homepage
Com mandato expirado em 2021, Faustino Varela aborda ainda os desafios que marcarão os próximos tempos da Comissão e do país. Apesar do imenso caminho já trilhado, estes são muitos, havendo cada vez mais a necessidade de um sistema de protecção de dados robusto, que dê resposta e confiança à visão de um Cabo Verde tecnológico e digital.
Foi começar do zero. Antes, havia a figura da comissão parlamentar de inquérito, nos termos do regime geral de protecção de dados aprovado em 2001, mas essa comissão nunca se efectivou. A 24 de Abril de 2015, os membros daquela que seria a CNPD de Cabo Verde tomaram posse e começaram a preparar a instalação da mesma, que segundo o prazo legal deveria estar pronta em dois meses. Foi arrendado um espaço para a sede provisória – que, no entanto, continua a ser a sede instituição – e começou a trabalhar-se nos instrumentos de gestão e de funcionamento da própria comissão, “designadamente, a elaboração e aprovação dos formulários de notificação”.
Ao mesmo tempo, foi necessário regularizar as notificações dos tratamentos de dados que vinham a ser feitos, o que levou cerca de meio ano. Assim, só a 10 de Dezembro de 2015 “a comissão fez uma comunicação pública ao país, dizendo que já estavam reunidas as condições mínimas para o seu funcionamento”, recorda Faustino Varela. Foi também lançado o seu site, permitindo que “nos diferentes pontos do país os responsáveis pelo tratamento pudessem efectuar a notificação sem se deslocar à sede, na cidade da Praia”.
Evolução positiva
O mandato já expirou, em Abril. Agora, caberá à Assembleia Nacional, por maioria de dois terços dos deputados presentes, escolher quem vai liderar a CNPD.
Um novo mandato que vai arrancar já com muito caminho feito. Hoje a comissão é já uma entidade conhecida dos cabo-verdianos, e os próprios particulares recorrem à mesma em situações conflituosas.
Para Faustino Varela isso “demostra que efectivamente houve uma consciencialização por parte do cidadãos cabo-verdianos e residentes de que têm direito à sua vida privada e à protecção dos seus dados pessoais”.
Desde cedo, aponta, a divulgação e sensibilização foi importante. Os maiores responsáveis pelo tratamento de dados, nas áreas de saúde, telecomunicações, serviços públicos, e outros foram priorizados, mas também se realizaram várias conferências e palestras em escolas, para os jovens e acções de formação para as organizações da sociedade civil.
Foi também realizada uma conferência anual, que ocorria na data da tomada de posse, entretanto suspensa a partir de 2020 devido à pandemia.
“Quando tomei posse, no meu discurso, disse que sairia satisfeito da CNPD findo o mandato se os cidadãos cabo-verdianos ficassem com essa cultura ou fossem conhecedores dos seus direitos à reserva da intimidade da vida privada, e também do direito à protecção de dados. Creio que neste momento já se fala da protecção de dados pessoais em Cabo Verde e eu e os membros da comissão damo-nos por satisfeitos pelo facto de conseguirmos introduzir essa cultura de protecção de dados que vai crescendo paulatinamente”.
Neste momento, a CNPD está pois a colher os frutos de todo esse trabalho de sensibilização. Contudo, alerta, “o trabalho de sensibilização é um desafio contínuo. Mesmo para os membros que virão de nós, esse trabalho vai ter de continuar”, até porque o uso das TIC traz desafios diários. “O ontem era considerado como uma solução poderá hoje não servir”, avisa.
Números e casos
Os números também mostram a evolução da CNPD. Como em tudo, “primeiro é preciso conhecer, para depois se exigir o cumprimento” dos direitos. Assim, nos primeiros meses de funcionamento, a comissão praticamente não recebeu nenhum processo”.
Os primeiros processos de regularização, começaram então a surgir em finais de 2015, tendo a Casa do Cidadão sido a primeira entidade que notificou o tratamento de dados, para respectiva autorização. Desde então o número foi aumentando. Em 2019, o número de autorizações emitidas foi já de 439. Depois, com a pandemia veio uma queda: 301 em 2020 e 272 em 2021. No total já terão sido emitidas 1721 autorizações.
Mas para além das autorizações de tratamento de dados, há vários outros processos em mãos da CNPD.
Em relação às queixas recebidas, uma boa parte contempla “factos que constituem simultaneamente crimes”. Quando é assim, estas são remetidas para o Ministério Público. Em relação às outras, algumas das mais frequentes estão relacionadas com a colocação de câmaras de videovigilância
“Temos cidadãos que colocam câmaras de videovigilância que abrangem parte da casa do vizinho, o que não pode acontecer, e este apresenta queixa”. Outras queixas que também têm recebido prendem-se com a instalação de câmaras em espaços laborais, para controlo dos trabalhadores, ou relacionadas com a publicação de fotografias na internet.
“Quando são queixas em que não há dúvida de que se trata de uma violação de protecção dados pessoais, a CNPD resolve logo, mas há queixas em que não é evidente essa violação, pelo que demora mais algum tempo porque é preciso investigar para”, explica.
Em 2021, por exemplo a CNPD recebeu 18 queixas, “2020 foram poucas queixas, em, 2019 recebemos 11 queixas”.
Outra área da competência da CNPD é a emissão de pareceres, sobretudo no âmbito do procedimento legislativo. “Quando há dispositivos normativos que tocam a protecção de dados, o legislador é por lei obrigado a pedir parecer a CNPD”.
Além desses, há pareceres na área de tratamento de dados que os responsáveis pelo mesmo podem solicitar à CNPD. O ano de 2020 foi dos anos em que mais pareceres foram emitidos: 45.
“É no período de crise que normalmente há mais propensão para a violação dos direitos, liberdades e garantias, e também é nesse período que se deve proteger mais os direitos, liberdades e garantias”.
Assim, houve muita produção legislativa, sobretudo relacionada com dados de saúde, onde comissão teve de se posicionar e emitir mais pareceres.
Um parecer destacado por Faustino Varela foi o dado em relação aos cadernos eleitorais digitais, que, recorde-se, se pretendia utilizar nas eleições presidenciais de Outubro.
“A comissão foi chamada a posicionar-se e deu um parecer negativo, porque punham em causa um conjunto de princípios e segurança eleitorais”.
Não havia condições criadas para tal, nomeadamente em termos jurídicos normativos, sendo necessário, sobretudo alterar o código eleitoral para que se introduzisse esse mecanismo. Também em termos de controlo, “havia ainda um conjunto de medidas de segurança que era necessário ter em consideração”. Assim, os cadernos digitais ainda não se tornaram uma realidade neste ciclo eleitoral.
Inspecções
A CNPD também realiza inspecções. Só em termos das que constam nos seus planos de actividade já foram realizadas mais de 400 a diferentes instituições e relacionadas com diversos aspectos do tratamento de dados.
Entre elas, o presidente da CNPD destaca, por exemplo, a que foi realizada ao Cadastro Social Único. A inspecção estava prevista para 2020, mas devido à pandemia foi realizada no ano passado.
Assim, a CNPD deslocou-se a quatro Câmaras Municipais em Santiago (Praia, São Domingos, Santa Catarina e São Miguel).
“Tomamos essas CM como modelo porque as deficiências, e também os aspectos positivos, que detectamos se replicam em outras CM, porque o sistema é único”, explica.
Nessa inspecção foram detectadas, por exemplo, quase 1000 duplas inscrições, bem como a inscrição por parte de técnicos que tinham sido contratados directamente pela própria entidade gestora nacional do Cadastro e que as CM não tinham conhecimento
“Detectamos também algumas falhas em termos de conservação, ou seja, de segurança”, acrescenta. Foi dado um prazo de 2 meses para regularização por parte da entidade central gestora do cadastro regularizar a situação, em todas as CM do país. Posteriormente a CNPD irá então verificar essa regularização.
Uma outra inspecção, ainda não concluída, é a realizada ao Sistema Nacional de Identificação e Autentificação Civil (SNIAC) e que abrange todo o seu circuito, desde a recolha de dados – no serviço, DEF, passando pela embaixada de Cabo Verde em Portugal – até à impressão dos documentos (passaporte, cartão nacional de identificação (CNI), e também o título de residência para estrangeiros) que é feita na Imprensa nacional Casa da Moeda em Portugal.
“Aliás, vai mais longe, até à eliminação dos dados pela imprensa nacional casa da moeda em Portugal”, salvaguarda.
“Esse processo permitiu à comissão conhecer todo o tratamento que é feito com um conjunto de informações pessoais. Já está na fase conclusiva, com um primeiro relatório, depois haverá a decisão final.
Directivas em curso
Uma outra valência que a CNPD tem é a de emitir orientações directivas relativamente a determinados tratamentos de dados. Neste momento, há duas que se destacam. A primeira, que já está em fase final de elaboração, é a directiva sobre o teletrabalho.
Prática a que a pandemia veio dar forte expressão, o teletrabalho em Cabo Verde como em outras partes do mundo ainda carece de regras. A nível da protecção de dados, em breve sairá a referida directiva que estabelece orientações para o responsável pelo tratamento de dados, as entidades empregadoras, sobre, por exemplo, o que devem fazer e exercer o controlo. Há também orientações dirigidas ao trabalhador, ou seja ao titular de dados, sobre o deve ou não fazer e o que deve admitir ou não do seu empregador.
A directiva “está na fase final da sua conclusão”.
No plano de actividades para 2022 está também prevista a emissão de uma directiva sobre o uso de GPS. Recentemente, aliás, o posicionamento da CNPD relativo à colocação de GPS na viatura de dois então vereadores da Câmara Municipal da Praia foi alvo de alguns mal-entendidos. Os dispositivos foram retirados, mas como salienta o presidente da CNPD, o que está em causa não é uma posição contra o uso de GPS. É que não havendo uma lei relativa aos termos do tratamento de dados usando GPS é necessária uma autorização prévia da CNPD antes da sua utilização.
Ora, “a CMP não notificou a Comissão”. Assim, a deliberação foi no sentido de só após essa autorização é que se poderia avançar para a instalação do GPS, “porque nessa autorização a CNPD pode estabelecer limites da utilização”.
“Mas a comissão não é contra”, insiste, “até porque hoje em termos de gestão sobretudo de frotas a sua utilização uma coisa normal, dentro de determinados limites e parâmetros que devem estar ou na lei ou na autorização da CNPD”.
A directiva que está a ser trabalhada vem na verdade estabelecer orientações para a utilização do GPS e tratamento dos dados. Até que haja uma lei nesse sentido, o que a CNPD vier a determinar, deverá ser cumprido, avisa.
Ganhos internacionais
No balanço destes anos iniciais da CNPD há também a destacar as conquistas em termos internacionais e que são considerados por Faustino Varela “ganhos para a CNPD e Cabo Verde”.
Logo em 2016, depois do Conselho da Europa ter tomado conhecimento de que o país tinha instalado a sua CNPD, esta foi convidada a ir mostrar as razões porque Cabo Verde tinha de fazer parte da convenção de Budapeste, sobre o cibercrime, e da Convenção 108, “que protege as pessoas no que diz respeito ao tratamento automatizado dos seus dados pessoais” e que é a única convenção internacional que vincula os países que são parte da mesma. Foi feito o trabalho necessário até à ratificação e a adesão de Cabo Verde à Convenção 108 ocorreu em 2018.
“Hoje há um desafio. Não obstante os princípios de operacionalidade contidos na Convenção 108 persistirem ao tempo, tendo em conta a evolução vertiginosa das novas tecnologias, sentiu-se a necessidade da sua modernização. A convenção foi modernizada e chama-se hoje Convenção 108+ (ou plus)”. Cabo Verde tem assim o desafio de neste momento também integrar essa Convenção plus, algo que terá impulsionado a alteração do regime jurídico geral de protecção de dados, que foi aprovado e entrou em vigor em 2021.
Outro ganho, tem que ver com a criação da rede africana de protecção de dados, em 2016. “Cabo Verde fez parte do núcleo restrito de países que criou essa rede”. A rede é composta por um presidente e dois vice-presidentes, sendo que os três grupos linguísticos de África (Português, Francês e Inglês) devem ter assento na direcção. Em 2018, a CNPD de Cabo Verde foi eleita vice-presidente para um mandato de dois anos. Tendo em conta a pandemia o mandato alargou-se até 2021, quando o posto foi passado para São Tomé e Príncipe.
Faustino Varela aponta ainda, nas relações internacionais, a adesão da CNPD, à Associação Francofóna de Protecção de Dados, em 2018. Cabo Verde foi posteriormente, em 2019, eleito vice-presidente dessa organização. O país é também membro observador da Rede Iberoamericana de protecção de dados e é membro da Assembleia Geral de Privacidade, “uma organização das autoridades de protecção de dados e que se reúne anualmente numa conferência, para debater os temas actuais relacionados com a protecção de dados”.
Em relação à CPLP, o presidente destaca que Cabo Verde foi o segundo país a criar uma autoridade de protecção de dados, sendo que em 2015 apenas Portugal tinha essa entidade e o Brasil, por exemplo, implementou a sua autoridade apenas há cerca de um ano. Assim, desde 2015 que a CNPD desenvolveu várias actividades, incluindo formação de técnicos, com a sua congénere lusa, tem vindo a apoiar outros países, designadamente São Tomé e Príncipe e Angola, na emissão de uma lei de Protecção de dados e consequente instalação da agência nacional de protecção de dados,
“A pandemia veio atrapalhar um pouco a dinâmica que vínhamos tendo no sentido de implementarmos um espaço (de protecção de dados da CPLP). É um outro desafio que fica para os próximos tempos”, acrescenta.
Futuro
O futuro da Protecção de dados traz vários desafios. Um deles, não só da CNPD mas de todas as autoridades de Protecção de dados, e países, a nível mundial, são as redes sociais, e aí, apesar de todos os cuidados que possa haver por parte das entidades, o cidadão tem de estar consciente da informação que presta. “Damos demasiadas informações às redes sociais” e nem sequer lemos as regras de privacidade…
No mundo virtual, “o primeiro responsável pela protecção das informações ou dos dados são os próprios titulares”, observa.
Ademais, no caso de crimes cibernéticos, com o ritmo “que a evolução tecnológica no ritmo que está a seguir, uma medida de segurança que ontem servia, hoje já não serve. Por isso é que os responsáveis pelo tratamento de dados têm de estar constantemente a acompanhar a evolução”, evitando, até onde é possível o acesso ilícito ou abusivo a dados pessoais.
Como referido, o mandato da CNPD já terminou e cabe agora à Assembleia Nacional definir os novos membros, sendo que ainda não há data marcada para que tal aconteça.
E embora o caminho para o trabalho da comissão já tenha sido desbravado,“os próximos tempos serão desafiantes”.
E são-no precisamente pelo acompanhamento da “evolução da utilização das novas tecnologias”, como assinalado, e sobretudo pela necessidade de “acompanhar também todas as alterações ao regime normativo e às práticas internacionais em matéria de protecção directa”.
“Cabo Verde tem de estar sempre na linha da frente em termos de adesão a convenções internacionais nesta matéria, porque há a visão de tornar o país tecnológico, ou seja, de os serviços passarem a ser prestados remotamente, utilizando as novas tecnologias. Para isso temos de ter um sistema de protecção de dados robusto, quer em termos práticos, quer em termos jurídico normativos”, explica Faustino Varela.
É fundamental que assim seja para que Cabo Verde, que “almeja ser um país de ponta na prestação de serviços tecnológicos”, pois a “prestação de serviços online é baseada sobretudo na confiança”.
“O caminho está facilitado, agora é preciso trabalhar e sensibilizar continuamente”, conclui.
_______________________________________________
Novo regime
Cabo Verde tem já desde 2001, “um regime jurídico de protecção de dados que é um regime normativo suficientemente garantístico. Havia, porém, necessidade do seu aprimoramento o que levou à sua alteração no início do ano de 2021”, conta Faustino Varela.
Assim, desde Março o país está dotado de um novo regime, alinhado com o regime geral de protecção de dados da União Europeia, que entrou em vigor em 2018, cumprindo a convergência-normativa com a UE na área.
“Era necessário”, explica o presidente da CNPD, “introduzir um conjunto de aspectos, que resultaram da evolução e utilização das novas tecnologias de informação e comunicação”. No novo regime, desde logo “se clarificou as faculdades, ou os poderes jurídicos, que integram o direito à protecção de dados e o direito à privacidade como um todo”.
Foi introduzido o direito ao apagamento, ou direito ao esquecimento, uma “faculdade jurídica que atribui ao titulares de dados a possibilidade de solicitar aos responsáveis pelo tratamento de dados o direito ao esquecimento dos seus dados”
Veio também introduzir o direito à portabilidade, ou seja, o direito “do próprio titular receber os seus dados, ou solicitar que os seus dados sejam transmitidos entre os responsáveis pelo tratamento de dados, directamente”, e ainda o seu direito à limitação de tratamento de dados, entre outros.
Uma novidade destacada é o estudo de impacto sobre a protecção de dados, que se coloca quando em causa estão dados sensíveis ou especiais. Outra é a introdução de um mecanismo que obrigar os responsáveis pelo tratamento de dados a comunicar quer a CNPD, e em determinadas situações mais gravosas ao próprio titular de dados, casos de violação de dados pessoais.
“O desafio, agora, por parte de CNPD, é implementar essas alterações”, avança.
_______________________________________________
Dia internacional da Protecção de Dados
A 28 de Janeiro celebra-se o 41ª aniversario da Convenção 108 do Conselho da Europa, data escolhida para assinalar o Dia Internacional da Privacidade dos Dados e que tem objectivo aumentar a consciência dos cidadãos quanto à importância da privacidade, bem como promover a protecção dos dados pessoais.
Este ano, devido à pandemia, a CNPD desistiu de realizar uma conferência de âmbito internacional em cujo programa já estava a trabalhar, e optou por uma assinalar a data com uma palestras sobre as alterações à lei de protecção de dados junto ao Instituto Nacional de Previdência Social (INPS), tendo em conta que esta é uma entidade que lida com informações sensíveis dos cidadãos. A palestra terá lugar no dia 27.
Texto originalmente publicado na edição impressa do Expresso das Ilhas nº 1052 de 26 de Janeiro de 2022.
