個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

Resumo das Queixas
Print

No: 0103/2015/IP

Título: A publicação de um texto com o resultado de uma consulta contém dados pessoais de algumas das pessoas que apresentaram opiniões

Razão: iniciativa própria

Breve:

    Este Gabinete foi informado de que um texto com o resultado de uma consulta, publicado pelos serviços A da Administração Pública, contém dados pessoais de alguns cidadãos, pelo que o Gabinete acompanhou o caso por iniciativa própria. Após a investigação, verificou-se que o texto acima referido contém nomes dos cidadãos que apresentaram opiniões, incluindo o número de telefone e o endereço completo de um cidadão; a par disso, o email e o número de bilhete de identidade de outro cidadão estão cobertos em quadrados pretos, mas a informação pode ser visualizada devido à diferença de cor.
  Por outro lado, o Gabinete descobriu que noutro texto com o resultado de outra consulta também foram publicados os nomes completos de pessoas que apresentaram opiniões, incluindo, numa página, o endereço completo de uma delas, muito embora o seu número de telefone tenha sido tapado por “mosaico”; o número de bilhete de identidade e o endereço de outra pessoa foram substituídos por “x”.

Análise:

    De acordo com a alínea 1) do n.º 1 do artigo 4.º da LPDP, “os dados pessoais são qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável (titular dos dados).” Os serviços A recolheram opiniões e publicaram-nas na internet e por outros meios, contendo pelo menos nomes de algumas pessoas que apresentaram opiniões, sendo dados pessoais, cujo tratamento está sujeito à LPDP, nos termos do n.o 1 do artigo 3.o da LPDP.
  Após a investigação, verificou-se que a consulta realizada pelos serviços A podia ser assinada, mas não obrigatoriamente, permitindo aos cidadãos escrever livremente. Caso os cidadãos ofereçam voluntariamente os seus dados pessoais, os serviços A tratam os dados pessoais para as finalidades de recolha de opiniões e de compilação do texto do resultado da consulta, dispondo da condição de legitimidade de obtenção do consentimento do titular dos dados, satisfazendo o artigo 6.o da LPDP. No entanto, os serviços A ainda têm que satisfazer os princípios definidos no artigo 5.o da mesma Lei, sobretudo o princípio de proporcionalidade na alínea 3) do n.o 1 do mesmo artigo.
  De facto, no mapa de recolha de opiniões destinado aos cidadãos oferecido pelos serviços A, não existe a coluna de recolha de dados pessoais, indicando que os cidadãos oferecem voluntariamente os seus dados pessoais na apresentação de opiniões. Os serviços A publicaram os nomes dos cidadãos para mostrar com transparência o resultado produtivo da actividade e evitar dúvidas sobre fraude, não para criticar ou prejudicar os direitos e interesses das pessoas que apresentaram comentários. Por outro lado, ao publicar opiniões recolhidas, manter os nomes das pessoas que expressaram as suas opiniões também pode significar respeito por elas, tendo ainda presente que os nomes fornecidos podem ser pseudónimos, que existem pessoas com os mesmos nome e sobrenome. Portanto, se limitada ao nome, mas não incluir outras informações, a publicação dos nomes das pessoas que apresentaram opiniões pode ser aceite.
  Para além dos nomes, no texto ainda existem endereços completos, números de telefone, email e números de bilhete de identidade que não foram tapados ou não foram bem tapados. Embora possa ser importante para o resultado da consulta o local onde está a pessoa que apresenta opiniões ou o seu endereço em determinados casos, apenas é preciso saber a rua ou o prédio onde ela mora, não é necessário publicar o andar, o número do bloco e o número de telefone. De facto, noutro texto com opiniões, os serviços A taparam os dados acima referidos, conferindo confirmando que não os divulgaram deliberadamente.
  Relativamente a email e número de bilhete de identidade, os serviços A consideram que era necessário tapá-los, mas a informação pode ser vista devido a uma deficiente opacidade, tendo os serviços A explicado que a publicação é produzida por uma equipa de consultores (companhia adjudicatária). Nos termos dos n.os 2 e 3 do artigo 15.o da Lei da Protecção de Dados Pessoais, os serviços A devem zelar pela produção do texto, mas não detectaram nenhuma falha na ocultação do endereço e do número de telefone nem deficiência na opacidade da ocultação dos números de email e de identidade, por negligência. Essa dependência excessiva da companhia adjudicatória sem a correcta implementação de suas próprias obrigações regulatórias é a principal causa desse incidente.
  Os serviços A definiram orientações sobre o tratamento dos dados internos e dos documentos confidenciais, mas não definiram directamente o tratamento dos dados acima referidos, sobretudo não distinguiram quais são as categorias dos dados para publicar e quais são as categorias dos dados para tapar, levando a que os trabalhadores e a empresa de adjudicação não tivessem nenhuma regra a seguir. Assim, os serviços A violaram o artigo 15.o da LPDP.
  Neste caso, a negligência dos serviços A causou a publicação dos endereços, números de telefone, email, números de bilhete de identidade de algumas pessoas que apresentaram opiniões, e tal publicação não é necessária para as finalidades de demostração do resultado da consulta. A par disso, a publicação dos dados permite a qualquer pessoa pedir ou aceder aos dados, que para além de poderem ser aproveitados por criminosos, se torna impossível controlar a sua transferência e a difusão por outras pessoas. Neste sentido, este Gabinete considera que os serviços A violaram também o princípio de proporcionalidade previsto na alínea 3) do n.o 1 do artigo 5.o da LPDP.

Resultado:

  Após a análise, conclui-se que os serviços A violaram a alínea 3) do n.o 1 do artigo 5.o e o artigo15.o da LPDP, o que constitui infracção administrativa nos termos do n.o 1 do artigo 33.o e do n.o 1 do artigo 35.o da mesma Lei. Considerando que A não praticou a infracção de forma dolosa e que se trata apenas de deficiente fiscalização, que A colaborou na investigação e tomou medidas correctivas, etc., o Gabinete aplicou a A uma multa de MOP $10,000.

Referência:
  Consulte a “Lei da Protecção de Dados Pessoais”, artigos 3.º, 4.º, 5.º, 6.º,15.º, 33.o e 35.o

Voltar

Avenida da Praia Grande, N.º 804, Edif. China Plaza, 17.º andar, Macau Tel:(853) 2871 6006 Fax:(853) 2871 6116