A conservação de metadados de telecomunicações para eventual utilização em investigações criminais deveria ser feita por "seis meses", defende a presidente da Associação dos Profissionais de Proteção e de Segurança de Dados (APDPO).

Em entrevista à Lusa, Inês Oliveira, que é também encarregada de proteção de dados (EPD) do Ministério da Justiça, considera que estes seis meses representam já "um período menor" face à duração de um ano prevista na Lei n.º 32/2008, um dos aspetos declarados inconstitucionais pelo Tribunal Constitucional (TC), além das categorias de dados a armazenar pelos operadores e as condições de transmissão de dados armazenados para investigação.

Em acórdão de 19 de abril, o TC declarou inconstitucionais normas da chamada lei dos metadados que determinam que os fornecedores de serviços telefónicos e de internet devem conservar os dados relativos às comunicações dos clientes -- entre os quais origem, destino, data e hora, tipo de equipamento e localização -- pelo período de um ano, para eventual utilização em investigação criminal.

"A proteção de dados é um direito fundamental, mas não é absoluto e não pode ser utilizada de forma abusiva para termos uma sociedade insegura. Agora, não podemos tratar todos como suspeitos e andar durante um ano a conservar dados que podem não ser utilizados pelas polícias, mas que podem ser pirateados ou utilizados para fins comerciais", alerta a presidente da (APDPO).

Sem deixar de admitir que o uso de metadados para investigação criminal "é uma finalidade legítima" e que a segurança nacional e o combate à criminalidade "podem fazer ceder a proteção de dados", Inês Oliveira distingue o acesso das autoridades da questão da conservação e defende que o chumbo do TC à lei dos metadados deixa margem para alternativas na investigação.

"Uma conservação massiva e indiscriminada dos dados, considerando todos como suspeitos, é grave e tem de haver um motivo muito preponderante. O TC veio dizer que não há motivo e que as polícias acabam por ter outras formas de rastrear um suspeito, nomeadamente escutas, conservando daí para a frente os dados ou acedendo aos dados da faturação que essas empresas já conservam", observa.

Num momento em que o grupo de trabalho criado pelo Ministério da Justiça para avaliar o impacto desta decisão está a ultimar uma nova proposta de lei, Inês Oliveira defende que a lei dos metadados pode representar um maior risco de acesso indevido, ao contemplar uma base de dados distinta daquela que as operadoras já têm para faturação.

"Não se venha dizer que acaba agora por hipotecar as investigações todas. Não. As polícias podem continuar a aceder aos dados, pedindo às operadoras os dados que guardam para efeitos de faturação durante seis meses. Portanto, temos de medir bem e ver se não estamos a duplicar dados com o risco acrescido de poderem ser acedidos por terceiros", refere, acrescentando: "O direito fundamental à proteção de dados tem de ser muito bem balanceado nos fins policiais. Senão, corremos o risco de ele ficar totalmente hipotecado".

Inês Oliveira considera ainda "muito perigosa" a ideia de "colocar em entidades privadas uma quantidade de dados exorbitante" e recorda o ciberataque à Vodafone em fevereiro deste ano: "Não temos a certeza de que terceiros não tiveram acesso a estas informações".

Questionada sobre como conciliar o direito à proteção dos dados pessoais com o direito à segurança, a presidente da APDPO reitera que o entendimento de 2014 do Tribunal de Justiça da União Europeia já explicava como equilibrar em termos práticos a retenção de dados, invocando a possível existência de crimes graves e um período temporal limitado.

"Numa conservação generalizada estamos a considerar todos os utilizadores suspeitos da prática de um crime e isso é que não pode acontecer", afirma Inês Oliveira.

Falta em Portugal cultura de protecção de dados

A presidente da APDPO denuncia a ausência de uma cultura de proteção de dados em Portugal e considera que há um défice de fiscalização nesta área.

Para Inês Oliveira, que lidera a associação desde 2021 e que em 2018 se tornou a encarregada de proteção de dados (EPD) do Ministério da Justiça, "a Comissão Nacional de Proteção de Dados (CNPD) devia fiscalizar mais" o cumprimento das normas, sobretudo face ao Regulamento Geral de Proteção de Dados (RGPD), que cumpre esta quarta-feira quatro anos da sua entrada em vigor.

"A fiscalização deveria ser muito mais ativa e, efetivamente, a não fiscalização faz com que haja um certo relaxamento", disse à Lusa, criticando a autoridade administrativa por não fazer ações de sensibilização ou apresentar planos de atividades, adiantando que "também não vai divulgando as decisões".

"A não transparência na aplicação das coimas da CNPD, que não vejo em mais país nenhum, traz um efeito sistémico de que nada acontece", disse.

Perante o "relaxamento" no respeito pelas normas do RGPD, que considera ser transversal entre os setores público e privado, Inês Oliveira alerta que a resposta passa pela consciencialização das estruturas de topo das organizações para a importância da segurança dos dados e salienta que se uma entidade não der prioridade a este tema, "ou está a ser atacada ou vai ser".

"A primeira coisa a fazer é capacitar as lideranças para a importância da proteção de dados e para a obrigação de nomear um EPD. Atrevo-me a dizer que muitas das organizações desconhecem esta obrigação, porque, efetivamente, apesar de já termos legislação de proteção de dados desde 1991, é uma matéria que tem ficado sempre na gaveta. Não temos uma cultura de proteção de dados", afirmou.

Mais do que considerar a proteção de dados como mera salvaguarda de informações, a presidente da APDPO desfaz a ideia "errada" de ser só uma despesa para empresas ou organismos públicos e lembra o caso do envio de dados de ativistas às autoridades russas pela Câmara Municipal de Lisboa (CML) em 2021 para assinalar o impacto ao nível da reputação e da confiança para a sociedade.

"São despesas que podem trazer benefícios reputacionais aos dirigentes. O caso da CML é bastante exemplificativo do prejuízo reputacional que trouxe para o presidente da Câmara [Fernando Medina, quando este caso ocorreu]; em segundo lugar, o grande benefício é gerar confiança para o mercado, e a confiança trará lucro para as empresas e trará eficiência e interesse público no âmbito do setor público", disse.

Além da intervenção da CNPD em Portugal, Inês Oliveira considera que a nível europeu tem sido dada "uma resposta um pouco contraditória no que toca à proteção de dados", em que ao "RGPD altamente protetor" que passou a ser aplicado desde 25 de maio de 2018 se têm sucedido diversos diplomas "que acabam por neutralizar e hipotecar o direito à proteção de dados", citando como exemplo uma recente proposta de combate à pornografia infantil.

"Obriga as operadoras a rastrear os comportamentos dos utilizadores e a sinalizar mensagens com conteúdos pornográficos e a destacar imagens com nus de crianças. Ou seja, a própria Comissão Europeia tem uma preocupação muito grande com a proteção de dados, mas depois -- e não estou a dizer que as finalidades não são legítimas -- neutraliza totalmente o direito à proteção de dados e põe entidades privadas a fiscalizar os utilizadores", explica.

Embora reconheça os "recursos diminutos" da CNPD, Inês Oliveira destaca a necessidade de ir além da notificação de nomeação do EPD nas organizações, que diz estar ainda "manifestamente abaixo" do que deveria ser.

Partindo do caso do acolhimento de refugiados ucranianos por elementos russos em Setúbal e da inexistência de um EPD na autarquia até então, a líder da APDPO nota que são precisas competências específicas para a função.

"Continuam a existir organizações que não nomeiam [EPD], mas muito mais grave é nomearem mal, nomearem qualquer um, nomearem pessoas que não têm habilitações literárias para o cargo. A mera nomeação não basta, tem de ser uma nomeação nos termos da lei e cumprindo os seus requisitos. Não pode ser qualquer pessoa a ser EPD", conclui.