Bases de metadados das operadoras sem fiscalização há cinco anos

A Comissão Nacional de Proteção de Dados (CNPD) abdicou de fiscalizar as bases de dados pessoais que as operadoras de telecomunicações estavam obrigadas a manter para fins de investigação, deteção e repressão de crimes graves e que foram consideradas ilegais num recente acórdão do Tribunal Constitucional.

Numa deliberação assinada pela Presidente Filipa Calvão, em 2017, na sequência de "participações do Ministério Público de diversas comarcas do país por eventual incumprimento da lei 32/2008 de 7 de julho (que obriga as operadoras a conservar por um ano os metadados de todos clientes), a CNPD entendeu "desaplicar" essa legislação ainda em vigor em Portugal, no que diz respeito à sua competência de fiscalizar o cumprimento das condições de segurança deste armazenamento, bem como da transmissão dos dados às autoridades judiciais.

Motivo? Por considerar que esta lei, uma transposição de uma diretiva europeia, punha em causa a Carta dos Direitos Fundamentais da União Europeia, a que os estados membros estão vinculados, "em violação do princípio da proporcionalidade (por serem tratados todos os dados, de suspeitos e não suspeitos), bem como a decisão, de 2014 do Tribunal de Justiça da União Europeia (TJUE) que considerou a diretiva ilegal ;e ainda uma "restrição desproporcionada dos direitos à reserva as intimidade da vida privada, à inviolabilidade das comunicações e à proteção de dados pessoais, em violação da Constituição da República Portuguesa - argumentos esses que estiveram na base do acórdão de abril passado do Tribunal Constitucional.

"Face aos elementos expendidos na referida deliberação (...) na qual se conclui que a lei 32/2008 viola a Carta e a Constituição da República Portuguesa, em cumprimento do princípio do primado do Direito da União Europeia e da prevalência da Constituição, a CNPD delibera desaplicar aquela lei nas situações que lhe sejam submetidas para apreciação", é escrito na deliberação 1008/2007.

Como foi noticiado pelo DN este acórdão provocou um "terramoto" na Justiça, uma vez que transitando em julgado - o que estará para breve pois o pedido do nulidade que tinha sido apresentado pela Procuradora-Geral da República foi recusado pelo Tribunal Constitucional) pode deitar abaixo milhares de inquéritos criminais, desde a publicação da lei em 2008, ainda em investigação, em fase de julgamento ou até já julgados, nos quais tenham sido utilizados estes metadados de suspeitos de crimes que permitiam que as polícias os pedissem às operadoras.

O leque de crimes, ao abrigo dos quais, as forças de segurança tinham podiam ter acesso a esta informação é vasto, e inclui, como terrorismo, homicídios, raptos, corrupção, cibercriminalidade, criminalidade por via informática, entre muitos outros.

Vários juristas, juízes e procuradores do Ministério Público, alertaram para os efeitos práticos "devastadores" que a decisão poderá ter, implicando a libertação ou despronúncia de muitos arguidos.

Durante a semana foi sendo noticiado que advogados de alguns casos mediáticos, como o de Rosa Grilo, o homicida do rapper Mota Jr. ou o dos dois jihadistas condenados, pretendem invocar o acórdão do Tribunal Constitucional para anular os processos. Segundo o Observador, põe em risco cerca de oito mil casos de burlas por MbWay.

O impacto que se advinha levou o primeiro-ministro António Costa a marcar para esta segunda-feira uma reunião de emergência do Conselho Superior de Segurança Interna, órgão máximo de consulta do governo que integra todos os órgãos de polícia criminal, cujo único tema agendado é "a análise das consequências práticas decorrentes" do referido acórdão "e medidas a adotar".

Estes dados são necessários "para encontrar e identificar a fonte de uma comunicação; o destino de uma comunicação; a data, a hora e a duração de uma comunicação; o tipo de comunicação; o equipamento de telecomunicações dos utilizado; a localização do equipamento de comunicação móvel", quer em telefones, quer na internet.

O procurador da República e ex-presidente do Sindicato dos Magistrados do Ministério Público, Rui Cardoso, crítico da decisão do Tribunal Constitucional, tem chamado a atenção para as condições em que é feito o armazenamento.

"Não há acesso generalizado aos dados de todos os cidadãos, não há qualquer Big Brother", sublinha numa das várias publicações que tem feito na sua página de Facebook.

"Os dados são conservados durante um ano, mas ninguém lhes pode aceder (nem os fornecedores de serviço): só com autorização judicial, quando forem "indispensáveis" para a prova e se respeitarem a suspeito, arguidos, intermediário ou vítima (com consentimento efetivo ou presumido). Durante essa conservação - em que ninguém acede aos dados -, são violados os referidos direitos fundamentais de forma «particularmente intensa» como diz o TC? Quando eu envio uma carta fechada e, durante uns dias, ela está posse dos correios a minha privacidade, o meu direito à autodeterminação informacional, ao desenvolvimento da personalidade, estão em causa? Quando os fornecedores de serviço de correio eletrónico mantêm nos seus servidores (desde sempre e até ao limite da nossa "caixa") todo os nossos e-mails estão, só por esse facto, a violar esses direitos?", questiona.

De acordo com a lei, as operadoras de telecomunicações têm várias obrigações para a salvaguarda destes dados pessoais. -

-Garantir que os dados conservados sejam da mesma qualidade e estejam sujeitos à mesma proteção e segurança que os dados na rede;

-Tomar as medidas técnicas e organizativas adequadas à proteção dos dados (...) contra a destruição acidental ou ilícita, a perda ou a alteração acidental e o armazenamento, tratamento, acesso ou divulgação não autorizado ou ilícito;

-Tomar as medidas técnicas e organizativas adequadas para garantir que apenas pessoas especialmente autorizadas tenham acesso aos dados;

-Destruir os dados no final do período de conservação, exceto os dados que tenham sido preservados por ordem do juiz;

-Destruir os dados que tenham sido preservados, quando tal lhe seja determinado por ordem do juiz.

Nas contas da Associação de Operadores de Comunicações Eletrónicas (APRITEL) que representa 98% do mercado, as empresas "gastam anualmente mais de 850 mil euros no cumprimento das obrigações legais e cooperação com a justiça".

Isto inclui despesas com "recursos humanos (internos e externos), suporte e licenciamento de sistemas dedicados (Search e SAPDOC - Sistema de Acesso ou Pedido de Dados às Operadoras de Comunicações) e custos de expedição de correspondência".

A legislação obriga ainda a que os pedidos de dados e a sua transmissão às autoridades judiciais mediante "comunicação eletrónica" que deve "observar um grau de codificação e proteção o mais elevado possível, de acordo com o estado da técnica ao momento da transmissão, incluindo métodos de codificação, encriptação ou outros adequados".

No entanto, ao que o DN conseguiu apurar junto a fontes do setor, esta determinação não é totalmente cumprida, uma vez que o referido SAPDOC, de utilização obrigatória, nem sempre é usado.

"Há muitos tribunais que ainda fazem os pedidos por papel, através de cartas registados, ou por simples mail. Daí as operadoras ainda terem a acrescentar às despesas os custos de expedição de correspondência, para responder aos senhores juízes", explica uma fonte do setor.

O DN pediu ao gabinete da Ministra da Justiça, Catarina Sarmento e Castro, que explicasse porque não estará generalizada a utilização desta aplicação de alta segurança, prevista desde 2010 (embora nunca tivesse sido determinada a sua obrigatoriedade), mas não obteve resposta.

Ainda assim, na página oficial do Citius, do Ministério da Justiça, é dito que "o SAPDOC está disponível em todos os tribunais com competências de instrução através de uma aplicação adequada à qual todos os juízes competentes têm acesso".

Segundo esta apresentação, "a APRITEL definiu, em conjunto com o Instituto das Tecnologias de Informação na Justiça ( ITIJ, atual IGFEJ) , mas com plena autonomia face às aplicações e bases de dados das suas associadas, os procedimentos técnicos a adotar de modo a que os sistemas informáticos independentes (do Ministério da Justiça e das operadoras, respetivamente) pudessem dialogar adequadamente e de forma segura".

Deste modo, é sublinhado, o IGFEJ "não tem qualquer responsabilidade pelos atos de qualquer operadora na implementação/manutenção da sua base de dados", apenas permitindo "aos juízes que façam o pedido por via eletrónica" e a sua responsabilidade termina quando o pedido é efetuado por esta via".

O DN também pediu aos respetivos porta-vozes das três maiores operadoras, a Altice, a NOS e a Vodafone, para explicarem como funcionam estas bases de dados, onde estão localizadas (um dos argumentos do Constitucional para chumbar a lei é que esta é omissa em relação à localização das mesmas, havendo o risco de as operadoras as manterem foram da UE), bem como as suas condições de segurança.

Apenas uma respondeu. "A Vodafone Portugal cumpre com todas as obrigações no que respeita ao tema em apreço, seguindo escrupulosamente tudo o que se encontra, a cada momento, determinado na lei", assegurou fonte oficial da empresa.

Constituem crime, punido com pena de prisão até dois anos ou multa até 240 dias, o "incumprimento de qualquer das regras relativas à proteção e à segurança dos dados", o "não bloqueio", "o acesso aos dados por pessoa não especialmente autorizada".

Ao "desaplicar" a lei desde 2017, a CNPD deixou de fazer a respetiva fiscalização e instrução dos processos de contra-ordenação.

Deveria também, "no fim de cada período de dois anos", em colaboração com o Instituto das Comunicações de Portugal - Autoridade Nacional de Comunicações (ICP-ANACOM), proceder "a uma avaliação de todos os procedimentos previstos na presente lei" e elaborar "um relatório detalhado, o qual pode incluir recomendações, cujo conteúdo deve ser transmitido à Assembleia da República e ao Governo".

Questionada pelo DN sobre quantas fiscalizações realizou (antes de 2017), quantas denúncias de eventuais incumprimentos da lei recebeu, se fez os exigidos relatórios e quais as conclusões do mais recente, a CNPD não respondeu.