A accountability e as coimas


Há um enigma na sociedade portuguesa que consegue fazer indiferenciar a falha com responsabilidade demonstrada da falha proveniente da demonstrada irresponsabilidade.

Não podemos deixar que esta fuga épica à responsabilidade demonstrada (accountability), já consagrada no anedotário nacional, contamine a aplicação do RGPD. Bem bastam Entre-os-Rios, Pedrogão, Tancos e Borba, não precisamos contaminar o RGPD com este flagelo nacional.

O princípio da responsabilidade demonstrada de forma transversal e a nível nacional seria um enorme avanço civilizacional. Ainda que uma questão fraturante, traria enormes benefícios de produtividade, segurança, eficiência e eficácia. Mas, fiquemos pela accountability ao nível do RGPD.

A que se deve a desconsideração atribuída à accountability, inclusive por parte da própria Comissão Nacional de Proteção de Dados (CNPD) ? O RGPD não é suficientemente claro?

Antes de desenvolvermos o tema, mais que ter presente uma definição de accountability, importa ter presente qual o conceito que está na sua origem. A accountability é o controlo do poder e da autoridade.

A accountability é a resposta à preocupação de saber como manter o poder sob controle, como domesticá-lo, como evitar abusos, como submetê-lo a determinados procedimentos e regras de conduta. A accountability ganha centralidade porque expressa a preocupação contínua com a vigilância em relação ao exercício do poder e as consequentes restrições institucionais sobre o seu exercício.

Hoje em dia, o controlo do poder, no caso, o controlo da gestão das organizações não se limita a ver se foi cometida alguma ação inadequada, é também, ver as falhas por omissão.

Accoutability impõe que o poder se exerça de forma diligente, informada, racional e documentada. O que se procura combater é a falha por dolo, a corrupção, o erro grosseiro e a omissão descuidada. Cabe ao poder (à gestão) demonstrar que agiu de forma diligente, informada, racional e documentada num processo de “prestação de contas”.

Agora já podemos responder à pergunta se o RGPD é suficientemente claro no que respeita ao principio da accoutability. A resposta é afirmativa, a clareza do RGPD é cristalina e ninguém questiona a obrigação de se respeitar o princípio da accountability.

As alíneas b) e d) do n. 2 do artigo 83º do RGPD referem que as condições gerais para a aplicação de coimas devem considerar o carácter intencional ou negligente da infração e o grau de responsabilidade tendo em conta as medidas técnicas ou organizativas implementadas nos termos dos artigos 25º e 32º. O n. 3 do artigo 83 do RGPD limita e subordina estabelecendo que se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

Vejamos, então, 3 casos que ilustram a forma como a fuga ao princípio da responsabilidade é socialmente considerada.

Centro Hospitalar Almada e Barreiro

A CNPD aplicou coimas no valor global de 400 mil euros ao Centro Hospitalar Barreiro-Montijo (ver a noticia aqui),devido a três infrações: violação do princípio da integridade e confidencialidade,violação do princípio da minimização de dados que deveria impedir o acesso indiscriminado a dados clínicos dos doentes, e incapacidade do responsável pelo tratamento dos dados para assegurar a confidencialidade e a integridade dos dados. As duas primeiras infrações foram punidas com coima 150 mil euros cada, enquanto a terceira representou um acréscimo de 100 mil euros.

A CNPD também responsabiliza a administração do Hospital do Barreiro por não ter tomado as medidas necessárias para garantir que as contas de médicos que já não estavam a trabalhar no Barreiro eram eliminadas.

“A arguida agiu deliberadamente, bem sabendo que estava obrigada a aplicar as medidas técnicas e organizativas indispensáveis à identificação e autenticação dos utilizadores, bem como à gestão e delimitação dos seus perfis de acesso à informação, estratificando-os de acordo com os diferentes privilégios de acesso correspondentes às categorias profissionais dos seus trabalhadores e ainda à garantia da segurança da informação, para além de lhe competir dispor de um sistema de auditoria fiável de tais identificações, acessos e garantias de segurança», refere a deliberação da CNPD.

E aqui a CNPD sublinha bem o papel da auditoria. Aliás, a auditoria é fundamental para se atingir a responsabilidade demonstrada.

“A arguida jamais terá tido cuidado de interceder junto da Serviços Partilhados do Ministério da Saúde (SPMS) por forma a corrigir este aspeto do sistema que, como a atualização recente demonstra, devia e podia ser alterado previamente”

 Conclui-se que não foi respeitado o princípio da accountability relativamente à integridade, confidencialidade e minimização de dados. Aceita-se que a coima relativa à accountability esteja incluída, como agravante, nas coimas referentes à integridade, confidencialidade e minimização de dados. Mas, não seria mais pedagógico destacar a agravante relativa à accountability?  Não haveriam falhas de accountability noutras questões operacionais que nada tivessem a ver com a violação de dados ou qualquer outra falha? Custa a acreditar. É que tal como a responsabilidade civil a accountability implica uma ação diligente, informada, racional e documentada. Ora, tal não é prática corrente em Portugal e muito se duvida que os hospitais públicos sejam exceção e pratiquem uma gestão responsável.

Mas, se a CNPD podia ter andado melhor no sentido da ação pedagógica, houve quem tivesse andado francamente mal. 

A comunicação social não colocou a questão da accountability, não pediu à gestão do Centro Hospitalar Almada e Barreiro para se justificar e demonstrar uma gestão responsável.

A gestão do Centro Hospitalar Almada e Barreiro não sentiu necessidade de se justificar e prestar contas. O dever de prestar contas e a pro actividade em o fazer são o timbre de uma gestão responsável. Assim, em qualquer caso, a gestão do Centro Hospitalar Almada e Barreiro atuou pessimamente.

A tutela do Centro Hospitalar Almada e Barreiro nada disse e subentende-se que não vai responsabilizar civilmente a gestão do Centro Hospitalar Almada e Barreiro. E, assim, mais uma vez, os meios de comunicação social não colocam o dilema à tutela (ministério da saúde): ou a culpa é do Ministério da Saúde que não facultou os meios necessários ao Centro Hospitalar Almada e Barreiro e nesse caso o Ministério da Saúde deve prestar contas ou a culpa é da gestão do Centro Hospitalar Almada e Barreiro e, nesse caso, o Ministério da Saúde tem a obrigação de responsabilizar civilmente a dita gestão.

Concluindo, a CNPD podia ter atuado de forma mais pedagógica. A comunicação social, a gestão do Centro Hospitalar e o Ministério da Saúde estiveram muito aquém do que se espera de um país da União Europeia, e concretamente do RGPD.

Accountability, no sentido de prestação de contas, recai não só sobre o que fazemos, mas também sobre o que não fazemos e temos responsabilidades atribuídas.

Accountability, no sentido de prestação de contas, recai não só sobre as falhas ocorridas, mas também sobre o que correu bem embora exposto a níveis de riscos pouco razoáveis ou procedimentos inadequados.

E-toupeira

Muitos dos acessos aos processos em segredo de Justiça efetuados pela “toupeira” foram feitos a partir do Tribunal de Guimarães, onde José Silva exercia funções de técnico de informática, para além do Tribunal de Fafe. Este técnico também entrava nos processos a partir de computadores de casa e em outros tribunais.

Para além de inquéritos protegidos pelo segredo de justiça, José Silva espiou, no sistema informático do Ministério da Justiça, os dados pessoais de cinco ex-árbitros que foram intervenientes no processo Apito Dourado.

O Instituto de Gestão Financeira e Equipamentos da Justiça investigou os acessos a processos ligados ao futebol que estavam na plataforma informática Citius. Esse trabalho detetou mais de 600 acessos ilegais, em grande medida (mas não só) feitos pelo arguido José Silva, a partir dos tribunais de Guimarães e Fafe e com credenciais alheias (ver noticia aqui).

Esta situação ainda é pior que a do Centro Hospitalar Barreiro-Montijo. Que se saiba a CNPD nada fez, o responsável pelo sistema informático do Ministério da Justiça nada disse, a Ministra da Justiça ficou calada e a comunicação social nem referiu o caso na vertente da proteção de dados quanto mais do ponto de vista da accountability.

Aplicação Anda

A aplicação Anda, que permite usar o título de transporte Andante no telemóvel (título de transporte intermodal da área do Porto), foi alvo de um ataque informático que permitiu acesso a dados pessoais de utilizadores.

Menos de uma semana depois do lançamento público da aplicação Anda, já havia mais de 10.000 utilizadores sendo possível ver dados pessoais de qualquer deles, incluindo o nome, morada, os últimos quatro dígitos do cartão de crédito, número de telefone e número de contribuinte. Veja a notícia aqui.

Não foi noticiada qualquer intervenção da CNPD, o responsável pelos Transportes Intermodais do Porto (TIP) nada disse de concreto limitando-se a desvalorizar, a comunicação social não pressionou para que fossem dadas explicações sobre os princípios da privacy by design e da accountability.

Conclusão

Se pegarmos em qualquer outro caso, encontraremos o mesmo perfil de reação. Lembremos o caso VIP da Autoridade Tributária, observemos as várias leituras que foram feitas do caso e certamente nenhuma análise foi feita na perspetiva da accountability. Alguém acredita que a situação na Autoridade Tributária tenha melhorado?

O que acontece em todos os casos é a falta de atenção dada ao tema da accountability. Na verdade, esta falta de responsabilidade demonstrada, esta falta de prestação de contas é uma enorme evidência de um problema mais vasto que é a incompetência de gestão reinante em Portugal.

Recordo o código de conduta da associação alemã de DPOs (aqui) que logo no princípio esclarece que a conformidade RGPD é de tal forma complexa que só pode ser endereçada com base num sistema de gestão.

Não há gestão sem accountability nem há conformidade RGPD sem adequada aplicação do princípio da accountability.

Dito isto, imagine-se a accountability se não houver coimas para os organismos do Estado.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)