quarta-feira, abril 01, 2015

A Deliberação n.º 569/2015 da CNPD

Numa investigação em que está em causa uma suposta lista VIP que trataria os cidadãos como desiguais a própria CNPD começa por admitir que também tem a sua lista VIP pois no seu primeiro parágrafo fundamenta a investigação na AT com o facto de terem “publicadas diversas notícias, em  órgãos da comunicação social, que indiciavam o acesso indevido a dados pessoais do Primeiro-Ministro relativos à sua situação tributária, na posse respectivamente da Autoridade Tributária e Aduaneira e da Segurança Social (SS)”.  Será que a CNPD pode provar aos portugueses que também se preocupa com os direitos dos outros cidadãos, ou esta preocupação é exclusiva dos altos dignitários da Nação? A verdade é que segundo escreve hoje o ex-director-geral da AT no JN, ao contrário do que sucede com a CNPD, que só se preocupou com os direitos de Passos Coelho, mandou investigar todas os casos de publicação de dados pessoais dos cidadãos.
Parece que em matéria de inspecções e divulgação a CNPD também tem a sua agenda ou lista própria pois deixa para “deliberação autónoma” as falhas da Segurança Social. Não deixa de ser curioso que os dados mais graves que saíram na comunicação social tenham sido os da Segurança Social e a visada pela urgência da CNPD tenha sido a AT. Isto significa que a CNPD não achou prioritário saber porque motivo na Segurança Social há cidadãos que se escapam facilmente enquanto outros pagam com língua de palmo.

Da leitura da deliberação parece resultar que só agora CNPD deu pela existência da AT, ao escrever que “a AT ao longo dos anos tem vindo a criar novos tratamentos de dados pessoais sem prévia notificação à CNPD para efeitos de emissão de eventual autorização”. Quando se fala nos últimos anos vem desde logo à memória tratamentos de informação como o poderoso e-fatura. É mesmo verdade que desde há anos que a CNPD não verificou nada na AT como parece resultar da sua deliberação? Se for verdade é grave porque não podemos confiar na AT, se for mentira ou meia verdade é igualmente grave porque não podemos confiar na CNPD.

 Já no século XXI e depois de se ouvir falar de tanta coisa a CNPD descobriu que a protecção de dados só pode ser assegurada por lei da Assembleia da República ou por decreto autorizado. Isto é, a CNPD considera que a lei de protecção de dados é insuficiente mas como só em 2015 é que reparou na existência da AT e da recolha de dados de vários sistemas daquela instituição! É uma pena, se calhar o pessoal da CNPD já perdeu a oportunidade de ganhar algum Audi por só depois desta auditoria é que tiveram conhecimento do e-fatura.

A CNPD refere que boa parte dos tratamentos de dados realizados pela AT não foram autorizados previamente pela CNPD, mas não referir quais. Da mesma forma que a CNPD exige que tudo fique bem guardado e conservado, será possível informar quais os procedimentos irregulares e tornar público as actas de reuniões com a AT onde tais ilegalidades foram referidas ou os emails trocados entre a TA e a CNPD. Seria muito interessante. De certeza que, como refere a deliberação, a CNPD só tem actuado na “sequência de queixas de cidadãos ou da notícia de fatos indiciadores de irregularidades nos tratamentos de dados pessoais”? sistemas como o e-fatura foram instalados na sua ignorância como parece resultar da sua deliberação? A revelação pública de dados pessoais de outros cidadãos ou políticos (por exemplo a renda da habitação de António Costa) já motivou alguma auditoria ou este tipo de acção é um privilégio do primeiro-ministro.

A CNPD critica com alguma razão o facto de se apagarem mensagens institucionais, um tema que está na moda por causa da senhora Hillary Clinton. O problema é que a CNPD nunca fez uma única inspecção aos computados do governo quando estes cessam funções. Seria interessante se contasse as mensagens que ficaram arquivadas.

A CNPD refer que é grave que nem todos os dados relativos à consulta da situação fiscal do primeiro-ministro tenham sido remetidos para a auditoria, o que significa que numas situações as consultas deram lugar a procedimento disciplinar e noutras não. Is to resulta da simpatia em relação aos curiosos ou do procedimento do qual resultou a detecção? 

Acontece que a tal lista referida pela CNPD foi tornada pública pelo próprio director-geral quando foi ouvido no parlamento, no seu artigo publicado hoje no JN nega que desses testes tenham resultado processos disciplinares e que estes foram consequência de consultas a personalidades cujos dados foram tornados públicos por jornais. Como foram identificados os curiosos que a CNPD refere, através da auditoria às notícias dos jornais ou em resultado de uma lista considerada ilegítima pela CNPD e que apenas foi usada em testes e sem quaisquer consequências?

A CNP sugere que o facto de não terem sido abertos processos disciplinares aos curiosos apanhados durante os testes leva a que estas situações fujam ao controlo do Conselho para a Prevenção da Corrupção. Sucede que o relatório divulgado pela Visão é comunicado obrigatoriamente a esse Conselho, daí que seja muito provável que quem o elaborou tenha sido suficientemente voluntarioso para tranquilizar os membros do mesmo informando que estavam a ser estudadas medidas, e assim nasceu a famosa lista VIP que a CPND condena ao mesmo tempo que lamenta que não tenha resultado em processos disciplinares e processos crime.

A CNPD diz que “é pois manifesta a falta de ação preventiva por parte da AT, que salvaguarde a privacidade de cada um e de todos os cidadãos, quando está em causa informação particularmente sensível, principalmente pelo seu nível de agregação”. Isto é, depois de centenas de notícias de jornais contendo dados fiscais a CNPD foi à AT apenas quando estava em causa do cidadão Passos Coelho e por causa do alarido provocado por uma suposta lista VIP que mais não foi do que uma hipótese de trabalho e agora descobriu que nada era feito e está preocupada com todos os cidadãos?

A CNPD que chega a queixar-se de acessos a dados que não foram comunicados à auditoria sem revela se houve algum motivo pelo que parece sugerir a existência de discriminação assente em favores, acusa o facto de terem sido comunicadas à auditorias duas “visitas a dados” detectadas no âmbito de teste. Todavia omite a sequência dada a essas comunicações, pelo que ignora se daí resultaram processos disciplinares, o que o ex-director-geral nega no artigo atrás citado.
  
A CNPD assegura que o “sistema de alarmística” esteve em efectiva produção, mas é muito pouco clara sobre o que define por “efetiva produção” e assegura que os testes foram anteriores à apresentação da proposta invocando como prova o referido numa proposta 10 de uma informação. Mas quando lemos o relatório dos auditores nada ficou claro além que o sistema só funcionou como testes. A verdade é que durante esse período não foi aberto qualquer processo disciplinar, facto de que a CNPD parece queixar-se, tão preocupada que estaria com a ausência de comunicação de dois casos de consulta abusiva ao do Conselho para a Prevenção da Corrupção.

Uma pequena curiosidade, a CNP faz questão de reproduzir as declarações de um responsável da informática da AT que teria sabido os NIF de Passos Coelho pela internet, como se isso fosse um facto relevante. Mas a partir de agora os NIF de Passos Coelho, paulo portas, Cavaco Silva e Paulo Núncio são públicos, a presidente da CNPD achou por bem proceder à sua divulgação pública num relatório em que parece destruir o responsável da segurança da AT.

A CNPD baralhou muito mas ficaram claras algumas evidências:

  1. Não houve entrega de qualquer lista VIP seja por quem for.
  2. Dos testes em que foi usada uma lista reduzida não resultou qualquer processo disciplinar para desgosto do Conselho para a Prevenção da Corrupção.
  3. A CNPD tem uma lista VIP que desencadeia auditorias apenas quando são tornados públicos dados de algumas personalidades, como sucedeu agora com o primeiro-ministro mas, ao contrário do que sucede com a AT isso não viola nenhum princípio da igualdade nem justifica que esta comissão seja auditada para verificar a legalidade dos seus critérios.
  4. A CNPD só em Março de 2013 terá reparado na existência da AT e das suas bases de dados geridas à margem da lei.
  5. A CNPD só agora reparou que a lei de protecção de dados é insuficiente. Esperemos que a CNP não venha a descobrir que há mais instituições do Estado que usem computadores, senão temos uma lei semestral de protecção de dados.
  6. A CNPD está a precisar de juristas, assim quando comunicar relatórios ao MP referindo que foram recolhidas provas que podem indiciar ilícitos criminais pode acrescentar de que ilícitos se trata e quem os poderá ter cometido.
  7. A CNPD inventou a existência de tarefeiros na CNPD.
  8. A CNPD parece querer ter mais poderes e poder colocar funcionários seus nas instituições do Estado.
  9. A CNPD esqueceu-se daquilo ao que ia, fundamenta  a auditoria com base na devassa ilegal dos dados do primeiro-ministro e depois ignora tuo o que a AT fez em relação a este caso, até parece que foi o responsável da segurança informática da AT que mandou os dados pessoais do primeiro-ministro para os jornais!
  10. A competência da presidente da CNPD e a sua preocupação com a privacidade dos dados dos contribuintes está no facto de ser ela própria a tornar públicos os NIF de Passos Coelho, Cavaco Silva, Paulo Núncio.
  11. A CNPD ignora o que é um estagiário e parece achar que um inspector estagiário pode fazer inspecções sem acesso aos dados.

Qual a minha conclusão sobre este relatório: vou ali e já volto!

PS: Ainda que mal pergunte, e quem audita as auditorias da CNPD, quem se assegura que as suas conversas ficam gravadas, que as suas comunicações estão arquivadas, que todas as suas reuniões dão lugar a actas?