O subdirector-geral é apontado pela IGF como tendo tido uma “intervenção decisiva no processo” ao aprovar esse documento, mas o Ministério Público encerrou o inquérito sem o ouvir.

O MP inquiriu apenas duas pessoas: o chefe da segurança informática, José Morujão Oliveira, e um auditor. Pires, Graciosa Delgado e Brigas, em relação a quem a IGF recomendou a instauração de procedimentos disciplinares, não foram chamados pelo MP.

Foto

Além de subdirector-geral da Justiça Tributária e o responsável que autorizou a “alarmística”, José Maria Pires teve nos últimos anos a responsabilidade de coordenar os grupos de trabalho de uma série de iniciativas pelas quais Paulo Núncio deu a cara como secretário de Estado: o sistema e-factura, o sorteio da Factura da Sorte e o sistema de comunicação dos documentos de transporte.

Brigas Afonso – que a IGF diz não ter intervindo directamente na decisão de criar a lista, embora soubesse da sua existência por “conversas” com José Maria Pires – garantiu aos funcionários que a AT “nunca recebeu instruções escritas ou verbais de qualquer membro do Governo para elaborar qualquer lista de contribuintes”.

A gravação

A instauração de processos disciplinares por causa de consultas aos dados de Passos Coelho já fazia correr tinta na imprensa quando, a 23 de Fevereiro de 2015, Brigas Afonso emite um despacho a pôr fim ao sistema de alerta. No dia seguinte chega-lhe um ofício de Paulo Núncio a perguntar se existe uma lista VIP. Resposta: “Não existe nem nunca existiu”. Mas não só existia como continuou a funcionar por mais 15 dias, à revelia da decisão do director-geral.

A 12 de Março, a Visão revela que a existência da lista é referida abertamente numa acção de formação dos inspectores tributários, realizada na Torre do Tombo em Janeiro. E dias depois divulga uma gravação que o confirma. Internamente no fisco foi assumido que o pacote VIP estava em pleno funcionamento. Pelo menos foi assim que dois funcionários ouvidos pela IGF a interpretavam. E por isso a lista terá sido falada na acção de formação dos inspectores.

Morujão Oliveira, da informática, assumiu que foi seu o critério de escolher os nomes de Passos, Portas, Cavaco e Núncio por serem “os mais susceptíveis de serem consultados”. Mas o mesmo funcionário também contou ao MP que, entretanto, aguardava orientações superiores sobre os NIF a monitorizar (algo que acabaria por não se concretizar).

O que o Ministério Público conclui é que, “sensivelmente em 28 de Novembro de 2014”, dia em que há um terceiro alerta de acesso a dados de Cavaco Silva, a segurança informática deixa de “analisar e sinalizar os alertas” à auditoria interna porque não tinha orientações em relação ao universo de NIF que o sistema deveria abranger, embora nessa altura já estivessem a ser monitorizados os quatro nomes.

Além do caso envolvendo o NIF de Passos Coelho, também foi chamada à auditoria do fisco uma funcionária que foi consultar os dados de Cavaco Silva. Nesse caso, por mera curiosidade: “Apenas pretendia saber qual o montante do vencimento do Presidente da República”.

Sabe-se hoje que de 1 de Outubro de 2014 a 8 de Maio de 2015 foram instaurados 36 processos de inquérito e disciplinares, sendo que em nenhum caso houve indícios de divulgação da informação consultada. A IGF contabilizou igualmente mais de 30 processos, mas concluiu que nenhum se deveu à bolsa VIP.

Depois da lista

Ao longo dos cinco meses em que a lista VIP funcionou foram gerados 228 alertas. Mas só duas situações (a de Passos e Cavaco) terão sido efectivamente comunicadas à área da auditoria interna por causa do sistema de alarmes. Isso significa, como concluiu a CNPD, que nem todos os acessos aos dados do primeiro-ministro e do Presidente da República que geraram alertas chegaram aos serviços de auditoria interna.

Foto

Se o software Splunk começou a funcionar no Outono de 2014, já antes tinham sido abertos processos a funcionários que desde 2013 tinham ido consultar os rendimentos de empresários e nomes de topo do futebol nacional: desde Belmiro de Azevedo (ex-CEO da Sonae, grupo dono do PÚBLICO) a Alexandre Soares dos Santos (ex-presidente da Jerónimo Martins), Pedro Soares dos Santos, Jorge Jardim Gonçalves (ex-BCP), passando pelo treinador José Mourinho e responsáveis da Federação Portuguesa de Futebol – o actual presidente Fernando Gomes, os vice-presidentes Humberto Coelho e Carlos Coutada, e ainda João Vieira Pinto.

Foi para proteger os dados de contribuintes com mais “risco de tentativas de acesso indevido” que Brigas Afonso alegou ter dado autorização para que fossem ponderadas soluções já testadas a nível internacional. Mas quando o caso rebenta na praça pública, manda cancelar o sistema de alarmística. E num esclarecimento aos funcionários promete uma alternativa que “proteja os dados pessoais de todos os contribuintes” e não de um grupo restrito.

Brigas Afonso e José Maria Pires acabariam por se demitir no meio da uma polémica com enorme mediatismo. No rescaldo do caso, Paulo Núncio manda elaborar um plano de acção para melhorar a segurança e a protecção de dados pessoais. Acaba por ser implementado um mecanismo em que os funcionários têm de fundamentar previamente o acesso à informação fiscal. Sem lista VIP. Para todos os contribuintes.