Exmo. Senhora Presidente da Comissão Nacional de Proteção de Dados (CNPD),
Serve a presente não para submeter mais um requerimento burocrático destinado ao arquivo, mas para celebrar o fascinante mistério da transferência transatlântica de dados pessoais, matéria na qual esta augusta Comissão parece ter adotado uma postura de profunda meditação silenciosa.
Como é do conhecimento de V. Exa., a saga iniciou-se a 6 de março de 2023, quando instei a Imprensa Nacional-Casa da Moeda (INCM) a esclarecer por que motivo os dados dos cidadãos portugueses queixosos viajam até servidores norte-americanos. A dúvida, que outrora era uma mera suspeita, ganhou a robustez de uma certeza matemática.
Afinal, o Data Privacy Framework (Quadro de Privacidade de Dados) – esse monumento jurídico validado pelo Comité Europeu para a Proteção de Dados (European Data Protection Board — EDPB ou Comité Europeu para a Proteção de Dados) em fevereiro de 2023 – veio apenas confirmar o óbvio: quaisquer dados enviados para o exterior ascendem a um “nível superior”, olimpicamente restrito ao comum dos mortais, mas de livre acesso para as agências federais norte-americanas ao abrigo da célebre Foreign Intelligence Surveillance Act (Lei de Vigilância de Inteligência Estrangeira), da Ordem Executiva 12333 e da sua mais recente e sofisticada descendente, a EO 14086. É reconfortante saber que uma reclamação sobre um serviço público em Portugal possa ser de crucial interesse para a segurança nacional dos Estados Unidos da América.
Mais fascinante ainda é o bailado de competências institucionais. A Direção-Geral do Consumidor (DGC), em missiva de 21 de março de 2023, lavou elegantemente as mãos, declarando-se responsável pela “gestão funcional” da plataforma do Livro de Reclamações Eletrónico, empurrando a “gestão tecnológica” para a INCM. Nesta engenhosa divisão do trabalho, as entidades públicas portuguesas parecem ter-se especializado na “ocultação do detalhe”. Exibe-se legislação de fachada, mas omite-se a fundamentação técnica e prática. Como profissional com vasta experiência em Análise de Programação e Datacenters (Centros de Processamento de Dados), não posso deixar de admirar tamanha engenharia de desresponsabilização.
Em Portugal, vive-se obstinadamente de adornos. Criam-se as entidades, decoram-se os organigramas, mas o cidadão comum, ao tentar utilizá-las, depara-se com o esvaziamento funcional decorrente da partidarização e da incompetência técnica. O Tribunal de Justiça da União Europeia (TJUE) foi perentório nos acórdãos Schrems (Casos Schrems): a ausência de um recurso judicial efetivo que permita ao cidadão aceder, retificar ou apagar os seus dados em solo americano viola frontalmente o Artigo 47.º da Carta dos Direitos Fundamentais da UE.
Para terminar, e recorrendo a uma expressão popular que peço vénia para usar, dado que não estamos aqui para “encher chouriços” nem para simular que fiscalizamos o que na verdade ignoramos, reformulo de forma cirúrgica as questões que persistem sem resposta:
- Quem é, afinal, a entidade concreta que assegura – se é que alguém assegura – a confidencialidade e a integridade dos dados pessoais que o cidadão é obrigado a inserir no Livro de Reclamações Online?
- Se essa entidade de facto existe e não é um mito urbano burocrático, exijo que me sejam prestados os devidos esclarecimentos técnicos, por escrito, detalhando como se compatibiliza o alojamento num servidor norte-americano com o Regulamento Geral sobre a Proteção de Dados (RGPD).
Ficando a aguardar que esta comissão exerça as competências funcionais para as quais foi legalmente instituída, em vez de se remeter ao habitual adorno institucional, subscrevo-me com a devida vénia de quem, embora, ainda sabe ler o que tentam ocultar.
Com os meus protestos de elevada consideração,
