JURIS - ARTIGOS DE FUNDO - Violação de dados pessoais

O arguido utilizou um subdomínio do fornecedor espanhol www.iespana.es para criar uma página onde publicou os nomes, apelidos e endereços dos filiados na Esquerda Unida de uma localidade andaluza, com o título “Os Comunistas de…”.

A existência desse site foi comunicada por uma das pessoas referidas nessa lista ao Ministério Público andaluz que deu conhecimento dos factos ao Tribunal e à Agência Espanhola de Protecção de Dados (AEPD).

Este caso tem dois pontos interessantes: primeiro, porque se observa o cuidado do arguido para não ser descoberto, já que utilizou um proxy para aceder ao subdomínio e enviar a informação sensível, ainda que finalmente viesse a ser apanhado por um descuido (graças aos inspectores da AEPD); segundo, porque na própria sentença se menciona que o Juiz de Instrução procede ao arquivamento do caso enquanto que a AEPD acaba por levar à sua condenação.

Ao iniciar-se a fase de instrução, a AEPD suspendeu as suas investigações. Assim, 4 meses depois, foi comunicado à AEPD a conclusão das mesmas e a decisão de arquivamento.

Poucos dias depois, o Director da Agência Espanhola de Protecção de Dados decide levantar a suspensão das investigações e continuar a tramitação.

Em resumo, o tribunal não chega a conclusão nenhuma, arquiva o processo, mas a AEPD continua a investigar para ver até onde chega. E é aqui que começa o périplo pela rede à procura do possível responsável.

Como se disse, utilizou-se um subdomínio em iespana.es para publicar a página com a informação de carácter pessoal. Portanto, o mais lógico era ir perguntar a iespana.es quem criou esse subdomínio.

O fornecedor informou que foi um cliente que utilizou um serviço gratuito e se identificou como J.C., com o email …@mixmail.com, confirmando que enviou para o site a informação. Além disso, iespana.es forneceu a password de administração do subdomínio (e nós a pensarmos que elas eram guardadas cifradas) e o IP utilizado para enviar os conteúdos para a Internet.

Iespana refere que os dados do registo podem ser falsos, EXCEPTO o do email, porque para activar o serviço teve de receber um email (naquele endereço) com o código de activação [a informação do email não é totalmente correcta - ver Obs. ao fundo da página]

Temos portanto a seguinte informação do infractor:

1. O seu nome J.C. (seguramente falso)
2. O endereço de email …@mixmail.com a que teve de aceder para activar o serviço
3. O IP de onde enviou o conteúdo para iespana

Chegados a este ponto, havia que averiguar a quem pertence esse IP, mas chegou-se a um beco sem saída, porque pertencia a um servidor proxy destinado a ocultar o endereço de IP na Internet.

Só nos fica, portanto, um endereço de email em @mixmail.com … não parece muito.

Pediu-se a mixmail.com para disponibilizar a informação de registo dessa conta de email. Informaram que foi criada por um tal M.J.J. (nome falso) e que a última vez que acedeu foi precisamente no mesmo dia em que foi enviado o conteúdo para o subdomínio da Internet (bom sinal).

Mixmail forneceu então um registo dos últimos 7 acessos a esse email, onde consta o dia, hora, minuto e segundo da ligação e o IP por onde acedeu naquele momento. O IP foi sempre o mesmo nos 7 últimos acessos, que aconteceram em pouco mais de 24 horas no dia em que foi publicado o site.

Agora temos uma nova pista: o IP de ligação à conta de email utilizada para activar o serviço em iespana. Com um pouco de sorte o infractor não terá tido a cautela de utilizar também o proxy para aceder ao correio… e efectivamente, o IP correspondia a uma ADSL da Telefónica. Em poucos dias a AEPD obteve os dados do titular dessa linha de ADSL, pertencente a D.J.Fl.D.

A AEPD tentou contactar com J.Fl.D. por correio normal, mas as cartas nunca foram levantadas. Finalmente, e perante a impossibilidade de entrar em contacto com J.Fl.D., deu-se início ao processo.

E já está, é-lhe imputada uma infracção que viola o artigo 7.2, da Lei Orgânica de Protecção de Dados (espanhola), que estabelece:

Só com o consentimento expresso e por escrito do afectado poderão ser objecto de tratamento os dados de carácter pessoal que revelem a ideologia, filiação sindical, religião e crenças.

Exceptuam-se os arquivos mantidos pelos partidos políticos, sindicatos, igrejas, confissões ou comunidades religiosas e associações, fundações e outras entidades sem fins lucrativos, cuja finalidade seja política, filosófica, religiosa ou sindical, quanto aos dados relativos aos seus associados ou membros, sem prejuízo que a cessão desses dados necessitará sempre do prévio consentimento do afectado.

Isso quer dizer que somente nestes pressupostos específicos os dados poderão ser tratados.

No presente caso, tornou-se evidente que o denunciado tratou os dados de, pelo menos, J.C.T. (a pessoa que comunicou o facto ao Ministério Público), esposa e filhos, numa lista de pessoas referindo-se a eles como membros do Partido Comunista da localidade…, sem que se tenha obtido o consentimento expresso e por escrito dos afectados.

O artigo 44.4.c) da LOPD considera infracção muito grave:
c) Obter e tratar os dados de carácter pessoal, os que se referem à cláusula 2, do artigo 7, quando não haja o consentimento expresso do afectado; obter e tratar os dados referidos na cláusula 3, do artigo 7, quando não o disponha uma Lei ou o afectado não tenha consentido expressamente ou violar a proibição contida na cláusula 4, do artigo 7.

Finalmente, afirma a AEPD que o responsável pela publicação, num site, da lista (….) incorreu na infracção prevista, já que, pelo menos quatro membros de uma mesma família, não consentiram de forma expressa e por escrito no tratamento de dados relativos a ideologia.

Portanto, é-lhe aplicada uma multa de 300.506,05 euros.

Mas há alguns problemas a merecerem reflexão.

Se virmos bem, sanciona-se o TITULAR da linha ADSL e, além disso, nem sequer se chega a entrar em contacto com ele.

Acho que é perigoso associar um acto ilícito ao titular de uma linha ADSL, pela simples razão que numa casa familiar, a ligação ADSL pode ser utilizada pelo pai, mãe, irmão, irmã e o amigo da irmã… sem que (sob o meu ponto de vista) possa ser possível imputar directamente (só pelo IP) a autoria de uma infracção ao titular da linha (faltariam provas na minha opinião), sobretudo, porque neste caso concreto não se averiguou se o titular vivia só ou com mais alguém.

Além disso, é possível até que houvesse lá em casa um router wifi sem acesso restrito… e qualquer pessoa com um portátil poderia ter-se ligado a partir dali.

[Obs. Há contas de email temporárias (1 hora...) e anónimas que permitem receber códigos de activação e depois desaparecem]

Samuel Parra

Tradução JURIS
Ligação para o artigo original

Criado em: 03/06/2008 • 14:09
Actualizado em: 03/06/2008 • 14:09
Categoria : ARTIGOS DE FUNDO

Imprimir