Siga-nos

Perfil

Expresso

Sociedade

14 falhas sobre quem pode ver os seus dados fiscais: da lista VIP aos estagiários do Fisco

  • 333

Se não é "à Lagardère", parece. Relatório da Comissão Nacional da Proteção de Dados fala de descontrolo nos acessos a dados de contribuintes por funcionários do Fisco, estagiários, tarefeiros e dezenas de trabalhadores de três empresas privadas.

O relatório é demolidor sobre as práticas na administração fiscal nos acessos a dados sobre contribuintes. O Expresso leu todo o documento e listou 14 conclusões no mínimo polémicas sobre o uso de dados sensíveis e privados de cidadãos.

 

1. Mais de nove mil funcionários podem ver rendimentos de qualquer cidadão

"O universo total de utilizadores internos é de, pelo menos, 12.156". 

"O perfil básico permite que um número alargado de utilizadores conheça a situação contributiva de qualquer cidadão, designadamente as suas declarações de rendimento, estando nestas circunstâncias 9.289 utilizadores de permissão de acesso (direções de finanças: 1.935; serviços centrais: 1.834; serviços de finanças: 4.515; serviços aduaneiros: 1.014)".

"Mais de 75 por cento dos funcionários da AT têm privilégios para aceder à situação contributiva de qualquer cidadão e isto independentemente da sua localização geográfica ou das funções desempenhadas."

 

2. Até estagiários e tarefeiros podem consultar dados de contribuintes

"Há ainda a considerar o acesso por parte de entidades externas à AT [Autoridade Tributária e Aduaneira], tão variadas como sejam as empresas subcontratadas para o desenvolvimento e manutenção dos equipamentos e sistemas informáticos, os estagiários e os tarefeiros contratados pelos serviços de finanças, num universo total superior a duas mil pessoas." 

 

3. Accenture, Novabase e Opensoft: empresas privadas podem ver dados

"Verifica-se haver um grande número de empresas privadas com permissão de acesso a dados contributivos, algumas das quais apresentam números francamente excessivos de utilizadores, dos quais se destacam a Accenture com cerca de 120 utilizadores, a Novabase com cerca de 90 utilizadores e a Opensoft com mais de 60 utilizadores".

 

4. Chefes são ligeiros no controlo dos acessos

"Verificou-se que o responsável pela Área de Segurança Informática (ASI) e a coordenadora da Área de Gestão de Impostos, a desempenhar funções de Subdiretora Geral de Sistemas de Informação (SDGSI) mantêm um reduzido grau de formalização de procedimentos, em especial no que diz respeito aos pedidos para identificação dos funcionários que acederam aos dados fiscais de certos contribuintes - ausência de solicitação escrita, recurso ao meio telefónico e entrega de documentos em mão, sem o correspondente registo - atendendo em particular à possibilidade de estes dados serem utilizados para procedimento disciplinar ou criminal. "

 

5. Acessos são dados sem grandes regras

"É notório não existir uma política de gestão de perfis de acesso que respeite o princípio da necessidade, assumindo-se genericamente que quase todos os utilizadores têm necessidade de aceder a quase tudo. (...) Deste modo, o risco de acesso abusivo aumenta substancialmente, tornando-se mais difícil controlar a atividade do universo dos utilizadores. É, pois, manifesta a falta de ação preventiva por parte da AT, que salvaguarde a privacidade de cada um e de todos os cidadãos, quando está em causa informação particularmente sensível".

 

6. Fisco não controla, limita-se a reagir a denúncias e a notícias

"A AT não realiza qualquer análise periódica de 'logs' [acessos] para detetar eventuais desvios nem realiza qualquer outro tipo de controlo regular (ou irregular) dos acessos efetuados. Limita-se a verificar a posteriori, na sequência de queixas ou de notícias publicadas, se houve acessos injustificados, e mesmo esse controlo verificou-se ser deficiente ao não incluir todas as aplicações. Ora esta situação não é de todo admissível, pois consubstancia uma demissão da AT das suas responsabilidades e obrigações legais, não acautelando devidamente a proteção dos dados pessoais dos contribuintes."

 

7. Chefes apagam emails que não podem apagar

"Tal é revelador da importância diminuta atribuída à segurança da informação. Por outro lado, é notório que mesmo dirigentes de topo da AT, com responsabilidades na área dos sistemas de informação, desrespeitam de forma evidente a própria política de segurança, ao apagarem mensagens institucionais de correio eletrónico sobre assuntos relevantes e particularmente sensíveis, em espaço de dias, semanas ou meses, quando estão obrigados a guardar tais mensagens pelo período de cinco (5) anos".



8. Sim, a lista VIP foi proposta

"Em 30 de setembro de 2014, o responsável pela ASI elaborou uma proposta, denominada 'Controlo do Acesso aos Dados - alarmística em caso de consulta/alteração de dados sensíveis', que consistia na configuração de alertas a serem espoletadas em caso de 'verificação de consulta ou alteração de dados de determinados contribuintes que, na ausência de melhor conceito, denominados VIP'. Para tal, considerava-se 'indispensável a identificação dos NIFs que ficarão sobre [SIC] monitorização, sugerindo-se que, numa fase inicial, se incluam, pelo menos, os principais titulares dos órgãos de soberania'."

 

9. Sim, a lista VIP foi implementada

"Conclui-se que foi levado à prática, durante cerca de quatro meses, um sistema de alarmística, baseado numa lista de contribuintes, donde resultou a comunicação formal de dois alertas (...). Do conteúdo das comunicações trocadas entre a ASI e a DSAI resulta claro que o sistema de alarmística esteve em efetiva produção". (...) "Não se compreende a adoção de um sistema exclusivo para controlo dos acessos a um grupo específico de contribuintes.

 

10. Os VIP: Portas, Passos, Núncio e Cavaco

"A resposta veio o dia 24 de fevereiro de 2015, após insistência, informando qual o 'universo sujeito a alerta VIP', pelo que elenca quatro nomes e respetivos NIFs ('Passos Coelho', 'Cavaco Silva', 'Paulo Portas', 'Paulo Núncio´)"

 

11. Passos Coelho é o mais vasculhado

"O resultado desta pesquisa indicou 137 acessos aos dados fiscais do primeiro-ministro, efetuados por 41 utilizadores distintos, e 9 acessos aos dados fiscais do Presidente da República, efetuados por 4 utilizadores. Estas pesquisas foram apenas relativas à aplicação de IRS."

 

12. Houve funcionários protegidos nas investigações?

"Apurou-se que nem todos os utilizadores que acederam aos dados fiscais do Primeiro-Ministro e do Presidente da República foram objeto de reporte à Direção dos Serviços de Auditoria."

Assume "especial gravidade o facto detetado pela CNPD de nem todos os acessos aos dados fiscais do primeiro-ministro e do Presidente da República terem sido reportados pela ASI à DSAI para o competente processo de auditoria, desconhecendo-se a razão por que tal não foi feito".

 

13. Acessos serão ilegais

"A inspeção levada a cabo pela CNPD permitiu confirmar a existência de um conjunto de acessos claramente excessivo e indiciador de ilicitude. Todavia, tendo-se verificado que os procedimentos e práticas institucionalizadas na AT não só promovem como facilitam o acesso indiscriminado aos dados de contribuintes, entende a CNPD que o juízo de censura último não pode deixar de recair sobre a AT".

"Cumpre denunciar ao Ministério Público as infrações penais de que a CNPD tenha conhecimento (...). Tendo sido recolhidas provas que podem indiciar ilícitos criminais, a CNPD determina a extração de certidões de todo o processado a remeter ao Ministério Público"

 

14. Relatório publicita números de contribuinte de Cavaco, Passos, Portas e Núncio

O documento público sobre a inspeção da Comissão de Proteção de Dados relativa à "lista VIP" expõe os pormenores da investigação, incluindo um e-mail da Autoridade Tributária onde são revelados os números de contribuinte de Cavaco Silva, Passos Coelho, Paulo Portas e Paulo Núncio.

 

MAIS DESENVOLVIMENTO NO EXPRESSO DIÁRIO. SAI ÀS 18H00