Cristina Bicho, subdiretora-geral da Autoridade Tributária e Aduaneira (ATA), é também Encarregada da Proteção de Dados (EPD) da mesma entidade – um cargo que, devido à sua natureza, é incompatível com o seu cargo de chefia.
Cristina Bicho foi nomeada por despacho publicado em Diário da República «Encarregada da Proteção de Dados da Autoridade Tributária e Aduaneira». Mas tal como o mesmo despacho comprova, a nomeada é ainda «subdiretora-geral da área da Justiça Tributária e Aduaneira». Ora, isto quer dizer que, como EPD, Cristina está encarregue por aconselhar o responsável pelo tratamento de dados e que como subdiretora-geral é ela a titular dos ditos dados. Ou seja, a Cristina encarregada pode reportar à Cristina diretora – o que conflitua diretamente com os «artigos 37º, 38º e 39º do RGPD», entrando este «péssimo exemplo» num «claro conflito de interesse», como explicou ao Nascer do SOL a especialista Inês Oliveira.
E existirão muito mais incompatibilidades do mesmo género pelo país, como confirmam ao Nascer do SOL tanto Inês Oliveira (da APDPO), como João Gabriel, da Associação dos Encarregados de Proteção de Dados.
Recorde-se que, nesta semana, Fernando Medina anunciou que iria propor a exoneração do encarregado de proteção de dados da Câmara de Lisboa, Luís Feliciano, na sequência da auditoria preliminar ao caso dos ativistas russos cujos dados foram passados pela CML à embaixada da Rússa em Lisboa e ao Ministério dos Negócios Estrangeiros russo.
A Associação dos Profissionais de Proteção e de Segurança de Dados (APDPO) veio anunciar entretanto que irá apresentar queixa à CNPD caso a Câmara de Lisboa decida exonerar o seu EPD. A razão, explicada em comunicado publicado na terça-feira, é que Luís Feliciano «não é responsável, nem pode sê-lo, pelas obrigações que incumbem ao responsável pelo tratamento [dos dados]». Para a associação, «é ao responsável pelo tratamento, ou seja, aos organismos nas pessoas dos seus dirigentes máximos, que incumbe adotar todas as medidas de proteção de dados».
De forma resumida, a APDPO defende que, por Luís Feliciano ter apenas funções de ‘aconselhamento’ sobre os dados e não de ‘tratamento’ dos dados, este não pode ser declarado culpado por uma ação que envolve tratamento de dados. Um EPD, explicam, deve ser uma espécie de agente neutro que está nas estruturas apenas para aconselhar os cuidados a ter com o tratamento de dados.