Dados pessoais | Plataformas de entrega punidas por violarem lei

Três empresas de entrega de comida e mercadorias foram penalizadas por violar a lei de protecção de dados pessoais. Duas das plataformas transferiram dados de clientes para fora da RAEM e uma prestou informações falsas ao GPDP. O organismo admite ter poderes limitados, não sabe se os dados foram “tratados indevidamente” e apela à “auto-disciplina”

 

O Gabinete para a Protecção de Dados Pessoais (GPDP) anunciou ontem que três plataformas de entrega de comida e mercadorias que operam em Macau foram penalizadas por violar a protecção de dados pessoais dos clientes. Segundo o comunicado divulgado ontem pelo GPDP, os trabalhos preliminares de coordenação e fiscalização das plataformas de entrega revelaram a “existência de alguns problemas de conformidade procedimental”, e duas empresas foram punidas com sanções acessórias de advertência.

Duas das empresas, que não foram identificadas pelo GPDP, terão mesmo transferido “dados pessoais dos clientes para um local situado fora da RAEM” e não cumpriram a obrigação de notificar os clientes, nos termos da lei.

Além disso, quando o GPDP interveio para pedir a correção e o cumprimento da obrigação de notificação, “uma das entidades responsáveis não prestou atenção aos trabalhos de conformidade e forneceu informações falsas no cumprimento da obrigação de notificação, induzindo o GPDP em erro”.

Apesar das informações falsas prestadas por uma empresa, “o GPDP aceitou a sua explicação, considerando que a mesma constitui apenas uma infracção administrativa por negligência, não necessitando de seguir o procedimento criminal, no entanto, foi-lhe aplicada a correspondente sanção nos termos da lei”.

Apelo à autodisciplina

Admitindo ter pouco poder, o GPDP apela à boa-vontade das empresas de entrega de comida e encomendas no tratamento dos dados pessoais dos clientes. O organismo de supervisão refere também que devido à “não existência de indícios de que os dados dos clientes tenham sido tratados ilegalmente, não pode, por enquanto, tomar a iniciativa de investigar se os dados concretos foram tratados indevidamente pelas respectivas plataformas”. Trocado por miúdos, a não existência de indícios impede a investigação à forma como os dados pessoais dos clientes foram usados.

Neste vazio de informação, o GPDP afirma acreditar “as três entidades podem proteger os dados pessoais dos clientes de acordo com o princípio de auto-disciplina comercial”, mas que “é inaceitável que não prestem atenção aos trabalhos de conformidade da protecção de dados pessoais”.

O GPDP acredita também que “as entidades responsáveis podem retirar os devidos ensinamentos e proceder, atempadamente, a melhorias eficazes”. Apesar da fé revelada, o GPDP admite que as “infracções colocaram os direitos e interesses legítimos dos titulares dos dados em riscos desnecessários durante um longo período de tempo”.

O organismo garante que vai “continuar a prestar atenção à situação de tratamento de dados pessoais das diversas plataformas, tomando como referência as experiências de supervisão do Interior da China e internacionais”.

O HM contactou o GPDP para saber especificamente quais as plataformas envolvidas, as sanções aplicadas e perguntou se o organismo não considera que os consumidores merecem saber que empresas infringiram os seus direitos de no que diz respeito ao tratamento dos seus dados pessoais. O GPDP respondeu que o objectivo do comunicado a anunciar a penalização das plataformas de entrega era “chamar a atenção do público para a protecção dos dados pessoais”. O organismo acrescentou ao HM que “uma vez que os casos envolvidos com a sanção aplicada não atingiram o ponto de censura pública nos termos do artigo 43.º da Lei da Protecção de Dados Pessoais, não é aconselhável publicar os pormenores das plataformas de entrega envolvidas”.

7 Set 2023

GPDP exige clarificação dos objectivos do registo de comunicações

[dropcap style≠‘circle’]O[/dropcap] Gabinete de Protecção dos Dados Pessoais (GPDP) emitiu ontem um comunicado onde esclarece alguns conteúdos do parecer relativo ao regime jurídico da intercepção e protecção de comunicações, enviado ao gabinete do secretário para a Segurança, e que continua sem tradução para português.

O comunicado dá conta que, apesar de haver uma concordância com a implementação do diploma, o GPDP recomenda que a lei deve “regulamentar claramente as finalidades de utilização dos registos de comunicações”. É também pedido que sejam claras “as regras de utilização de registos de comunicações”, tendo como referência “os artigos 159 e 162 do Código do Processo Penal, para oferecer diferentes esquemas de autorização para discussão pública”. O novo regime jurídico deve também “regulamentar claramente os princípios para o tratamento de ficheiros de dados pelos operadores”.

Além disso, o GPDP pede também que lhe sejam atribuídos mais poderes neste âmbito. “Recomendamos que sejam atribuídas ao GPDP as competências relacionadas com a fiscalização do cumprimento do dever de conservação de registos de comunicações pelos operadores, definido pelo regime jurídico”.

 

Há legitimidade

No seu parecer jurídico, o GPDP defende também que “a legitimidade, adequação e especificação do processo de intercepção [de comunicações] são suficientes” e que “o novo regime jurídico não envolve a vigilância e intercepção de comunicações em larga escala e não direccionada”. Por esse motivo, “não é necessário acrescentar regulamentos no regime jurídico para que os serviços que aplicam a lei possam usar esses métodos para interceptar as comunicações”.

No que diz respeito à conservação dos registos de comunicação, a proposta de lei contém disposições que “não envolvem o conteúdo, pelo que podem cumprir as garantias originais”. Ainda assim, o GPDP acredita que “é necessário desenvolver regras de utilização de forma explícita”. Estes registos podem ser mantidos pelas autoridades pelo período de um ano, questão sobre a qual o GPDP não levanta qualquer objecção.

5 Out 2018

‘Referendo’ | Organizadores podem ser multados mas ameaçam com tribunal

Uma nova carta do Gabinete de Protecção de Dados Pessoais chegou às mãos do grupo que organizou o ‘referendo civil’ de 2014 sobre as eleições do Chefe do Executivo. O Comité pode vir a ter de pagar uma multa que pode ir até às 40 mil patacas, mas não sem antes – como assegura o grupo – de uma luta em tribunal

[dropcap style=’circle’]O[/dropcap]Gabinete de Protecção de Dados Pessoais (GPDP) pode vir a multar o Comité Organizador do Referendo Civil sobre a Eleição do Chefe do Executivo 2014. Dois anos depois de três associações civis terem realizado um inquérito ao qual chamaram “referendo civil”, o organismo liderado por Vasco Fong enviou uma carta a Jason Chao, promotor e administrador do grupo, onde diz que o Comité pode vir a ter de pagar uma multa por “recolha ilegítima de dados”. Os organizadores assumem estar dispostos a ir para tribunal.
Em 2014, por considerarem que não havia permissão para participação cívica na escolha do líder do Governo – uma vez que é uma Comissão liderada por 400 pessoas que faz essa escolha -, a Macau Consciência, a Juventude Dinâmica de Macau e a Sociedade Aberta de Macau formaram o Comité. Composto por duas questões, o inquérito focava-se em perceber se as pessoas queriam o sufrágio universal em 2019 e se confiavam na candidatura a solo de Chui Sai On.
A expressão ‘referendo civil’ foi inspirada em sondagens feitas em Hong Kong com o mesmo nome, mas o Governo local e o Central rotularam de imediato a actividade como “ilegal”. Na falta de leis que proíbam a realização de referendos não oficiais, a organização considerou a acção do Executivo como um ataque à liberdade de expressão.
Apesar de ter reunido mais de nove mil votos, o facto de terem sido recolhidos dados pessoais – ainda que autorizados pelos votantes – como o telefone e número do BIR, levou a um primeiro aviso do GPDP, que culminou com a detenção de Chao, Scott Chiang (activista e membro do Comité) e três outros voluntários que estavam nas mesas de ‘voto’. Depois outros vieram.
“Dois anos depois do fim do referendo, as consequências não acabaram”, relembrou ontem Jason Chao. “Foram abertos pelo menos três procedimentos contra os organizadores: a primeira carta do GPDP foi um aviso para pararmos de recolher dados e apagá-los todos. Depois [da detenção], foi uma outra, a dizer que teríamos de ser ouvidos porque poderíamos estar a transferir estes dados para fora de Macau. E agora, esta.”
Esta é uma carta que chegou a 26 de Agosto às mãos do Comité e que indica que os organizadores poderão ter de pagar “entre quatro mil a 40 mil patacas” por “infracção administrativa”, que se prende com “a recolha ilegítima de dados pessoais”.

Sem MP, mas com “medo”

Sem qualquer acusação formal do Ministério Público contra os detidos – algo que “ainda pode acontecer” mesmo que já tenham passado mais de dois anos – a carta do GPDP chega numa altura em que a Associação Novo Macau, ligada à Macau Consciência e cujos membros são os mesmos do Comité, levou a cabo uma votação alternativa para dar nomes aos pandas bebés, onde também recolheu dados. A carta, contudo, especifica o evento de 2014.
“Cremos que [a carta] poderá ter chegado por causa dos pandas, sim. Achamos que o Governo teme que seja moda este tipo de actividades onde as pessoas podem, de facto, exprimir a sua opinião”, frisou, acrescentando que as acusações nesta carta são as mesmas de há dois anos.
O Comité já respondeu ao GPDP “com avaliações de juristas”, onde se incluem o local António Katchi e o investigador de Hong Kong Kai Yeung Wong, mas promete – se necessário – ir mais longe.
“Estamos dispostos a ir para tribunal se o GPDP decidir multar. Vamos até à última instância para defender a liberdade de expressão das pessoas de Macau”, frisou Chao, acrescentando que, para assegurar os custos, há-de haver soluções como “uma recolha de fundos”.
O Comité ameaça ainda enviar documentos a relatar o sucedido a entidades de dados pessoais europeias, com quem o GPDP troca informações e baseia a legislação de Macau. Para Chao, “há uma interpretação muito defeituosa da lei” e “falhas fundamentais” no entendimento das directrizes europeias, sob a qual assentam os diplomas da RAEM.
“Não violamos a vida privada dos cidadãos, demos-lhes o direito de exercerem a sua opinião”, indica Jason Chao, recordando que, como manda a lei, os dados foram apagados depois da eleição de Chui Sai On.

Travagens à bruta?

Para o Comité não há dúvidas: o que o Governo está a tentar fazer é “impedir” que actividades deste género – “onde se ouve o que realmente pensa a população de Macau” – sejam realizadas. Isto porque, defendem Chao e Chiang, sem número de BIR, as opiniões poderiam ser fabricadas.
“Eles estão a tentar descredibilizar este tipo de acções, sem dados pessoais que comprovem [que as opiniões são verdadeiras]. O GPDP dá a entender que vai punir todas as organizações que façam actividades semelhantes. Nós estamos a encorajar as pessoas a dar a sua opinião, seja a nível político ou não.”
Sobre se fariam novo ‘referendo civil’, o Comité diz que “depende” das necessidades da sociedade, mas que estaria disposto a mais actividades deste tipo.

22 Set 2016

Vasco Fong promete revisão da Lei de Dados Pessoais para 2016

Vasco Fong confirma que a revisão da Lei de Dados Pessoais poderá avançar no próximo ano. Está também a ser pensada legislação sobre armazenamento de grande volume de dados

[dropcap style=’circle’]V[/dropcap]asco Fong, actual coordenador do Gabinete de Protecção de Dados Pessoais (GPDP), confirmou ontem que a revisão da Lei de Dados Pessoais só deverá avançar no próximo ano. Este é um projecto que já vem dos tempos em que a actual Secretária para a Administração e Justiça, Sónia Chan, era coordenadora do Gabinete, mas que tem tardado a ver a luz do dia.
“Gostaríamos que isso foi feito o mais rapidamente possível. Mas estamos a envidar todos os esforços e espero que isso possa ser feito no próximo ano”, disse Vasco Fong, à margem do seminário “Big Data, desafio crucial – Protecção da Privacidade e Cooperação”, que decorreu ontem na Torre de Macau.
O coordenador do GPDP referiu ainda que a “sociedade tem evoluído rapidamente” e que “está provado que a nossa legislação, em alguns aspectos, está desactualizada”. Por isso mesmo, assegurou, já se “começou o estudo prévio sobre essa matéria”, explicou.

Big Data is watching you

Sobre a questão do “Big Data”, ou seja, o armazenamento de uma grande quantidade de dados, Vasco Fong mostrou intenções de legislar sobre o assunto.
“Neste momento não temos nenhum projecto concreto sobre esta matéria. A razão pela qual convidámos especialistas de vários países foi para ouvir as experiências nas outras partes do mundo. Mas não se afasta a possibilidade de avançar com um projecto nesse sentido, mas no futuro”, disse ainda.
No seu discurso, Vasco Fong exemplificou que “o sector do consumo é uma das plataformas onde se compilar um grande volume de dados pessoais”, sendo que, a maior parte desses dados é obtida nas compras online.
“É de referir que também há compilação de informações nas outras indústrias e sectores, tais como no turismo, seguros, banca ou telecomunicações”, apontou. “Devemos estudar oportunamente os problemas de protecção da privacidade suscitados pelo ‘Big Data’, com o objectivo de adoptar as medidas adequadas o mais cedo possível e procurar um equilíbrio”, defendeu ainda o coordenador.

Chefe apoia

O Chefe do Executivo, Chui Sai On, esteve presente na cerimónia de abertura e referiu que “o Governo vai continuar a dar apoio aos trabalhos relativos à protecção da privacidade e simultaneamente aperfeiçoar o regime existente”, sendo que o GPDP pretende “estabelecer um regime efectivo de protecção da privacidade e dados pessoais que corresponda aos padrões internacionais”.
No seminário participou um grupo de especialistas na área de “Big Data” vindos de Portugal, incluindo Filipa Calvão, presidente da Comissão Nacional de Protecção de Dados.

3 Dez 2015

Referendo Civil | Novo Macau sem dinheiro para possível multa

Caso seja multada no âmbito do caso do ‘referendo civil’, a Associação Novo Macau poderá ser obrigada a pagar uma multa entre oito a 80 mil patacas, para a qual não tem dinheiro. Jason Chao pondera organizar uma recolha de fundos. O activista diz que é cedo para ir a tribunal contra o Governo

[dropcap style=’circle’]A[/dropcap]nova acusação do Gabinete de Protecção dos Dados Pessoais contra a Associação Novo Macau (ANM) pode levar os activistas a ter de organizar uma recolha de fundos para pagar a multa. Em declarações ao HM, Jason Chao, membro da direcção e antigo presidente, confirmou que, caso tenham de pagar uma multa entre oito a 80 mil patacas terão de recorrer a uma actividade de recolha de fundos.
“Claro [que a multa vai colocar a associação numa situação financeira difícil]. Não temos essa quantia de dinheiro e se formos obrigados a pagar a multa nessa altura vamos organizar uma recolha de fundos. Não temos necessariamente de organizar um jantar de recolha de fundos, mas teremos de arranjar dinheiro junto do público. Penso que o público irá ajudar-nos, mas é muito cedo para fazer uma previsão”, disse ao HM.
De frisar que a ANM não recebe fundos do Governo e desde há alguns meses que deixou de receber financiamento dos escritórios dos deputados Au Kam San e Ng Kuok Cheong.
Os valores da possível multa foram revelados à ANM numa carta enviada pelo GPDP na passada quinta-feira. Depois de terem sido acusados e ilibados pelo GPDP de promover uma actividade ilegal com o ‘referendo’, aquando das eleições para o Chefe do Executivo, os activistas são agora acusados de terem armazenado os dados dos participantes numa iCloud fora de Macau. A mudança de acusação mereceu duras críticas por parte da Associação.
“Os residentes de Macau devem lembrar-se que, em 2014, todo o Governo defendeu – de forma acérrima e sem precedentes – que este ‘referendo civil’ era ilegal. O GPDP disse até que a recolha de dados para o caso era ‘ilegítima’ e que, por isso, o consentimento dos eleitores deveria ser considerado ‘inválido’”, disse Jason Chao na semana passada.
Citado pelo jornal Ponto Final, o ex-presidente da ANM referiu ainda que se o GPDP decidir multar, os activistas vão levar o caso ao Tribunal Administrativo. Contudo, ao HM, Jason Chao disse ontem que “ainda é cedo” para tomar qualquer decisão.
“É cedo para avançarmos agora para tribunal, porque a decisão final ainda não foi lançada pelo GPDP. Quando o gabinete tomar a sua decisão, poderemos ponderar avançar para tribunal. Nesta fase o processo ainda está a decorrer e por isso é que não há necessidade para levar o caso para o tribunal”, concluiu o activista.

10 Ago 2015

Referendo Civil | GPDP iliba “ilegalidade”, mas acusa activistas de nova violação

A Comissão Organizadora do Referendo Civil foi, agora, ilibada de ter violado a Lei de Protecção de Dados Pessoais no que à recolha de dados diz respeito, mas o Gabinete de Protecção de Dados Pessoais vem acusar os activistas de outra violação da lei

[dropcap style=’circle’]J[/dropcap]ason Chao acusa o Gabinete de Protecção de Dados Pessoais (GPDP) de estar a aplicar mal a Lei de Protecção de Dados Pessoais, depois do organismo ter acusado a Comissão Organizadora do Referendo Civil de uma nova violação do regime. Apesar de ter admitido que, afinal, o ‘referendo civil’ levado a cabo por três associações pró-democratas não era ilegal, o GPDP vem agora “dar uma interpretação diferente” ao ‘referendo civil’ e acusar os activistas de outra ilegalidade.
Numa carta enviada aos órgãos de comunicação social, Chao explica que o Gabinete acusou os activistas de terem violado a Lei de Protecção de Dados Pessoais, por terem armazenado os dados pessoais de residentes numa iCloud fora de Macau.
“Um parágrafo da carta diz que ‘no geral, a organização [do ‘referendo’] recolheu apenas os dados pessoais de eleitores com o seu consentimento e de acordo com o artigo da lei [que a isso diz respeito]. Com base na informação, o consentimento dado pelas pessoas maiores de 16 anos não pode ser negado’”, começa por explicar Jason Chao. “Os residentes de Macau devem lembrar-se que, em 2014, todo o Governo defendeu – de forma acérrima e sem precedentes – que este ‘referendo civil’ era ilegal. O GPDP disse até que a recolha de dados para o caso era ‘ilegítima’ e que, por isso, o consentimento dos eleitores deveria ser considerado ‘inválido’”, recorda o activista, que fala da recolha de dados a que os activistas chamaram de ‘referendo civil’, sobre o desejo dos residentes verem sufrágio universal em Macau para eleger o Chefe do Executivo.

Nova acusação

Apesar de admitir que, afinal, a recolha de dados foi legal, de acordo com Jason Chao, o GPDP vem acusar os activistas de outra alegada ilegalidade relativamente à actividade: “acusam a Comissão Organizadora de não se utilizar de servidores em Macau e de transferirem os dados pessoais dos eleitores para um outro país”. Isto porque fizeram uso de “iCloud”.
Contudo, Chao considera que a lei não pune a transferência de dados para outros países quando esta não é feita de forma voluntária e quando acontece devido “à forma como as redes estão estruturadas”.
“É um facto de que não há serviços de ‘nuvem’ em Macau e muitas empresas e associações escolhem usar servidores estrangeiros”, defende Chao, que acrescenta que o GPDP foi informado de todas as medidas de protecção de dados pessoais implementadas pela Comissão do referendo.
Jason Chao vai mais longe e acusa o GPDP de ter formas diferentes de aplicar a lei, já que uma associação pró-Governo utilizou o mesmo sistema para registar os dados dos residentes para um evento e o Gabinete considerou não haver ilegalidades.
Por um lado, o activista não pode ser mais alvo da acusação que pendia contra si em tribunal, devido à ilegalidade do referendo, mas por outro a Comissão poderá ter de pagar uma multa por causa desta nova acusação, que poderá ascender às 80 mil patacas.

Em instrução

Em comunicado, o GPDP vem dizer que Jason Chao, promotor do referendo, pode apresentar um recurso da nova acusação. O Gabinete diz não poder fazer comentários precisamente por esse motivo. “O que se refere no ofício não é a decisão final do GPDP. O caso em causa ainda está em instrução – actualmente na fase de audiência prévia do administrado –, por isso não é oportuno o GPDP tecer qualquer comentário.” Mais ainda, o Gabinete – que não tinha acusado os activistas de mais ilegalidades – diz agora que “condições de legitimidade do artigo [que diz respeito à recolha de dados na Lei] foram satisfeitas, mas que não se pode daqui retirar que o tratamento de dados pessoais na actividade em causa satisfez plenamente todas as disposições da [mesma lei]”.

7 Ago 2015