Portal das Finanças alvo de processo por não informar devidamente os titulares dos dados

A Comissão Nacional de Proteção de Dados abriu um processo de averiguações à Autoridade Tributária (AT), por esta não cumprir, no portal das Finanças, o dever de informação aos titulares dos dados.

Fonte da CNPD adiantou à Renascença que o processo foi desencadeado por uma queixa de um cidadão.

Pelo menos até dia 10 de fevereiro de 2022, a política de privacidade do Portal das Finanças não incluía qualquer contacto através do qual o titular dos dados pudesse exercer os direitos que lhe confere o Regulamento Geral de Proteção de Dados (RGPD), como explica a investigação "Pegada Digital", da Renascença, sobre privacidade online.

Entretanto, no início deste ano, foi acrescentado um ponto à “Política de Privacidade” do site, que disponibiliza agora um e-mail de contacto do Encarregado de Proteção de Dados (DPO) da Autoridade Tributária, designado em 2017. No entanto, o site continua a não fazer qualquer menção ao regulamento nem aos direitos do utilizador no âmbito do mesmo.

O contacto do DPO foi acrescentado após a abertura do processo por parte da CNPD.

Questionada sobre como avalia a política de privacidade disponível no portal, a advogada Elsa Veloso, especialista em proteção de dados, confirma que o documento não cumpre o RGPD e considera que “a Autoridade Tributária tem alguma confusão entre aquilo que são Termos e Condições e Política de Privacidade”.

A CEO da DPO Consulting diz ainda que a Política de Privacidade “tem outras confusões entre o que é propriedade intelectual e o que é privacidade e proteção de dados e remete para o conhecimento genérico que as pessoas têm de ter da lei”.

Numa entrevista gravada antes de a AT ter acrescentado o contacto do DPO, a advogada lembrava que “a Política de Privacidade obriga a que o responsável pelo tratamento, neste caso a Autoridade Tributária, diga de forma clara quem é o responsável pelo tratamento, que dados é que trata, com que finalidades, quais são as bases legais, por quanto tempo conserva estes dados, se há ou não transferências internacionais de dados e quais são os contactos do DPO, ou uma linha de contacto para os titulares exercerem os seus direitos”.

O documento tem de incluir também os direitos do titular dos dados, como o direito de acesso, retificação, cancelamento, oposição, limitação ao tratamento e direito à portabilidade. “Nada disto se encontra na chamada Política de Privacidade da Autoridade Tributária”, afirma a advogada.

Ao não incluir qualquer destes elementos, a Autoridade Tributária estava a violar o dever de informação ao titular dos dados, uma violação considerada grave pelo RGPD, que prevê coimas até 20 milhões de euros ou 4% do volume de negócios, no caso de uma empresa.

"Basicamente a Autoridade Tributária está, como o restante Estado, sentada naquela situação de que não vou ter coimas e não vai acontecer nada”, considera Elsa Veloso.

“O que está aqui em causa é que a CNPD, mesmo em casos mais graves, não aplicou coimas que atingissem estes montantes. O valor máximo de uma coima é 1,5 milhões de euros, como sabemos. Esse é um valor impactante, mas aparentemente não existe uma preocupação tão grande como aquela que deveria existir”, considera a advogada.

A presidente da CNPD assume que a intervenção da comissão em termos sancionatórios não tem sido a mais forte.

“Gostaria que fosse um sinal de que as organizações públicas e privadas estão a cumprir muito bem a lei, mas não creio que seja esse o sinal”, diz à Renascença. “É de facto um problema de falta de meios, de falta de capacidade da CNPD para estar em todo o lado”, admite.

Questionada pela Renascença sobre a sua política de privacidade, a Autoridade Tributária diz que “disponibiliza no Portal das Finanças a informação a que, nos termos do RGPD, está obrigada”, no âmbito do artigo 13. Remete ainda qualquer questão sobre processos instaurados pela CNPD para esta entidade.