A Comissão Nacional de Protecção de Dados (CNPD) acusa a Câmara de Lisboa de violar o Regulamento Geral de Protecção de Dados (RGPD), ao “comunicar os dados pessoais dos promotores de manifestações a entidades terceiras”.

Foram, no total, 225 infracções cometidas pela autarquia, de acordo com a deliberação da CNPD. O valor máximo das multas aplicadas por esta entidade pode chegar aos 4490 milhões de euros, visto que 222 infracções têm, cada uma, um valor máximo de coima que chega aos 20 milhões. Este valor não é, contudo, aquele que a Câmara Municipal poderá pagar, mesmo que venha a ser efectivamente condenada por todas estas infracções. Além de existir um tecto nos valores das coimas por infracções ao RGPD, a maior coima aplicada pela CNPD à data foi de 380 mil euros. Esta coima, aplicada a um hospital, seria posteriormente perdoada, pelo facto de a entidade pública não ter capacidade de saldar a dívida. Ou seja, o princípio da proporcionalidade é um dos norteia a definição de um valor de multa por infracções ao RGPD. 

Em comunicado publicado esta quinta-feira, a entidade revela as conclusões da investigação à partilha de dados por parte da autarquia lisboeta com embaixadas de vários países. Além desta partilha, a CNPD destaca que a autarquia manteve estas informações sem ter estabelecido “um período máximo” para a sua preservação. Ou seja, a Câmara de Lisboa manteve todos estes dados mesmo após ter sido esgotada a finalidade da recolha, considera esta entidade. 

A CNPD diz ainda que a lei apenas permite que sejam partilhadas informações relativas ao “objecto, data, hora, local e trajecto da manifestação”, sendo que a partilha dos restantes dados pessoais dos organizadores dos protestos entra no campo da ilegalidade. Esta transferência de dados para uma entidade terceira carece de uma “condição de licitude autónoma”. 

“Sendo dados especialmente sensíveis, porque revelam opiniões e convicções políticas, filosóficas ou religiosas, impunha-se ao Município, enquanto responsável pelo tratamento, um cuidado acrescido, nos termos da Constituição portuguesa e do RGPD”, escreve a CNPD.

Os activistas e promotores de manifestações não terão tido conhecimento prévio sobre todos os destinatários dos dados pessoais fornecidos à autarquia, sendo apenas informados do envio das suas informações à Polícia de Segurança Pública e Ministério da Administração Interna. 

Além do RGPD, também foram colocados em risco princípios consagrados na Constituição portuguesa, delibera a CNPD. Relativamente à segurança dos manifestantes, a entidade considera que a “proliferação de envios dos dados pessoais” pode potenciar a “criação de perfis de pessoas” em torno das suas crenças e ideias.

No dia 9 de Junho foi avançada a notícia de que a autarquia lisboeta tinha partilhado com a embaixada russa os dados de três organizadores de uma manifestação anti-Putin à embaixada russa em Lisboa. Com o avançar dos dias, foi possível perceber que esta partilha de informações não tinha ocorrido apenas nesta ocasião, com Fernando Medina a fazer um pedido de desculpas público pelo sucedido e a ordenar a realização de uma auditoria a este caso.

Nessa análise foi possível perceber que a embaixada russa em Lisboa recebeu informações da autarquia lisboeta em pelo menos 27 ocasiões, com vários outros países, como Israel, Angola e China, entre outros.