A Comissão Nacional de Protecção de Dados (CNPD) vai fazer uma inspecção à Segurança Social, embora ainda não tenha conseguido marcar a data por falta de recursos humanos, afirmou esta quarta-feira no Parlamento a presidente daquela entidade, Filipa Calvão.

A responsável, que falava aos deputados numa audição no âmbito da inspecção à lista VIP no Fisco, relatou os vários problemas detectados no acesso às bases de dados, nomeadamente de falta de controle, e admitiu que "noutros organismos públicos se possa estar a passar algo de semelhante".

"Não tenho conhecimento que outros organismos tenham estes desacertos, mas, se na Autoridade Tributária [AT] encontramos estas práticas, temo que sim", declarou Filipa Calvão, lembrando que "há organismos que têm os acessos

muitos mais regulados, como as polícias ou a Saúde, que também mexem com dados sensíveis".

O relatório da CNPD à investigação ao Fisco, além de confirmar a existência de uma lista VIP em funcionamento e não apenas em testes – como vinha a ser dito pela AT – revelou uma grande falta de controlo de quem acede às bases de dados, nomeadamente de entidades externas.

Filipa Calvão afirmou mesmo que entre as empresas externas "haverá quem tenha perfil de administrador". São "entidades que têm um especial poder nesta matéria" e cujos contratos com o Fisco a CNPD não analisou, mas "devem ser acompanhados com especial cuidado pela AT, a responsável pelos dados".

Além das empresas externas, às quais a CNPD não se opõe desde que haja "especial cuidado na celebração dos contratos, com mecanismos de verificação e fiscalização", há ainda a questão dos protocolos de acesso aos dados da AT por outras entidades públicas. "Ficaram de nos dar esses dados e não os fizeram até ao momento", disse Filipa Calvão. As Finanças também não enviaram ainda ao Parlamento a listagem de entidades externas com acesso às bases de dados solicitada pelo PCP.

O que pode o Fisco fazer?

A CNPD deu um prazo de seis meses para que a AT apresente soluções para as deficiências detectadas e Filipa Calvão deu algumas ideias do que pode ser feito. Na Saúde, por exemplo, os próprios utilizadores recebem alertas sempre que alguém acede aos seus dados. E há um sistema, que foi testado no Hospital de São João, no Porto, que consiste na emissão de um alerta sempre que há um acesso aos dados de uma pessoa.

O sistema pede ao utilizador que confirme se quer mesmo aceder e se o está a fazer no âmbito de um processo qualquer e ao continuar a pessoa fica com a certeza de que aquele acesso vai ser especialmente auditado, explicou Filipa Calvão. Neste sistema, disse, "há um elevado número de desistências, claramente mais de metade dos acessos não chegam a concretizar-se".