O Centro de Estudos Judiciários (CEJ), responsável pela formação de magistrados, manteve publicados no Portal BASE contratos onde permaneciam acessíveis dados pessoais. Após alerta do Tugaleaks, mandou corrigir alguns exemplos, mas outros contratos continuavam com o mesmo problema.
Em causa estão contratos administrativos onde referências a números de Cartão de Cidadão e moradas surgem visualmente ocultadas, mas continuam selecionáveis no próprio ficheiro, permitindo a sua leitura integral. O Tugaleaks confirmou a situação através da consulta direta dos documentos disponibilizados na plataforma oficial de contratação pública.
A investigação Tugaleaks:
Como dados pessoais permanecem acessíveis apesar de ocultação gráfica
Nos contratos analisados, os dados aparecem com ocultação visual, mas não foram removidos do corpo do documento. Ao selecionar o texto, é possível aceder à informação originalmente constante do contrato.
O problema não reside na obrigação legal de publicação. O CEJ, como entidade pública, está obrigado a divulgar os contratos celebrados no Portal BASE. A questão centra-se na forma como essa divulgação é feita e na necessidade de expurgar dados pessoais que não sejam estritamente necessários para cumprir o princípio da transparência administrativa.
O vídeo abaixo demonstra o método utilizado para aceder aos dados:
Em suma, colocaram as letras a branco, o que não impede a seleção das mesmas.
Responsabilidade recai sobre o responsável pelo tratamento
Contactada pelo Tugaleaks, a advogada Rita Ferreira Ramos, associada principal da PRA – Raposo, Sá Miranda e Associados, afirma que “o responsável pelo tratamento será o CEJ” e que caberia à entidade garantir que apenas fossem divulgados os dados estritamente necessários.
No caso concreto, reconhece que existiu uma tentativa de ocultação, mas “essa tentativa revelou-se reversível”, sublinhando que seria responsabilidade da entidade verificar que estavam implementadas “todas as medidas técnicas e organizativas de segurança”.
A jurista acrescenta que, embora exista obrigação legal de publicar contratos no Portal BASE, “deveriam ter sido expurgados todos os dados pessoais que não eram necessários”. E alerta que, caso se conclua existir risco para os direitos e liberdades dos titulares, “os titulares dos dados pessoais deverão ser informados” e “a CNPD também deverá ser informada sobre o incidente de segurança que pode comportar uma violação de dados pessoais”.
Não é a primeira vez que o Centro de Estudos Judiciários enfrenta situação semelhante
Importa recordar que o Tugaleaks já tinha noticiado, em 2017, um caso semelhante envolvendo documentação do próprio Centro de Estudos Judiciários, onde dados pessoais se encontravam tecnicamente acessíveis da mesma forma.
A repetição do padrão coloca em causa a eficácia dos mecanismos internos de verificação.
Transparência e proteção de dados devem coexistir
Contactado pelo Tugaleaks, o Centro de Estudos Judiciários afirma que “garante o cumprimento do RGPD relativamente aos dados pessoais”, sublinhando que, no caso concreto, “procedeu à ocultação dos respetivos dados pessoais dos outorgantes”.
O CEJ refere ainda que, após tomar conhecimento da situação descrita, verificou que “software mais recente permite a visualização do ocultado”, tendo sido determinada “de imediato” a correção das situações identificadas, procedimento que, segundo a entidade, “já se iniciou”.
A instituição acrescenta que está a apurar se o problema se verifica noutros organismos oficiais, indicando tratar-se de uma situação que não seria exclusiva do CEJ.
Relativamente ao “software mais recente”, esta é uma realidade que não pode ser confirmada, já que, contratos de 2024 como este continuam com o mesmo problema. Ou seja, o CEJ limitou-se a corrigir os exemplos enviados pelo Tugaleaks.
Até ao momento da publicação desta notícia os dados continuavam online.
O que o Centro de Estudos Judiciários e outras entidades deviam fazer
O problema identificado não é meramente técnico. É jurídico e organizacional.
Na investigação anterior do Tugaleaks, sobre o mesmo problema, no portal onde são registados os pedidos de apoio na sequência das tempestades no nosso país, o professor de Direito e Encarregado de Proteção de Dados do Instituto Politécnico de Beja, David Masseno, foi claro quanto às exigências legais aplicáveis à contratação pública. “Em princípio, essa publicação será contrária ao disposto no artigo 27.º da Lei n.º 58/2019”, afirmou, recordando que, neste contexto, “não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do contraente público e do cocontratante”.
O docente sublinhou ainda que “a publicação de outros identificadores apenas será lícita se especificamente fundamentada”, exigindo sempre uma análise concreta de necessidade e proporcionalidade.
Mas a exigência não termina aí. No que respeita à segurança do tratamento, o Professor Masseno recordou que “o RGPD requer ao responsável pelo tratamento a aplicação das ‘técnicas mais avançadas’”, atendendo à natureza, ao contexto e aos riscos para os direitos e liberdades das pessoas singulares, acrescentando que tal enquadramento “eleva a exigência para o Estado”.
Aplicando esse entendimento ao caso agora identificado no Centro de Estudos Judiciários, a obrigação não se limita à mera ocultação visual. Implica a verificação efetiva de que os dados desnecessários são removidos antes da publicação, a revisão de procedimentos internos e a implementação de mecanismos de controlo que impeçam a repetição da situação.
A transparência administrativa não dispensa o cumprimento do princípio da minimização de dados. Pelo contrário, exige-o.
E a transparência administrativa não é incompatível com a proteção de dados. A negligência é. Considerando que o CEJ já teve este problema no passado, será que estamos perante um ato de negligência ou apenas desconhecimento?
Tens algo a expor do setor público ou privado?
Envia a tua denúncia anónima ao Tugaleaks!