Texto da comunicação enviada pelo IMPIC, Entidade Gestora do Portal dos Contratos Públicos, em 4 de outubro de 2021, através de mensagem de correio eletrónico, às entidades adjudicantes utilizadoras do Portal Base.
De: Não Responda IMPIC I.P. <noreply@impic.pt>
Enviada: 4 de outubro de 2021
Para:
Assunto: Violação de dados pessoais no âmbito dos contratos públicos
Caro/a
Como é do conhecimento geral, através da comunicação social, o Portal Base esteve inativo entre as 19h30 do dia 01/10/2021, até as 19h30 do dia 03/10/21. Neste momento está ativo, com a particularidade dos contratos submetidos não poderem ser visualizados.
Este facto decorre da divulgação, via Portal Base, de dados pessoais em contratos submetidos por entidades adjudicantes, sem que estes tivessem sido (devidamente) expurgados, permitindo o acesso ao público em geral.
Conforme decorre claramente dos nºs 5 e 6 do artigo 12º da Portaria 57/2018, de 26 de fevereiro “A informação constante do Portal BASE é da exclusiva responsabilidade das entidades adjudicantes, não podendo a entidade gestora do portal substituir-se às mesmas”, e “é da inteira responsabilidade das entidades adjudicantes o cumprimento das normas nacionais e comunitárias referentes à proteção de dados pessoais”. Esta previsão manteve-se inalterada na Portaria n.º 284/2019, de 2 de setembro.
Além de várias comunicações realizadas às entidades adjudicantes, FAQs e notícias publicadas no próprio Portal, existe um conjunto de ecrãs de aviso, na área reservada de cada entidade, para a proteção dos dados constantes no ficheiro a carregar. Realça-se que o representante da entidade adjudicante antes de poder fazer o upload do contrato, ou da modificação objetiva ou subjetiva do mesmo, tem de validar a ocultação de dados pessoais, em ecrã próprio criado para o efeito.
Tal como referido na comunicação de junho, o formato de documentos aceite é do tipo Acrobat PDF. Este tipo de documento tem uma estrutura interna que permite efetuar a seleção e cópia das informações, quer sejam do tipo texto ou imagem. A utilização de opções de ocultação de informação presentes nas ferramentas de edição de texto (vulgo barra preta) pode não ser suficiente para eliminar os dados pessoais destes documentos.
Desta forma, se uma Entidade não ocultar os dados pessoais, esses ficarão visíveis.
Esta situação é grave pois viola os princípios da proteção de dados das pessoas singulares consagrados no Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho e na lei nacional (Lei n.º 58/2019, de 08 de agosto), podendo incorrer em coimas para as Entidades Adjudicantes, detentoras dos respetivos dados.
Mesmo antes da entrada em vigor do RGPD, a expurgação do dados pessoais era obrigatória por parte das entidades adjudicantes detentoras dessas dados, conforme decorria da alínea b) do n.º 2 do artigo 4º da Portaria n.º 701-F/2008, de 29 de julho, na versão dada pela Portaria n.º 85/2013, de 27 de fevereiro (portaria que regulava a constituição, funcionamento e gestão do portal BASE), segundo o qual era obrigatória a publicação dos contratos, respetivos anexos e eventuais aditamentos, com exceção “(…) das informações que digam respeito a dados pessoais, cuja divulgação se encontre regulada pela legislação relativa à respetiva proteção”.
Uma violação de dados pessoais pode ter diversos efeitos adversos, mais ou menos significativos, sobre as pessoas.
O artigo 33.º, n.º 1, do RGPD prevê que, “Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos termos do artigo 55.º, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.”
O artigo 34.º, n.º 1 prevê que “Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.”.
As entidades adjudicantes, enquanto responsáveis pelo tratamento dos dados pessoais inscritos nos ficheiros submetidos no portal BASE, devem promover todas as medidas necessárias, ao abrigo do RGPD.
Por forma ao IMPIC voltar a reativar a visualização dos contratos e das modificações contratuais no Portal Base, devem as entidades adjudicantes efetuar o levantamento de todos os contratos e modificações contratuais, por si submetidos no Portal, verificando se os dados pessoais estão efetivamente expurgados. Caso seja verificada alguma violação na confidencialidade (o que sempre ocorrerá com a publicação dos dados pessoais não expurgados, independentemente da sua consulta por terceiros), devem indicar-nos quais os contratos nessa situação, por forma a ser autorizada a sua substituição.
Quando estiver concluída essa substituição, a entidade adjudicante deverá comunicar ao IMPIC a realização dessa ação.
Tendo em conta o volume de contratos submetidos, esta informação deve-nos ser disponibilizada da seguinte forma:
contratos publicados de 01/01/2020 até à data, num prazo de 10 dias úteis – até 19/10/2021;
contratos publicados de 01/01/2018 até 31/12/2019, num prazo de 15 dias úteis, após o término do prazo anterior – até 10/11/2021;
contratos publicados de 01/01/2013 até 31/12/2017, num prazo de 20 dias úteis, após o término do prazo anterior – 10/12/2021.
Caso a informação com a lista desses contratos, ou a indicação que não existem contratos nessas condições, não nos seja prestada nos prazos indicados, seremos forçados a comunicar essa situação à CNPD.
Nota: MAIL AUTOMÁTICO, por favor não responda a este endereço de e-mail pois não é monitorizado, em caso de duvida contactar suporte.portal@base.gov.pt
Com os melhores cumprimentos
IMPIC, I.P. — Instituto Dos Mercados Públicos, do Imobiliário e da Construção, I.P.
(Entidade Gestora do Portal dos Contratos Públicos)