O caso “Russiagate” – uma lição (para o setor público)

Em 23 de janeiro de 2021, ativistas russos residentes em Portugal organizaram, em Lisboa, um protesto pela libertação do opositor ao regime russo Alexey Navalny, em frente à Embaixada da Rússia. Meses depois, tornou-se público que a Câmara Municipal de Lisboa (CML) enviara para a Embaixada da Rússia e para o Ministério dos Negócios Estrangeiros da Rússia dados pessoais dos três promotores dessa manifestação.

O caso, que ficou conhecido como “Russiagate”, assumiu particular relevância no debate público e jurídico sobre a proteção de dados pessoais no setor público em Portugal, suscitando uma reflexão alargada sobre os modelos organizativos da administração pública e o grau de maturidade das práticas de conformidade adotadas nesta matéria.

Na sequência da divulgação pública do sucedido, a CML decidiu exonerar o seu Encarregado de Proteção de Dados e realizou uma auditoria interna, que revelou tratar-se de uma prática reiterada: desde 2013, a autarquia havia partilhado dados de organizadores de manifestações com embaixadas estrangeiras em 122 ocasiões, 27 das quais com a Embaixada da Rússia. A prática estendeu-se pelos vários executivos desse período e envolveu, também, países como Israel, China, Venezuela, Angola, Irão e Arábia Saudita.

Em março de 2021, os ativistas apresentaram queixa à Comissão Nacional de Proteção de Dados (CNPD), que instaurou um processo de contraordenação. Em janeiro de 2022 a CNPD, através da deliberação N.º 2021/1569 aplicou à CML uma coima única de €1.250.000, uma das mais elevadas de sempre em Portugal.

Na sua decisão, a CNPD entendeu que a CML, na qualidade de responsável pelo tratamento desses dados, violou inúmeras disposições do Regulamento Geral sobre a Proteção de Dados (RGPD), designadamente os princípios da licitude, lealdade e transparência, da limitação das finalidades, da minimização dos dados e da limitação da conservação, bem como o dever de informação aos titulares dos dados. Foram, ainda, detetadas ilegalidades quanto à ausência de fundamento legal para o tratamento dos dados pessoais, ao tratamento de categorias especiais de dados sem fundamento de licitude adequado e à omissão da realização de avaliação de impacto sobre a proteção de dados, exigida nos casos em que o tratamento seja suscetível de implicar um elevado risco para os direitos e liberdades dos titulares.

A CML impugnou a decisão da CNPD junto dos tribunais administrativos, sustentando que as entidades públicas não empresariais não estariam sujeitas ao regime sancionatório previsto no RGPD. Esta interpretação foi rejeitada em todas as instâncias judiciais, tendo o Tribunal Constitucional, em janeiro de 2026, indeferido a (última) reclamação apresentada pela CML (Acórdão N.º 22/2026 de 14 de janeiro), tornando definitiva a condenação da autarquia. Embora o Tribunal Constitucional não tenha chegado a pronunciar-se sobre o mérito das questões de inconstitucionalidade suscitadas (por considerar que as mesmas não haviam sido corretamente enquadradas), o processo ficou, assim, definitivamente encerrado no plano judicial.

Importa, em todo o caso, recordar que a própria CNPD já havia afastado de forma fundamentada a tese de que as entidades públicas não empresariais estariam excluídas do regime sancionatório do RGPD. Na sua deliberação, a CNPD esclareceu que a Lei n.º 58/2019 de 8 de agosto é clara ao afirmar que as coimas previstas no RGPD “aplicam-se de igual modo às entidades públicas e privadas”, satisfazendo assim a exigência de concretização nacional imposta pelo artigo 83.º, n.º 7, do RGPD.

Para além da dimensão sancionatória, o caso “Russiagate” tem sido frequentemente citado como um exemplo paradigmático dos enormes desafios que o setor público enfrenta na aplicação prática do ecossistema normativo da proteção de dados pessoais.

Entre os vários pontos convocados na deliberação da CNPD salientam-se quatro particularmente relevantes.

O primeiro prende-se com a especificidade em torno da invocação do interesse público como fundamento de licitude para o tratamento de dados pessoais. Com efeito, o interesse público não pode ser invocado de forma abstrata ou automática, sendo, pelo contrário, necessário que se encontre expressamente previsto na lei. A utilização indevida deste fundamento evidencia uma compreensão incorreta por parte dos responsáveis pelo tratamento, sobretudo no setor público, do alcance e exigências a este associadas.

Uma segunda dificuldade refere-se à articulação entre os fundamentos de licitude aplicáveis ao tratamento de dados em geral e os requisitos específicos para o tratamento de categorias especiais de dados. É frequente verificar-se uma interpretação isolada do artigo 9.º do RGPD, ignorando que os fundamentos aí previstos não dispensam a verificação cumulativa de um dos fundamentos previstos no artigo 6.º.

Outra dificuldade prende-se com a realização de avaliações de impacto sobre a proteção de dados (AIPD). Persiste, em muitos casos, a ideia de que esta obrigação apenas é operativa nas situações expressamente elencadas no n.º 3 do artigo 35.º do RGPD. Contudo, o n.º 1 desse mesmo artigo estabelece que a AIPD é obrigatória sempre que uma operação de tratamento seja suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares. Ademais, nos casos em que subsista dúvida quanto à sua necessidade, as orientações emitidas pelo antigo Grupo de Trabalho do Artigo 29.º (atualmente, Comité Europeu para a Proteção de Dados) apontam para a adoção de uma abordagem prudente, recomendando a sua realização sempre que existam indícios de risco significativo. Situações em que o tratamento possa, por exemplo, afetar o exercício de direitos fundamentais, como o da liberdade de reunião e de manifestação, justificariam, por si só, a realização de uma AIPD.

Por fim, importa sublinhar o enquadramento jurídico da função do Encarregado de Proteção de Dados (EPD), à luz do regime do RGPD. O EPD não é responsável pelo cumprimento das obrigações legais que recaem sobre o responsável pelo tratamento, nem pode ser pessoalmente responsabilizado por eventuais violações das normas aplicáveis em matéria de proteção de dados cometidas por aquele. Pelo contrário, é ao responsável pelo tratamento que cabe assegurar e demonstrar a conformidade com o RGPD, cabendo ao EPD (meras) funções de aconselhamento e controlo da conformidade. A eventual responsabilização do EPD apenas poderá ocorrer nos casos em que, sob as vestes de EPD, este atue fora do âmbito do núcleo funcional definido por lei para essa função. O exercício das funções de EPD, desde que balizado pelas tarefas e funções previstas no RGPD e na Lei n.º 58/2019, de 8 de agosto, não é, em si mesmo, potencialmente gerador de responsabilidade por violação das normas aplicáveis em matéria de proteção de dados.

Em última análise, o “Russiagate” não é apenas um caso de incumprimento do RGPD, tal como não é um episódio isolado de erro administrativo. Constitui, na verdade, um sinal de alerta sobre a forma como o setor público pode subestimar as especiais obrigações que para si decorrem em matéria de proteção de dados pessoais no quadro de um Estado de direito democrático.

A decisão definitiva dos tribunais confirma que a conformidade com o RGPD não é facultativa, não admite exceções tácitas, nem se compadece com práticas administrativas herdadas do passado. Exige rigor jurídico, responsabilidade institucional e uma efetiva internalização dos princípios da proteção de dados nos processos decisórios quotidianos da Administração.

Mais do que sanções ou responsabilizações individuais, o que está aqui em causa é a necessidade de uma mudança estrutural: modelos organizativos claros, delimitação efetiva de responsabilidades, capacitação técnica dos serviços e uma cultura de legalidade que coloque os direitos fundamentais no centro da atuação administrativa. Sem isso, o risco não é apenas o de novas coimas – é o de erosão da confiança dos cidadãos nas instituições públicas e na própria capacidade do Estado em cumprir as regras que impõe.