Este ano comemoram-se 10 anos de instalação da CNPD. Que balanço faz?
No cômputo geral, parece-me positivo, embora eu seja uma pessoa suspeita para fazer esse tipo de balanço. Partimos do zero, à excepção da legislação já existente: o Regime Jurídico Geral de Protecção de Dados e Lei da Organização, Funcionamento e Competência da Comissão Nacional de Protecção de Dados. Começamos com três membros e um ano depois vieram os primeiros técnicos. Aprovamos uma estratégia que incluiu a compreensão interna e clarificação do quadro jurídico nacional, tanto para os responsáveis pelo tratamento de dados, como para os cidadãos, ajudando-os a entender o direito à protecção de dados, que é um direito que se decompõe em vários outros direitos. Costumo dizer que é uma guarda avançada, porque tem subjacente vários outros direitos. Então, era necessário fazer esse trabalho. Temos consciência de que, como construção humana e social, a CNPD é uma instituição dinâmica que tende, naturalmente, a consolidar-se. Devido a algumas situações que ocorreram no início da instalação, a Comissão passou a ser conhecida no plano nacional. Porém, era também necessário investir no plano internacional e fizemo-lo com algum sucesso. A CNPD passou a fazer parte dos instrumentos e das organizações internacionais de protecção de dados, como a Assembleia Global da Privacidade e a Associação Francófona de Protecção de Dados, da qual é, neste momento, vice-presidente. A Comissão promoveu também a adesão de Cabo Verde à Convenção 108 do Conselho da Europa e à Convenção da União Africana sobre Cibersegurança e Protecção de Dados – a Convenção de Malabo.
E quais foram os principais desafios sentidos ao longo destes anos?
O maior desafio foi dar a conhecer e assegurar a compreensão do quadro jurídico relativo à protecção de dados, um trabalho muito mais exigente do que o próprio processo de estabelecimento da CNPD. Outro desafio foi a formação dos primeiros quadros, porque estamos numa área específica, que requer conhecimentos, modos e paradigmas de actuação também específicos. Esses desafios continuam até hoje. Repare-se que todos os técnicos que iniciaram funções em 2016 já saíram da CNPD. Além disso, a evolução tecnológica é algo meteórico, muito rápido, e obriga a que a Comissão se adapte às novas tecnologias, primeiro, para as conhecer, estudar e avaliar e, depois, poder supervisionar a sua utilização no tratamento de dados pessoais. São desafios permanentes e contínuos.
Hoje, coloca-se a questão do Big Data e da inteligência artificial (IA) e Deepfakes. Já surgiram processos desse tipo na CNPD?
Sim, já tivemos situações dessas. Quer o Big Data, quer a IA, são fenómenos que atravessam quase todas as dimensões da vida humana. A vida humana hoje está digitalizada. As actividades humanas estão cada vez mais digitalizadas, mas o desenvolvimento tecnológico deve ser proporcional às liberdades das pessoas singulares, ou seja, deve poder ser proporcional às liberdades reais das pessoas. Daí que a IA ou o Big Data não podem pôr em causa os direitos das pessoas. Aliás, é esse o papel, um papel delicado, da CNPD: manter o equilíbrio entre a inovação e o desenvolvimento tecnológico - que são necessários, porque o país tem de se desenvolver - e a protecção dos dados pessoais e da privacidade das pessoas. É esse papel que temos estado a desempenhar. A CNPD tem também recebido situações que não são da sua competência, factos passíveis de configurar ilícitos criminais, que são remetidos para o Ministério Público.
Mas já temos muitos casos do uso de IA para manipulação de imagens que configuram violação de dados pessoais ou mesmo crime?
Chegaram dois casos [de manipulação de imagem]. Estamos a falar da IA generativa, que cria e manipula imagens e voz, mas tivemos um primeiro caso de manipulação de imagem já em 2021.
Antes deste boom?
Antes deste boom. Porque a inteligência artificial, são modelos que utilizam algoritmo, uma fórmula que visa atingir um determinado objectivo. Quando há um aprendizado de máquinas, já haverá utilização da inteligência artificial. E quer a administração pública, quer as entidades privadas, já usam a inteligência artificial para a realização de várias das suas tarefas.
Há pouco referiu o quadro legal de protecção de dados. Voltando aos desafios, quais as principais dificuldades enfrentadas pela CNPD na implementação dessa legislação?
A legislação de protecção de dados é de 2001. Houve uma alteração em 2013, que levou à constituição da CNPD, e a própria Comissão promoveu a alteração que ocorreu em 2021. Ainda estamos a implementar essa última alteração. Houve várias soluções que foram introduzidas, como a indicação de encarregado de protecção de dados, mas temos instituições, que por lei devem indicar o encarregado e que ainda não fizeram. Foi também introduzida uma solução bastante interessante que tem a ver com a avaliação do impacto sobre protecção de dados quando se projecta uma aplicação, ou um modelo, de tratamento de dados, sobretudo quando envolvem dados sensíveis. A lei impõe que se faça essa avaliação antes de se iniciar o tratamento. Na minha opinião, ainda há um défice, a solução não está plenamente implementada. A questão das violações de dados, particularmente quando se trata de falhas de segurança, é um ponto crítico. Como sabemos, hoje temos ataques cibernéticos diários. Quando há acesso a dados pessoais ou quando estes são divulgados devido a falhas ou vulnerabilidades do sistema, que permitem aos atacantes aceder a esses dados, significa que estamos perante uma violação de dados pessoais. A lei impõe que o responsável pelo tratamento de dados, havendo previsão de danos significativos na esfera do titular de dados, notifique a CNPD no espaço de 72 horas. Temos verificado que, por vezes, acontecem ataques e esse prazo não é cumprido. Tivemos recentemente um ataque na CVTelecom, um caso paradigmático. Fomos avisados e vêm pondo a CNPD a par dos desenvolvimentos e das investigações que têm sido feitas. Portanto, ainda temos desafios na implementação do regime actual, mas isso não significa que o regime actual seja perfeito. Aliás, já detectámos algumas debilidades. Por exemplo, o legislador não alterou de forma substantiva o quadro contra-ordenacional dentro do regime jurídico geral de protecção de dados. Significa que alguns dos deveres que foram introduzidos não foram acompanhados de uma sanção contra-ordenacional.
Em caso de incumprimento, não há consequências?
Exactamente. Caso o responsável pelo tratamento de dados não cumpra, a Comissão não tem mecanismos para sancionar esse incumprimento.
Entretanto, a maior parte das pessoas não lida com estas questões da legislação no dia a dia. Como a CNPD tem tentado sensibilizar os cidadãos?
A questão da sensibilização é uma questão crucial para nós e para todas as autoridades de protecção de dados do mundo. Como disse, estamos numa área em constante evolução, e essa evolução rápida requer também que a própria Comissão esteja bem estruturada, com unidades funcionais que acompanhem esses desenvolvimentos. Dessa forma, podemos, depois, clarificar os cidadãos, as empresas e as autoridades públicas responsáveis pelo tratamento de dados. Desde o primeiro momento, a CNPD elegeu que a sensibilização como prioridade, o caminho fundamental para se atingir as pessoas, e para tal tem vindo a utilizar vários meios: conferências, workshops, esclarecimentos às empresas, às instituições públicas, palestras nas escolas… Mais recentemente, na revisão do Plano Estratégico, para o Triénio 2023/2025, a Comissão elegeu o desenvolvimento de uma comunicação estratégica como um dos eixos [a seguir]. Essa comunicação estratégica está a ser desenvolvida, junto do Governo e do Banco Mundial, que são parceiros. Já foram dados passos significativos no âmbito desse desenvolvimento. Este dia 28 [Dia Internacional da Protecção de Dados] iremos fazer a apresentação da primeira fase de desenvolvimento desse plano estratégico de comunicação [NR: na terça-feira, 28, foi apresentada a nova identidade visual e marca da CNPD que visou tornar a entidade mais identificável e cativar o público].
Esta nova imagem é o arranque uma nova estratégia?
Uma nova estratégia de comunicação. Dentro de uma estratégia geral temos o eixo da comunicação estratégica.
E que retorno há dos cidadãos? Têm recebido queixas e afins?
Temos recebido queixas, pedidos de informação, vários pedidos de esclarecimento e de autorizações. Isso deve-se, em parte, ao trabalho desenvolvido pela CNPD, no sentido de sensibilizar, de fazer com que as pessoas compreendam a importância da protecção dos seus dados pessoais, sobretudo nesta era de utilização densa e rápida de informações que, não raras vezes, as pessoas disponibilizam de forma inconsciente.
Há dois anos, referiu que uma questão que muitas vezes era colocada à CNPD dizia respeito às câmaras de segurança particulares. Sobre este tema, uma pergunta prática: se uma câmara não estiver registada CNPD, o que filma é aceite em tribunal?
Depende do entendimento do juiz. O que a lei diz é que, tendo em conta que o sistema de videovigilância constitui um tratamento de dados, na medida em que recolhe imagens de pessoas singulares, que podem ser identificadas imediata ou posteriormente. Por haver um tratamento de dados pessoais, neste caso, sensíveis ou especiais, a lei impõe que essas câmaras ou esses sistemas sejam notificados e autorizadas pela CNPD. Daí, há dois entendimentos. Ao instalar uma câmara para detectar intrusos, a pessoa está a tratar dados relacionados com suspeitas de ilícitos criminais. E, sabemos que há a tendência da pessoa que tem o sistema à sua disposição ver as imagens antes de as enviar para o Ministério Público ou para a Polícia Judiciária ou Nacional. Esse tratamento, segundo a lei de protecção de dados, deve ser autorizado pela CNPD. Há juízes que entendem que não estando, não pode servir como prova no processo crime. E há um outro entendimento diferente sobre essa matéria [de que pode servir de prova].
Além da videovigilância que outras questões têm sido mais presentes?
Ultimamente, temos recebido sobretudo queixas sobre o uso e divulgação não autorizada de dados pessoais. Casos em que uma pessoa, ou uma instituição, utiliza e divulga uma imagem ou informação de outra pessoa sem o seu consentimento. Um exemplo: as fotografias usadas nas campanhas eleitorais. Estou a falar em outdoors, com pessoas ao lado de um candidato. Inclusive crianças e a questão que se coloca é se os pais deram a autorização para a utilização dessa fotografia ou não. Recebemos queixas nesse sentido.
Falando em eleições, nas anteriores, em 2021, a CNPD tinha dado parecer negativo à utilização de cadernos digitais. E desta vez?
A CNPD tinha dado um parecer negativo, ao pedido da DGAPE a solicitar autorização para utilizar cadernos eleitorais desmaterializados. A comissão entendeu, na altura, que não havia fundamento legal para a sua utilização, deu esse parecer negativo e consequentemente não foram utilizados em 2021 nem 2024. Portanto, não chegou nenhuma queixa ou pedido de autorização à comissão.
Será uma questão de tempo até serem usados.
É uma questão de tempo, mas requer a sua regulamentação. Talvez com a alteração do código eleitoral venha a ser introduzido o uso do caderno eleitoral desmaterializado.
Voltando às queixas. Que evolução se depreende das mesmas? Aumento, por exemplo, de cibercrime?
Na Comissão, tem havido uma média entre 15 a 18 queixas por ano de factos relacionados com violação de dados pessoais. Em relação às queixas que possam configurar crimes informáticos, acredito que tenha havido um aumento. Algumas vêm para a CNPD, mas são remetidas para o Ministério Público, que é o titular da acção penal.
E quais têm sido, ou foram, as vossas principais directivas ou orientações?
As nossas principais orientações têm passado, sobretudo, por algumas recomendações feitas no âmbito das autorizações que temos estado a emitir, que são os processos que tramitam em maior número aqui na Comissão. Mas a CNPD já emitiu directrizes, por exemplo, sobre o tratamento de dados no uso de novas tecnologias no trabalho, para fins pessoais. Essas directrizes foram emitidas porque a Comissão está a receber muitas queixas sobre a utilização da internet e acesso do empregador às contas ou e-mails institucionais, ou não, do trabalhador. A CNPD entendeu que deveria clarificar essa situação, o que foi feito.
E qual é a clarificação? Mesmo sendo e-mail de empresa, a conta é pessoal?
Não, não é pessoal. O empregador pode dar orientação nesse sentido. Se disser que deve haver um e-mail institucional que deve ser utilizado só para assuntos institucionais, o trabalhador deve acatar.
Tem que ficar estabelecido entre eles?
Sim. Embora a CNPD dissesse da altura que, tendo em conta a evolução tecnológica e a utilização das TIC, não seria desejável que houvesse uma proibição total do uso dessas tecnologias para fins particulares dentro da empresa. Também emitimos uma directriz, em 2021, aquando das eleições, sobre o tratamento de dados no âmbito das campanhas eleitorais. Parece-me que essa orientação produziu efeitos porque no âmbito das últimas eleições apenas recebemos uma queixa relacionada com a utilização de dados pessoais nas campanhas eleitorais.
Falou do trabalho da CNPD para alinhamento com as práticas e convenções internacionais. Que ganhos para Cabo Verde, país que quer ser um pólo tecnológico internacional?
Cabo Verde tem ganhos enormes aderindo aos instrumentos internacionais, pois, como sabemos, o tratamento de dados hoje atravessa fronteiras. Aliás, há questões complexas que devem ser dirimidas que têm a ver com a definição de jurisdições. Tendo em conta que o tratamento de dados ultrapassa fronteiras, esses instrumentos fornecem mecanismos específicos e de cooperação entre os diferentes países, essenciais no contexto global actual. Cabo Verde tem tudo a ganhar. Por exemplo, estamos num processo - que entendo estar a decorrer muito lentamente - , que é a aprovação pelo Parlamento da Convenção 108 modernizada: a Convenção 108+. Houve uma modernização da Convenção 108, que é de 1981, tendo em conta o desenvolvimento das tecnologias, as novas formas de tratamento de dados pessoais e também o surgimento de novos dados pessoais. Cabo Verde já assinou a Convenção Modernizada, e aguarda-se aprovação pelo Parlamento e ratificação pelo Presidente da República para, depois, Cabo Verde depositar esse instrumento junto do Conselho da Europa. Essa modernização trouxe vários mecanismos de cooperação entre os países e entendo que Cabo Verde deve estar munido dos mesmos para que lhes possa lançar mão quando forem necessários.
Ainda no plano internacional: a questão do esquecimento. Muitas vezes tentamos fechar uma conta nas redes sociais, e é difícil, para não dizer impossível, fazê-lo. Como lidar com esta questão?
Essa questão mostra a importância de Cabo Verde fazer parte de instrumentos internacionais. Os cidadãos têm o direito de apagamento, ou seja, o direito ao esquecimento dos seus dados, quer nas plataformas das redes sociais, quer em outras plataformas, com algumas excepções. Mesmo no plano nacional, há excepções que estão plasmadas na Lei do Arquivo, porque há dados pessoais que pelo interesse histórico, pelo interesse estatístico, pelo interesse de investigação, devem ser conservados. Até há dados que podem, com o tempo, vir a ser tornados públicos. Agora, o desenvolvimento dessas tecnologias não pode nunca pôr em causa os direitos das pessoas. Estamos a falar de plataformas que não estão sediadas em Cabo Verde, que, por vezes, até têm várias ramificações em diferentes países. Daí que só com um instrumento de cooperação uma pessoa pode exercer plenamente o seu direito, neste caso concreto, o direito ao apagamento.
Quais são, neste momento, as principais prioridades da CNPD?
A primeira passa pela aprovação de um novo Plano de Carreira, Funções e Remunerações (PCFR) do pessoal. Há dois ou três anos, a CNPD submeteu uma proposta ao Parlamento, que acabou por não avançar. Recentemente, com o contributo de novos técnicos, a Comissão desenvolveu um novo plano, que já foi também remetido ao Parlamento. Porquê que é uma prioridade? Primeiro porque é um plano que foi consensualizado com os novos técnicos e acreditamos poder contribuir para a retenção de quadros, o que não tem acontecido. Além disso, o plano proporciona previsibilidade no desenvolvimento da carreira para os técnicos da chamada carreira especial, como informáticos e juristas, que, na nossa opinião, merecem atenção diferenciada. Esses profissionais necessitam de formação especializada, como a realizada com os primeiros técnicos, com a nossa congénere de Portugal. Há abertura, inclusive, por parte da Agência Espanhola de Protecção de Dados, no sentido de munirmos os nossos técnicos de fermentas para poderem exercer as suas funções com competência, autonomia e qualidade. Parece-nos que esta questão deve merecer uma atenção especial por parte do Parlamento. A segunda prioridade passa pela reestruturação da própria CNPD, porque o quadro que apresentamos propõe também um aumento.
Quantos são hoje?
São quatro técnicos de carreira especial: dois juristas e dois informáticos. Temos outras pessoas, ligadas à contabilidade, administrativas, etc. mas os técnicos que fazem inspecção, auditorias aos sistemas informáticos, que podem conduzir um processo de contra-ordenação, são esses. Dois juristas que entraram recentemente e dois informáticos que acabaram de entrar, no mês de Janeiro. A CNPD passou mais de meio ano sem informáticos. Os dois que estavam na Comissão saíram para o Banco de Cabo Verde. Isso mostra a necessidade de fixar quadros, o que passa pela melhoria substancial das condições na CNPD. A reestruturação proposta inclui a criação de unidades funcionais específicas para acompanhamento das novas tecnologias e estudo dessas tecnologias e seu impacto no tratamento de dados pessoais, de modo a que a Comissão possa, desde a concepção, fornecer elementos às empresas garantindo que estas iniciem o funcionamento dessas aplicações já em conformidade com o quadro legal de protecção de dados.
Passariam de quatro para quantos técnicos?
Para oito técnicos.
Entretanto, o seu mandato à frente da CNPF já está caducado. Que palavras ou conselhos deixaria para o seu sucessor?
A Comissão, neste momento, tem plenos poderes. O ideal seria que o mandato tivesse sido ou reconduzido ou concluído na data prevista. Mas, enquanto não houver substituição, não há nenhuma diminuição dos poderes da Comissão e temos trabalhado normalmente, aliás, cada vez com mais energia. Estamos aqui para servir o país e, enquanto continuarmos nestas funções, serviremos o país com toda a honra e zelo que o exercício do cargo merece. Para os novos membros, encontrarão uma instituição com alguma consolidação, mas que, como disse, é dinâmica, tem de estar permanentemente em evolução. Encontrarão também os instrumentos – alguns já aprovados, outros em andamento - que consideramos essenciais para a continuidade da autonomia e da qualidade das decisões que a Comissão irá tomar. Por exemplo, como referi, está em curso o desenvolvimento da comunicação estratégica, e esperamos fechar esse projecto de comunicação estratégica com o Banco Mundial e o Governo Cabo Verde até o fim do primeiro semestre. Espero que os novos membros venham encontrar o PCFR já aprovado, para a satisfação dos nossos técnicos, mas também para a continuidade da instituição, porque os membros têm mandatos.
E alguma preocupação?
Há uma outra preocupação que tem a ver com o relacionamento entre a CNPD e a 1.ª Comissão do Parlamento. A CNPD funciona junto da Assembleia Nacional, e até à bancarização havia uma gestão partilhada com o Parlamento. Temos excelentes relações com o Presidente da Assembleia Nacional. Orgulhamo-nos disso, mas os relatórios da CNPD deveriam ser discutidos na 1.ª Comissão, com a presença dos membros CNPD e isso não têm acontecido.
Qual é a justificativa?
Não há nenhuma justificação. Nos nossos relatórios dos anos anteriores já consta a necessidade de cumprir a lei e a lei diz que o relatório é apresentado anualmente e, dentro dos 60 dias seguintes, é discutido na 1.ª Comissão.
Incluindo a questão do orçamento?
Não. É só a discussão do relatório. Eu espero que haja essa discussão, porque trata-se da prestação de contas por parte da CNPD. Não tem acontecido, com muita pena nossa.
Texto originalmente publicado na edição impressa do Expresso das Ilhas nº 1209 de 29 de Janeiro de 2025.