Encarregado de proteção de dados que Medina quer exonerar trabalha na autarquia há 33 anos

Luís Feliciano, o jurista encarregado de proteção de dados na Câmara de Lisboa desde 2018, está nos quadros da autarquia desde 1988. Começou pela administração do património imobiliário e passou pela coordenação territorial. E agora é o bode expiatório de um escândalo muito mal explicado.

Fernanda Câncio
O presidente da Câmara de Lisboa, Fernando Medina, ainda tem algumas explicações a dar sobre este caso.© António Pedro Santos/LUSA

"A severidade do que aconteceu implica que encaremos de frente a forma como a Câmara de Lisboa não protegeu os dados"; "Há um problema de confiança em relação à forma como o município tratou dos dados pessoais e é preciso dar um sinal claro".

Foi assim que, na conferência de imprensa na qual se propunha esclarecer o que se passou com o tratamento dado pela Câmara a que preside às comunicações de manifestações desde a extinção dos governos civis, em 2012, Fernando Medina justificou a proposta de exoneração do encarregado de proteção de dados (EPD) da autarquia. Por outras palavras, era preciso fazer algo para redimir a imagem da autarquia, e a forma escolhida foi a exoneração do responsável pela área.

Sobre o que esse encarregado, do qual nunca disse o nome - trata-se do jurista Luís Feliciano -, fez ou não concretamente no que a esta questão respeita Fernando Medina não falou. Nem do que deveria ter acontecido, e não aconteceu, quando a Câmara foi confrontada com a violação da lei de proteção de dados pessoais - no prazo de 72 horas, deveria ter comunicado o facto à Comissão Nacional de Proteção de Dados, a entidade independente que fiscaliza a aplicação do RGPD - e quem deve ser responsabilizado por essa falha.

O que é um encarregado de proteção de dados?

Mas esclareça-se antes de mais o que é um encarregado de proteção de dados (de aqui em diante, EPD). Um cargo que até ao eclodir deste escândalo das comunicações, pela CML, de dados pessoais de promotores de manifestações a diversas entidades, incluindo embaixadas, a maioria desconhecia existir.

O Regulamento Geral de Proteção de Dados (RGPD) europeu, que entrou no ordenamento nacional em 2019, impõe que as instituições públicas tenham um EPD. Este, que nos termos da lei não tem de ter certificação profissional para o desempenho das funções, deve, de acordo com a explicação constante no site da CNPD "ser designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados".

As respetivas funções, descritas na lei 58/2019 de 8 de agosto (que assegura a execução, na ordem jurídica nacional, do RGPD), implicam, independentemente do vínculo jurídico que tenha com a entidade, autonomia técnica, e são três: "Assegurar a realização de auditorias, quer periódicas, quer não programadas; sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança; assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados."

Luís Feliciano, o EPD da autarquia da capital, e cujo nome não surge nas páginas da autarquia que referem o EPD, tem a sua carreira e experiência profissionais, assim como habilitações, discriminadas na rede social Linkedin, na qual se identifica como "Coordenador da Equipa de Projeto para a Proteção de Dados Pessoais no Município de Lisboa."

Foi contratada empresa para fazer "diagnóstico" da CML em termos de dados pessoais

Nessa mesma página do Linkedin pode-se verificar que de 1982 até 1987 foi "técnico de motores de aeronaves" nas Oficinas Gerais de Material Aeronáutico, tendo entrado na CML, na Administração do Património Imobiliário, como "jurista" em 1988 (mesmo se, de acordo com a informação da mesma página, ingressou na Faculdade de Direito da Universidade de Lisboa dois anos antes, terminando em 1991 a licenciatura e pós-graduação "na vertente Ambiente e Urbanismo"). A partir de 2003 é chefe de divisão na referida secção e aí permanece até 2013.

Passa a seguir para a assessoria da Unidade de Coordenação Territorial, até 2015, e depois, até 2018, para a Equipa de Missão Implementação do Centro Operacional Integrado. Desde maio de 2018 desempenha as funções de que será agora exonerado; de acordo com o constante no Linkedin ainda não iniciara nessa altura a "Pós-Graduação Avançada em Direito da Proteção de Dados pessoais, Direito de proteção de dados" frequentada de 2019 a 2021 (também é referido um curso de EPD no Instituto Nacional de Administração, sem data).

O pouco que é possível saber publicamente do seu trabalho como EPD encontramo-lo nos slides, acessíveis online, de uma exposição que fez em 2019 no Goethe Institut (Instituto Alemão em Lisboa), sobre "A experiência de implementação do RGPD no município de Lisboa", nos quais explica o que fora feito até então e as competências da sua unidade, que incluem "avaliação da conformidade dos procedimentos atuais internos" e "apoio à revisão dos procedimentos atuais de acordo com o RGPD".

Para fazer o diagnóstico da situação, informa Feliciano, foi contratada uma empresa externa - a LCG Consultora, SA, cujo trabalho, contratado a 1 de agosto de 2018, terá levado sete meses e custado, de acordo com o Portal Base, 74 mil euros (a mesma empresa tem vários contratos semelhantes com outras entidades públicas, incluindo autarquias). Ter-se-á passado de seguida à "fase de implementação", com as "ações corretivas necessárias nas vertentes jurídicas, processuais, tecnológicas e organizacionais para a adequação das políticas, contratos, processos e aplicações do município ao RGPD", e depois à "fase de monitorização", com "ações regulares de auditoria e de avaliação da conformidade do município aos requisitos do RGPD".

Câmara começou por não reconhecer a "severidade"

Como já se percebeu, nem os diagnósticos nem as ações de sensibilização, corretivas ou as auditorias que terão sido levados a cabo quer pela empresa contratada quer pela unidade dirigida por Luís Feliciano lograram detetar e resolver a persistente violação do RGPD agora identificada - e que ocorreu, segundo a auditoria ordenada pelo presidente da CML, 52 vezes desde 2012.

Aliás nem sequer quando foi alertada por um mail de ativistas russos de que os respetivos dados pessoais - incluindo moradas - constantes numa comunicação à autarquia de uma manifestação de protesto, em janeiro, contra a prisão do principal oposicionista a Putin, tinham sido reencaminhados para a embaixada da Rússia e e para a representação consular do país, a CML parece ter tido consciência da "severidade" - para usar a expressão de Fernando Medina - da situação.

O mail de protesto dos ativistas, que pedia o apagamento dos dados, foi enviado a 18 de março; a autarquia só responderia em abril. E em termos ríspidos, num mail não assinado, culpabilizando os promotores da manif por terem enviado dados demasiado sensíveis - "O conteúdo rececionado pelo município e posteriormente reencaminhado para as diversas entidades, é de inteira responsabilidade do(s) promotor(es), que deverão ter o cuidado de não facultar informações pessoais que excedam o estritamente necessário para o cumprimento dos preceitos legais indicados" - e afirmando que o encaminhar dessa informação para as entidades referidas, incluindo embaixadas, era "um procedimento habitual com vários anos".

Esta resposta é ainda mais bizarra à luz da informação, dada quer por Medina logo no início da polémica quer por um comunicado da CML a 10 de junho, de que o EPD fora informado do mail dos ativistas e que a alteração de procedimentos relativos às manifestações que teria sido efetuada a partir de 18 de abril se devia à sua intervenção.

Como é que o EPD não fez logo auditoria ao caso?

A ser verdade que o EPD esteve no processo desde abril, como se explica o teor ríspido da resposta da CML às vítimas da violação da lei? E que não só não tenha sido enviada a participação obrigatória para a CNPD (a autarquia poderá alegar que o mail dos ativistas também foi enviado à CNPD, portanto esta teve conhecimento dos factos, aliás abrindo logo, de acordo com o que o DN conseguiu saber, um processo de averiguações, mas isso não exime a CML de fazer a comunicação a que está obrigada) como o EPD não tenha desencadeado qualquer auditoria aos ditos procedimentos?

Como é evidente, se tal auditoria tivesse existido em abril, decerto não seria preciso fazer outra em junho para averiguar o mesmo. Por que motivo não fez o EPD a auditoria a que estava obrigado? Essa é uma pergunta a que conviria alguém responder. Trata-se de incompetência, falta de meios ou outro motivo qualquer?

E como compreender, se o EPD esteve no processo desde Abril, os termos do comunicado exarado pela autarquia a 10 de junho, invocando a lei (do direito de reunião e manifestação) para - ainda - justificar os ditos "procedimentos"?

"A CML tem cumprido de forma homogénea a Lei portuguesa, aplicando os mesmos procedimentos a todo o tipo de manifestações, independentemente do promotor e do destinatário da mesma", lê-se no comunicado. "A CML lamenta que a reprodução de procedimentos instituídos para situações de normal funcionamento democrático não se tenha revelado adequada neste contexto. Ciente dessa realidade, os procedimentos foram desde logo alterados, em conformidade com o Regulamento Geral de Proteção de Dados, para melhor proteção do direito à manifestação e à liberdade de expressão, pilares fundamentais do Portugal democrático."

"Quiseram mudar este assunto para um mero desleixo burocrático"

Ora, como agora reconheceu Fernando Medina na sua conferência de imprensa, a transmissão de dados pessoais de promotores de manifestações a outras entidades que não a polícia não decorre de nenhuma lei nem do "normal funcionamento democrático" e não poderia jamais acontecer, por ilegal face ao RGPD.

Algo que pelo menos o EPD da CML deveria saber - é precisamente para consciencializar as entidades para as suas obrigações nesta matéria que existe. Como se percebeu, essa consciencialização faltou. Pelo que é lícito concluir que o EPD falhou na sua missão.

Mas falhou porquê? Deve esse falhanço ser-lhe assacado em exclusivo? E como se explica que para além da violação patente do RGPD tenhamos percebido que até uma diretiva interna da CML, exarada em 2013 pelo então presidente António Costa, a qual impõe que o processo de comunicação das manifestações seja encaminhado para a PSP e apenas para a PSP, foi violada durante oito anos?

Eis algo que Fernando Medina afirmou não saber esclarecer - como é que duas persistentes violações da lei e de normas internas ocorreram durante tanto tempo sem ninguém aparentemente, incluindo o EPD, dar por isso, e como é que mesmo quando finalmente a CML foi alertada respondeu como respondeu.

E algo que provavelmente nunca será esclarecido, até porque, de acordo com o RGPD, o encarregado de proteção de dados que vai ser exonerado está "obrigado a um dever de sigilo profissional em tudo o que diga respeito ao exercício dessas funções, que se mantém após o termo das funções que lhes deram origem."

"Uma tristeza", comenta a ativista russa Ksenia Ashrafullina, uma dos três cujo nome e morada foram enviados para as representações diplomáticas do seu país. Assistiu, diz ao DN, à conferência de imprensa do presidente da Câmara e foi esse o seu sentimento: "Não fiquei esclarecida sobre como pôde isto acontecer durante tanto tempo sem ninguém reparar. Quiseram mudar este assunto para um mero desleixo burocrático, como se não fosse uma violação da lei e da Constituição. Não percebo."