A associação de consumidores DECO lançou a aplicação IRS Sem Custo sem solicitar a autorização da Comissão Nacional de Proteção de Dados (CNPD) para o tratamento da informação pessoal que recolhe junto dos contribuintes através da Internet. O serviço, que foi lançado em fevereiro, deu origem a uma queixa e, em consequência, a uma investigação da CNPD que, num projeto de deliberação, determinou, a título cautelar, a suspensão imediata do tratamento de dados dos contribuintes, que recorrem à ferramenta que ajuda a preencher os formulários do IRS.
O site IRS Sem Custo revela que mais de 132 mil pessoas já se registaram para usar esta ferramenta.
A DECO já apresentou a sua defesa junto da CNPD, apesar de não ter suspendido o serviço. Em breve, a CNPD deverá dar a conhecer uma deliberação sobre este “processo”. Nessa altura, a DECO poderá ser alvo de uma coima, caso se confirme que o IRS Sem Custo não respeitou a privacidade dos cidadãos. A deliberação final da CNPD também poderá obrigar a associação de consumidores a parar com a recolha de dados pessoais no site IRS Sem Custo. E sendo uma deliberação final, a DECO terá mesmo de acatar a decisão.
O serviço IRS Sem Custo resulta de uma parceria entre a DECO Proteste e o Informador Fiscal, um jornal especializado em matérias relacionadas com impostos. Uma vez no site do IRS Sem Custo o contribuinte é instado a inserir o nome, o endereço eletrónico e o número de telefone para poder descarregar para o seu computador o programa que permite fazer a simulação do preenchimento da declaração do IRS.
A DECO rejeita estar a desrespeitar a privacidade dos consumidores: «Os dados recolhidos pela DECO Proteste (nome, endereço eletrónico e número de telefone) são mencionados na Notificação feita à CNPD e respeitam as finalidades ali indicadas. Sendo estes os únicos dados recolhidos, a DECO não está sujeita ao cumprimento de qualquer outra formalidade adicional prévia. Os dados recolhidos são essenciais para o envio da chave de acesso ao programa informático que será efetuado para o endereço eletrónico do utilizador», explica numa resposta por e-mail enviada para a Exame Informática por Pedro Moreira, diretor da revista DECO Proteste.
Pedro Moreira reitera que o IRS Sem Custo não recolhe dados relativos ao número de contribuinte, senha de acesso ao Portal das Finanças, faturas ou comprovativos de despesas, rendimentos ou descontos. E acrescenta ainda que o serviço não envolve «qualquer recolha ou transmissão de dados para entidades terceiras, sendo o utilizador o único que visualiza e trata as informações que sobre si constam do Portal das Finanças».
No site do IRS Sem Custo, a parceria com o Informador Fiscal surge no rodapé da página – e nenhuma menção é feita à Ginocar Produções, empresa que, além do Informador Fiscal, produz o software de apoio ao preenchimento das declarações de IRS. Os Termos e Condições que podem ser encontrados no site informam: «os dados voluntariamente fornecidos pelo utilizador ao registar-se na ação IRS Sem Custo, para além da utilização exclusiva da DECO e da DECO Proteste, não poderão ser transmitidos a quaisquer outros terceiros sem o prévio consentimento do seu titular».
Nos Termos e Condições do serviço nenhuma menção é feita ao Informador Fiscal ou à Ginocar Produções. Esta omissão terá importância diminuta, caso se confirme que não há partilha de dados com entidades externas, mas poderá tornar a posição da DECO muito mais delicada, se realmente se apurar que há envio de dados para entidades externas… sendo que há quem garanta que IRS Sem Custo envia dados dos utilizadores para a Ginocar.
Sérgio Silva, coordenador da Unidade de Informática do Conselho Superior de Magistratura, analisou a plataforma e concluiu que o serviço IRS Sem Custo comunica, de forma encriptada, com a Ginocar quando o utilizador insere os dados pessoais na aplicação.
O perito em segurança informática justifica esta análise com a forma de funcionamento do serviço da DECO: depois de, numa primeira fase, solicitar alguns dados pessoais aos utilizadores, o IRS Sem Custo procede ao envio de um programa executável. Para usar este programa, que é descarregado para o seu computador, o utilizador é instado a inserir um código de ativação que lhe foi enviado por e-mail e, mais uma vez, alguns dados pessoais, como o nome completo, número de contribuinte e o endereço de e-mail.
Através da monitorização do tráfego que sai do computador, Sérgio Silva confirmou que a aplicação IRS Sem Custo estabelece uma ligação com a Ginocar, depois de o utilizador inserir estes dados. Apenas fica por esclarecer que dados são realmente enviados (se é enviado apenas o código de ativação, ou se também são enviados os nomes, e-mails e números de contribuintes). «Se inserirmos um número de contribuinte correto, a aplicação comunica com a Ginocar, mesmo quando ainda não foi ativada», explica o responsável da Unidade Informática do Conselho Nacional de Magistratura.
Sérgio Silva faz uma análise crítica à forma como a associação de defesa do consumidor lançou o serviço IRS Sem Custo. «A DECO nunca refere que a Ginocar está envolvida neste serviço que exige a recolha de dados pessoais; nem a DECO nem a Ginocar tiveram autorização para fazer o tratamento de dados; e não se sabe em que moldes é feito o tratamento desses dados», sublinha Sérgio Silva.
Pedro Moreira desvaloriza as comunicações entre a aplicação IRS Sem Custo e a Ginocar: «Nenhum dos dados introduzidos nesse programa é comunicado à DECO Proteste ou a qualquer outra entidade. O que o programa permite é que o próprio titular dos dados aceda às informações que sobre si constam junto do Portal das Finanças».
O projeto de deliberação que a CNPD enviou para a DECO não tem efeitos vinculativos. O que significa que a DECO não é obrigada a aplicar esta primeira recomendação cautelar sobre IRS Sem Custo. É por isso que o serviço se mantém a funcionar em pleno período de entrega de declarações de IRS. Depois de recebida a defesa da DECO, a CNPD tratará de emitir uma deliberação definitiva – e essa sim, terá de ser respeitada, caso contrário, o processo será encaminhado para as autoridades legais.
Para obterem a autorização da CNPD, as entidades que recolhem e processam os dados pessoais têm de revelar os propósitos da recolha de informação e o tratamento a que os repositórios são sujeitos.
Por Hugo Séneca
