Caso «Russiagate» da Câmara Municipal de Lisboa: análise crítica à luz do RGPD

Na sequência da deliberação sancionatória proferida pela Comissão Nacional de Proteção de Dados, consubstanciada na Deliberação n.º 2021/1569, que aplicou uma coima à Câmara Municipal de Lisboa (doravante, CML), esta interpôs uma ação de impugnação junto do Tribunal Administrativo de Círculo de Lisboa (doravante, TACL). A sentença do TACL concluiu que a CML procedeu «de forma livre, deliberada e consciente» ao tratamento de dados pessoais de manifestantes de forma ilícita. Esses dados foram inicialmente tratados com base num fundamento de licitude, uma vez que os titulares comunicaram à autarquia a intenção de organizar manifestações, em cumprimento com uma obrigação legal prevista no Decreto-Lei n.º 406/74, de 29 de agosto, pois este diploma prevê que «a todos os cidadãos é garantido o livre exercício do direito de se reunirem pacificamente em lugares públicos, abertos ao público e particulares, independentemente de autorizações, para fins não contrários à lei, à moral,
aos direitos das pessoas singulares ou coletivas e à ordem e à tranquilidade públicas».
Contudo, a dimensão contraordenacional resultou do facto de tais informações, nas quais se incluem elementos que integram categorias especiais de dados, vulgarmente conhecidas como dados sensíveis, terem sido transmitidas a entidades terceiras sem que existisse um fundamento de licitude que legitimasse essa partilha. Acresce que, no que respeita à obrigação de serem fornecidas informações claras, concisas e transparentes aos titulares sobre o tratamento dos seus dados, foi aferido que a autarquia não forneceu as informações mais adequadas aos promotores das manifestações que comunicaram a intenção de organizar aqueles atos. Deste modo, estes não tinham conhecimento, a título de exemplo, sobre o prazo de conservação das suas informações e quais os direitos que poderiam exercer, desconhecendo ainda o facto de que as suas informações seriam reutilizadas de forma ilegítima, bem como a consequente violação dos seus direitos e liberdades fundamentais.
O TACL entendeu também que foram recolhidas mais informações do que as estritamente indispensáveis para garantir a segurança e a ordem pública nas manifestações. Além disso, as informações foram partilhadas com um número desproporcional de entidades que não precisavam de aceder a essas informações, bem como foram conservadas por um período superior ao necessário.
O TACL concluiu que a CML, até à data da publicação da Deliberação n.º 2021/1569 emitida pela Comissão Nacional de Proteção de Dados, carecia de uma cultura organizacional que respeitasse os direitos dos manifestantes em matéria de proteção de dados. O TACL sublinhou que os factos apurados evidenciam a ausência de políticas eficazes de proteção de dados. Estes indícios foram vistos como uma falha estrutural da organização como um todo, não tendo sido um erro imputável a um funcionário isolado. Desta impugnação judicial foi aplicada uma coima de 1.027.500,00 € (um milhão, vinte e sete mil e quinhentos euros) à CML em virtude da prática de contraordenações ao Regulamento Geral sobre a Proteção de Dados (doravante RGPD), nomeadamente:
a) Uma infração ao disposto no artigo 5.º, n.º 1, alínea a), artigo 6.º e artigo 9.º, n.º 1, conjugados com a alínea a) do n.º 5 do artigo 83.º, todos do RGPD;
b) Uma infração ao disposto no artigo 5.º, n.º 1, alínea c), conjugado com a alínea a) do n.º 5 do artigo 83.º, ambos do RGPD;
c) Uma infração ao disposto no artigo 5.º, n.º 1, alínea e), conjugada com a alínea a) do n.º 5 do artigo 83.º, ambos do RGPD;
d) Uma infração ao disposto no artigo 13.º, n.º 1 e n.º 2, conjugado com a alínea b) do n.º 5 do artigo 83.º, ambos do RGPD;
Reforçando as conclusões a que a Comissão Nacional de Proteção de Dados chegara na Deliberação n.º 2021/1569, o TACL, em primeira instância, julgou parcialmente procedente a impugnação apresentada pela CML pelo facto de terem prescrito algumas das contraordenações (22 por violação do princípio da licitude, lealdade e transparência, 22 por violação da minimização dos dados e 1 por violação de dever de realização de avaliação de impacto sobre a proteção de dados). Ainda assim, as restantes infrações permaneciam dentro do prazo sancionatório, pelo que a coima foi reduzida de €1.250.000,00 para €1.027.500,00. De forma posterior, o Tribunal Central Administrativo Sul (TCA Sul), em sede de recurso, confirmou a condenação da CML, decidindo «julgar totalmente improcedente o recurso interposto pelo arguido Município de Lisboa», no âmbito do caso Russiagate.