Será que a CNPD vai inspecionar a ASAE?

É razoável suspeitar que a ASAE cometeu uma grave violação de dados pessoais.

Será que a CNPD afirmou que a ASAE vai poder analisar quem financiou a greve dos enfermeiros? Ou será que a CNPD se limitou a dizer à plataforma PPL de crowdfunding que deveria dar acesso à ASAE aos dados pessoais constantes da sua plataforma?

No sítio da CNPD (aqui) pode ler-se que a CNPD entendeu que, de acordo com a legislação de proteção de dados pessoais, «nada obsta» à disponibilização à ASAE, «para a prossecução das atribuições e o estrito exercício das competências em que está legalmente investida», da informação por esta solicitada à detentora da plataforma de financiamento colaborativo PPL.

Ora isto são duas coisas totalmente diferentes. Uma coisa é dizer-se que a ASAE pode aceder aos dados na prossecução das suas atribuições e competências e outra coisa é dizer-se que a ASAE pode aceder aos dados pessoais para identificar quem financiou a greve dos enfermeiros para avaliação da licitude sobre o financiamento da greve.

É que pelo que tem sido dito as atribuições e competências da ASAE em matéria de financiamento colaborativo circunscrevem-se à prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo.

Clarifique-se que branqueamento de capitais é a transformação, por via de atividades criminosas que visam a dissimulação da origem ou do proprietário real dos fundos, dos proventos resultantes de atividades ilícitas, em capitais reutilizáveis nos termos da lei, dando-lhes uma aparência de legalidade.

Tal como se pode ver aqui, o processo de branqueamento engloba três fases distintas e sucessivas:

1 – Colocação: os bens e rendimentos são colocados nos circuitos financeiros e não financeiros;

2 – Circulação: os bens e rendimentos são objeto de múltiplas e repetidas operações, com o propósito de os distanciar da sua origem criminosa, apagando (branqueando) os vestígios da sua proveniência e propriedade;

3 – Integração: os bens e rendimentos, depois de reciclados, são reintroduzidos nos circuitos económicos legítimos (por exemplo, através da sua utilização na aquisição de bens e serviços).

Note-se que a polémica sobre o financiamento da greve dos enfermeiros não suscita nenhuma questão ao nível da colocação, circulação ou integração.  

Aqui a ASAE dá nota da sua autoridade para fiscalizar as plataformas de financiamento como a PLL afirmando que no âmbito das medidas de natureza preventiva e repressiva de combate ao branqueamento de capitais e do financiamento do terrorismo, decorrente da Lei n.º 83/2017 de 18 de agosto, as entidades gestoras de plataformas de financiamento, passam a ser entidades equiparadas a entidades obrigadas, sendo-lhe assim aplicado o referido regime, ainda que simplificado, conforme o art.º 5 deste diploma.

Ora a prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo nada tem a ver com o efetivo propósito da ASAE.

Podemos tentar acreditar na versão oficial expressa pelo inspetor-geral da ASAE, Pedro Gaspar, ao Expresso de que “as circunstâncias atuais precipitaram uma avaliação prévia às seis campanhas ativas, entre as quais a dos enfermeiros”, e que “não existiu qualquer indicação do Governo”. Portanto, estarão a ver as campanhas de financiamento com a finalidade da prevenção e combate ao branqueamento de capitais e ao financiamento do terrorismo, se bem que o deslize sobre “as circunstâncias atuais”, deixe perceber a verdadeira intenção política.

No meio da polémica, o PS defendeu no Parlamento uma mudança no regime do crowdfunding, criado em 2015 precisamente através de uma proposta sua, para que acabe o carácter anónimo das contribuições. Os socialistas querem assim saber, no futuro, quem financia, por exemplo, as greves que estão a paralisar diversos serviços hospitalares. Diga-se que a forma como as pessoas financiaram a greve dos enfermeiros não teve nada de anónimo. Todas as doações foram feitas através do sistema bancário e, portanto, totalmente identificadas.

E esta é a verdade objetiva, a finalidade da ASAE é saber quem financiou a greve dos enfermeiros no quadro de um confronto politico-sindical. Vejamos o que dizia a imprensa (aqui): “Qual é o objetivo da investigação? Validar todas as informações dadas pelos enfermeiros em greve quanto à origem dos fundos, averiguar quanto foi o dinheiro angariado e se há incompatibilidade nas doações”. Ora isto não é combate ao branqueamento de capitais e ao financiamento do terrorismo. Isto é tratamento de dados para fins políticos.

O mais grave é que todos sabíamos disso e a CNPD também. A CNPD poderá ter dado uma resposta correta à PPL, mas não alertou a ASAE para o facto de que o acesso aos dados para a finalidade pretendida não era lícito. É razoável pensar que a CNPD agiu de forma informada e consciente, fechando os olhos à provável violação de dados que a ASAE estava a preparar.  Se assim foi, é altamente criticável. Agora só resta saber se vai ser conivente com a ASAE ou se vai fiscalizar à posteriori. Na minha opinião a CNPD tinha informação suficiente para saber que a ASAE estava a preparar-se para uma finalidade ilícita e deveria ter atuado de forma preventiva. A CNPD devia ter evitado a provável violação de dados.

Assumindo que a ASAE fez um tratamento em larga escala de categorias especiais de dados, espera-se que tenha realizado a respectiva Avaliação de Impacto sobre Proteção de Dados (AIPED) e que tenha agido de forma proporcional. Seria muito positivo que a CNPD reconhecesse a razoabilidade da atuação da ASAE validando o referido AIPD.

É legitimo pensar se não teria feito sentido, a ASAE ter realizado uma consulta prévia à CNPD sobre a análise de impacto do tratamento de dados. Importa reter a seguinte passagem do GRUPO DE TRABALHO DO ARTIGO 29 WP 248 :

d) Existe uma obrigação de publicar a AIPD? Não, mas a publicação de um resumo pode fomentar a confiança, e a AIPD completa deve ser comunicada à autoridade de controlo em caso de consulta prévia ou se tal for solicitado pela autoridade de proteção de dados.
A publicação de uma AIPD não é um requisito jurídico do RGPD, essa decisão recai sobre o responsável pelo tratamento. Contudo, os responsáveis pelo tratamento devem considerar, pelo menos, a publicação parcial da AIPD, por exemplo, um resumo ou uma conclusão.
A finalidade dessa publicação parcial seria ajudar a fomentar a confiança nas operações de tratamento do responsável pelo tratamento e demonstrar responsabilidade e transparência. Considera-se uma boa prática publicar uma AIPD quando os membros do público são afetados pela operação de tratamento. Acontece em especial quando a AIPD é realizada por uma autoridade pública.

WP 248 – Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679

Péssimo será se não tivermos notícia de uma inspeção da CNPD à ASAE. É que estamos a falar de dados pessoais relacionados com sindicalismo e política, isto são mais que dados sensíveis, isto são categorias especiais de dados pessoais.

Mau já foi a CNPD não ter atuado preventivamente protegendo à priori os dados pessoais associados a uma luta politico-sindical.

Pior, foi não termos visto juristas ou a própria Ordem dos Advogados no espaço publico a clarificarem esta situação.

A lição aprendida é: Cuidado com “o longo braço” do Estado.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)