A disponibilização de um portal público para reporte de prejuízos causados pelo mau tempo acabou por revelar um problema estrutural da entidade que a gere: dados pessoais expostos na Internet através de múltipla documentação contratual pública acessível a qualquer cidadão.
Os documentos em causa encontram-se disponíveis no Portal BASE e contêm nomes completos, números de Cartão de Cidadão e moradas, dados que a lei portuguesa limita expressamente no contexto da contratação pública. Esses dados surgem apenas ocultados visualmente, mas permanecem tecnicamente acessíveis, permitindo a sua leitura e cópia integral.
Não estamos perante um detalhe técnico irrelevante. Estamos perante dados pessoais expostos num contexto em que o próprio Estado através da Comissão de Coordenação e Desenvolvimento Regional do Centro, IP, que gere a plataforma, exige aos cidadãos que confiem nessa mesma plataformas para submeter informação sensível. E esta prática é reiterada.
A investigação Tugaleaks:
Dados pessoais expostos violam limites legais da contratação pública
Questionado pelo Tugaleaks, o professor de Direito e Encarregado de Proteção de dados do Instituto Politécnico de Beja, David Masseno, não deixa margem para grandes dúvidas quanto ao enquadramento jurídico. “Em princípio, essa publicação será contrária ao disposto no artigo 27.º da Lei n.º 58/2019”, afirma.
O docente recorda que a legislação é clara ao estabelecer que, na contratação pública, “não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do contraente público e do cocontratante”.
“A publicação de outros identificadores apenas será lícita se especificamente fundamentada”, sublinha o professor, exigindo sempre uma análise concreta de necessidade e proporcionalidade.
Neste caso, os dados pessoais expostos vão muito além do que a lei admite como regra.
Ocultação visual amadora não elimina dados pessoais expostos
O problema agrava-se pelo método utilizado. A ocultação gráfica dos dados, sem a sua remoção efetiva, cria uma falsa sensação de segurança.
Por exemplo, este contrato celebrado (ironicamente) com uma empresa de segurança tem informação do cartão de cidadão e morada do gerente. Já este, celebrado com um particular, mostra o mesmo padrão. Por sua vez, este tem dados do representante da Iberdrola e este nem sequer tem nada tapado. Todos os documentos referidos encontram-se publicamente acessíveis através do Portal BASE, plataforma oficial de contratação pública, podendo ser consultados por qualquer utilizador. E estes são exemplos recentes, existem outros mais para trás. Esta é uma prática reiterada da entidade.
Assiste ao vídeo de demonstração deste problema:
O que aconteceu aqui?
Segundo David Masseno, não estamos sequer perante um verdadeiro processo de anonimização. O que está em causa é o incumprimento dos princípios básicos da lei. O académico indica que “o RGPD requer ao responsável pelo tratamento a aplicação das ‘técnicas mais avançadas’, embora atendendo não apenas ‘os custos de aplicação’ como também ‘a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares’”, e remate que, isso “eleva a exigência para o Estado”.
Em linguagem simples: quando o Estado pratica atos, a exigência legal é maior, não menor.
Trata-se de uma falha facilmente evitável através da aplicação de procedimentos básicos de anonimização antes da publicação de documentos oficiais.
Não é um ataque informático, mas a responsabilidade mantém-se
Situações deste tipo não correspondem necessariamente a uma violação de dados pessoais no sentido técnico do RGPD, uma vez que não implicam um incidente de segurança causado por terceiros. Mas esta distinção não salva a entidade pública de responsabilidade.
“Essa violação das normas não é menos grave em termos de responsabilização civil e contraordenacional”, recorda David Masseno, apontando para precedentes como o chamado Caso Russiagate, que resultou na responsabilização da Câmara Municipal de Lisboa.
Ou seja, dados pessoais expostos por deficiência procedimental continuam a gerar consequências legais.
Dados pessoais expostos colocam cidadãos em risco real
Aqui está o ponto que o discurso institucional não vê. Números de Cartão de Cidadão e moradas não são dados neutros. São elementos suficientes para facilitar esquemas de engenharia social, permitir fraude documental e potenciar usurpação de identidade.
Quando o Estado, por falta de conhecimento técnico ou de cultura organizacional, publica dados pessoais expostos, transfere o risco para os cidadãos. O custo do erro administrativo deixa de ser abstrato e passa a ser individual.
Não é necessário haver um ataque imediato para existir perigo. Basta a exposição.
Sendo a Comissão de Coordenação e Desenvolvimento Regional do Centro, IP simultaneamente responsável por uma plataforma de recolha de dados pessoais de cidadãos em situação de vulnerabilidade, o episódio expõe uma contradição difícil de ignorar: enquanto exige confiança digital, a própria entidade demonstra fragilidades na proteção da informação que publica. Em matéria de dados pessoais, a confiança institucional não se proclama, demonstra-se.
Estado exige confiança enquanto falha no básico
O paradoxo é evidente. O Estado através da Comissão de Coordenação e Desenvolvimento Regional do Centro, IP cria e gere portais onde exige aos cidadãos que submetam fotografias das suas casas, dados económicos e informação pessoal sensível, mas falha em garantir o mínimo de rigor na documentação que ele próprio publica.
Não se trata de falta de leis ou falta de avisos. Trata-se de falta de competência técnica e organizacional, com impacto direto na segurança das pessoas.
O Tugaleaks contactou a entidade responsável pelo portal, o respetivo Encarregado de Proteção de Dados e a empresa privada envolvida no contrato de segurança, a DiamWall. Existe pelo menos coerência numa coisa: todos se remeteram ao silêncio, até ao momento desta publicação.
Também na altura desta publicação encontravam-se, pela nossa breve análise, vários contratos com dados pessoais ainda online.