Numa nota publicada na sua página na internet, a comissão (CNPD) refere que, tendo em conta as regras de prescrição, recolheu prova sobre avisos de manifestações ocorridas desde aquele mês e com dimensão internacional, concluindo estarem em causa várias infrações.

“Tendo terminado a fase de instrução, [a CNPD] acusou o município de Lisboa de, ao comunicar os dados pessoais dos promotores de manifestações a entidades terceiras, ter violado o RGPD. Concluiu também pela violação do RGPD quanto às comunicações para diversos serviços do município”, indica o comunicado.

Segundo a comissão, as infrações resultam de falta de licitude e da violação do princípio de necessidade, já que a lei apenas permite que haja comunicação de informação referente a objetos, datas, horas, locais e trajetos de manifestações, “sem transmissão de dados pessoais”.

Foram registadas ainda outras infrações ao RGPD, com destaque para o facto de os promotores dos protestos não terem sido informados do processo de tratamento dos seus dados pessoais.

No entender da CNPD, por estarem em causa “dados especialmente sensíveis, porque revelam opiniões e convicções políticas, filosóficas ou religiosas, impunha-se ao município, enquanto responsável pelo tratamento, um cuidado acrescido, nos termos da Constituição portuguesa e do RGPD”.

O envio destes dados a entidades estrangeiras como representações diplomáticas, é referido, “pode pôr em risco” direitos fundamentais consagrados na Constituição.

“A CNPD considerou que a proliferação de envios dos dados pessoais dos promotores dos eventos, por várias entidades nacionais e estrangeiras, potencia a criação de perfis de pessoas em torno das suas ideias, opiniões ou convicções, de modo ilegal”, descreve a comissão, sublinhando que a utilização posterior dessa informação “escapa completamente ao controlo do responsável pelo tratamento”.

Após a apresentação da defesa pelo município neste processo contraordenacional, a CNPD irá emitir a sua deliberação final.

A polémica em torno do envio de dados de promotores de manifestações a entidades externas à Câmara de Lisboa surgiu no início do mês de junho, depois de notícias dando conta de que o município fez chegar à embaixada russa nomes, moradas e contactos de três ativistas que organizaram em janeiro um protesto pela libertação de Alexey Navalny, opositor do Governo russo.

O presidente da Câmara Municipal de Lisboa pediu então "desculpas públicas" pela partilha desses dados, assumindo que foi "um erro lamentável que não podia ter acontecido", mas o caso originou uma série de protestos, da Amnistia Internacional aos partidos políticos.

Em 18 de junho, na apresentação de uma auditoria interna realizada ao caso de divulgação de dados de manifestantes a embaixadas, Fernando Medina reconheceu que a autarquia desrespeitou reiteradamente um despacho de 2013 assinado por António Costa, presidente do município à data e atual primeiro-ministro.

Nesse ano, António Costa emitiu um despacho para alterar a prática de envio de informação pessoal sobre manifestantes, dando “ordem de mudança de procedimento no sentido de só serem enviados dados à Polícia de Segurança Pública e ao Ministério da Administração Interna”.

Contudo, assumiu Fernando Medina, esse despacho foi alvo de “reiterados incumprimentos” ao longo dos anos, ou seja, ocorreu “uma prática relativamente homogénea, mesmo quando houve instrução do presidente da câmara para alteração desse procedimento”.

Em 2018, entrou em vigor o novo RGPD, mas, no “esforço substancial de adaptação” do município, o procedimento de tramitação de avisos de manifestações “não sofreu adaptações”.

De acordo com as conclusões da auditoria, desde 2012 foram comunicadas à Câmara de Lisboa 7.045 manifestações.

“No total, foram remetidas 180 comunicações de realização de manifestação junto de embaixadas, 122 anteriores à entrada em vigor do RGPD e 58 após. Depois da entrada em vigor do RGPD, ou seja, para o período de maio de 2018 a maio de 2021, foram considerados como tendo sido enviados dados pessoais em 52 dos processos”, lê-se no documento.

A Câmara de Lisboa agendou para hoje a exoneração do encarregado de proteção de dados do município e coordenador da equipa de projeto de proteção de dados pessoais, Luís Feliciano, na sequência deste caso, mas a votação foi adiada para sexta-feira.