Problema foi noticiado em outubro e demorou dois meses a ser corrigido após Governo ter tomado conhecimento, mas várias entidades públicas continuam a divulgar informações sigilosas de empresários que fizeram contratos com o Estado em 2022 – incluindo números de telefone, moradas, números de cartão de cidadão e de contribuinte. Exército é dos organismos com menor proteção de dados pessoais, mas há muitos casos em organismos do SNS, universidades, e autarquias – incluindo a Câmara Municipal de Lisboa.
OPortal Base, o site onde são disponibilizados todos os contratos públicos, continua a publicar dados pessoais de cidadãos portugueses: moradas, números de telefone, números de cartão de cidadão e de contribuinte. A entidade do Estado está assim em violação do Regulamento Geral de Proteção de Dados (RGPD), a lei europeia cujo objetivo é proteger a privacidade das pessoas e que entrou em vigor em 2016.
Entre as entidades públicas que colocaram contratos na plataforma em violação da lei estão os três ramos das Forças Armadas, associações de comércio regionais, organismos do SNS (como centros hospitalares), universidades, e autarquias – incluindo a Câmara Municipal de Lisboa, que já foi multada em 1,2 milhões de euros na sequência do caso ‘Russiagate’, em que dados pessoais de ativistas foram enviados a países estrangeiros.
O Base é gerido pelo Instituto dos Mercados Públicos, do Imobiliário e da Construção (IMPIC), que está sob a tutela do Ministério das Infraestruturas e da Habitação. “O IMPIC vai fazer nova notificação a todas entidades para que sejam corrigidas as irregularidades que forem detectadas no que diz respeito à proteção de dados”, disse fonte oficial do instituto ao Expresso. O jornal também contactou a Comissão Nacional de Proteção de Dados (CNPD) e aguarda respostas às questões colocadas.
O incumprimento do RGPD por parte do Estado não é novo: em outubro, o Expresso noticiou que o Base estava a expor moradas, números de telefone e números de cartão de cidadão e de contribuinte de cidadãos. Na altura, alertado pelo jornal, o Governo mandou bloquear o acesso aos contratos públicos até as irregularidades serem corrigidas.
Seguiu-se um trabalho que durou cerca de dois meses: o IMPIC contactou as entidades públicas para estas reverem os contratos e rasurarem os dados pessoais, tendo reforçado por escrito a necessidade de cumprimento do RGPD. Além disso, o IMPIC foi obrigado a reportar os casos à CNPD e aos próprios cidadãos cujos dados tinham sido expostos.
Apesar destas medidas, os problemas mantêm-se: o Expresso consultou centenas de contratos de várias entidades públicas celebrados já em 2022 e constatou que muitos organismos continuam sem rasurar dados pessoais ou fazem-no de forma deficiente – por exemplo, inserindo uma ‘barra preta’ por cima da informação sigilosa.
Problema: qualquer pessoa com um conhecimento mínimo de informática é capaz de abrir o documento num leitor de ficheiros ‘pdf’ e retirar a barra preta, ou até mesmo copiar a informação escondida por baixo da barra e colá-la para um novo documento (copy paste) para a poder consultar. No entanto, os funcionários públicos responsáveis por rasurar os dados pessoais e fazer o upload dos contratos para o Base não conheciam ou não acautelaram esta simples possibilidade técnica.
A julgar pelos contratos celebrados em 2022, uma das entidades públicas que mais vezes comete esta falha é o Estado Maior do Exército. Exemplo: o terceiro maior contrato celebrado este ano, no valor de quase 580 mil euros, expõe sem grande resistência o número de cartão de cidadão do representante da empresa que chegou a acordo com o Exército, sob a tutela do Ministério da Defesa.
Outro ficheiro, referente a um contrato celebrado no início deste mês entre o Exército e uma empresa portuguesa, deixa a descoberto dados pessoais sobre o empresário em questão – incluindo número de contribuinte e morada.
“O Estado Maior do Exército trata de informações confidenciais e tem acesso a informações críticas, por isso deveria ter formas mais sofisticadas de proteger os seus dados. É uma situação inenarrável”, considera um especialista em proteção de dados, que pediu para manter o anonimato. “Sendo um ramo das Forças Armadas, deviam ter ao seu dispor instrumentos confiáveis para proteger estas informações”, acrescenta.
Esta deficiência repete-se com outros contratos, apesar de nem todos os documentos estarem mal rasurados. O mesmo se pode dizer dos ficheiros anexados ao Base pela Marinha e pela Força Aérea: há ficheiros mal rasurados e que expõem informação confidencial, mas também há ficheiros em que o trabalho informático foi feito de forma eficaz. Aliás, comparando os três ramos das Forças Armadas, conclui-se que a Marinha e a Força Aérea são mais eficientes a cumprir o RGPD do que o Exército – e quando deixam informação desprotegida, o processo para obtê-la é mais difícil do que simplesmente fazer um ‘copy paste’, algo que é frequente no caso do Exército.
“O Estado tem de dar o exemplo”, começa por opinar Elsa Veloso, jurista e especialista no regime que rege a proteção de dados. “Se o IMPIC sabe que houve fugas de dados através do Base e tomou medidas para resolver o problema, tem a obrigação legal de validar essas medidas”, acrescenta. Para a jurista, bastava que o IMPIC “disponibilizasse um pequeno tutorial ou uma ferramenta simples” que permitisse às entidades públicas limpar os dados pessoais de forma eficaz e submeter os dados pessoais de forma segura no Base. “Não é bom sinal que o Estado esteja a apostar na transição digital e não crie algo tão simples, sobretudo num portal que já deu tantos problemas”, considera.
UNIVERSIDADES E AUTARQUIAS EM FALHA (INCLUINDO LISBOA)
De certa forma, o caso do Exército indica a falta de compreensão do RGPD por parte de alguns organismos estatais: em alguns contratos recentes, é rasurada informação que não deve ser rasurada – como o nome das empresas e respetivos números de contribuintes. “O RGPD não se aplica a nomes empresariais e pessoas coletivas, e esconder essa informação viola a lei da contratação pública e o princípio da transparência, cujo cumprimento é a principal função do portal Base”, explica Elsa Veloso.
Outra instituição que apresenta falhas no tratamento dos dados pessoais é a Câmara Municipal de Lisboa: o Expresso encontrou pelo menos um contrato celebrado em 2022 em que era possível obter o número de cartão de cidadão e de contribuinte do empresário que chegou a acordo com a autarquia. No entanto, a esmagadora maioria dos ficheiros referentes à autarquia da capital que foram consultados estavam rasurados de forma segura.
Assim, tal como na situação noticiada em outubro, o Base está a disponibilizar de forma ilícita dados que não deviam ser disponibilizados, “o que constitui um crime de violação de dados”, aponta Elsa Veloso. Está em causa a violação de três princípios do RGPD: o princípio da legalidade, porque não há base legal para o tratamento dos dados pessoais; o princípio da minimização de dados, porque só podem ser usados os dados estritamente necessários para determinado fim, que neste caso é a transparência da Administração Pública; e o princípio da finalidade, que diz que os dados só podem ser usados para as finalidades para os quais foram recolhidos.
Várias instituições do Ensino Superior também estão a publicar contratos sem protegerem os dados pessoais das outras partes. É o caso do Instituto Superior Técnico, por exemplo, cujo maior contrato celebrado este ano permite consultar o número do cartão de cidadão do representante da empresa (neste caso, de segurança privada). A Universidade Nova de Lisboa também incorre no mesmo erro mais do que uma vez.
Há ainda entidades do universo da saúde – o Centro Hospitalar de Lisboa Norte e o Centro Hospitalar de Coimbra, por exemplo – que também fizeram upload de informação sigilosa para a plataforma pública, tal como pelo menos duas autarquias. Em contrapartida, os ficheiros disponibilizados por GNR e PSP, por exemplo, cumprem as regras da proteção de dados, estando rasurados de forma eficaz e segura.
Em junho do ano passado, o Expresso noticiou que o RGPD foi violado pela Câmara de Lisboa, que de forma reiterada divulgou informações pessoais de ativistas a vários países, incluindo a Rússia. A CNPD detectou 225 infrações e multou a autarquia da capital em 1,2 milhões de euros.
Pode consultar o artigo read here.
