Blogue Insónias

Uso abusivo de dados pessoais constantes de uma base de dados obsoleta na titularidade do Banco de Portugal, migrada com o silo da Autoridade Tributária

E se dessem conta de que “alguém” tinha alterado o IBAN associado ao vosso NIF no portal das finanças?
Uma alteração, aparentemente, “inexplicável“, mas com um registo de «IBAN confirmado» na Vossa página pessoal da Autoridade Tributária?

«Confirmado»?

Por quem?

Pois…

Vamos tentar perceber a “inexplicabilidade” de alterações operadas “miraculosamente”.
Uma alteração assim, em teoria, só poderia ser efectivada pela conjugação de NIF+password associada, na página pessoal de cada cidadão singular. Só o próprio, ou, como este ano a entrega de IRS passou a ser obrigatoriamente feita online, só interposta pessoa mandatada para esse efeito.
Mas, e se…
Acompanhem a seguinte questão.
O cidadão A deu conta de que “alguém” procedeu à alteração do IBAN associado ao seu NIF. Alarmado, decidiu-se a investigar possibilidades.
Eis que dá conta de três situações extremamente graves:
1) o IBAN que foi dado como confirmado na AT, não pelo dito cidadão A sublinho, só pode ter sido por parte do Banco de Portugal. Efectivamente aquele IBAN que na demonstração do IRS2017 aparece como “confirmado”, terá sido pertença do cidadão.
Mas só no passado.
Só até 2011, altura em que o Cidadão A constata que a conta foi encerrada, conforme mapa (dele e que qualquer um pode retirar sobre si próprio) da Base de dados de contas que o Banco de Portugal guarda.
Curiosamente, o acesso a este mapa faz-se por autenticação do NIF+password associada, tal como para acesso ao Portal das finanças. (imagem infra)

Sendo suave neste momento, a gravidade estará, desde logo, numa comunicação do Banco de Portugal completamente errada, completamente a destempo, pois que nem verificaram o encerramento da conta conforme consta desse mapa, pessoal, violando grosseiramente pressupostos de direitos fundamentais vertidos no Artigo 35.º da CRP;

2) Igualmente violador da autodeterminação informacional do cidadão A, com tutela constitucional e decorrente de uma leitura concretizada dos art.ºs 26/1 e 35.º ambos da CRP, o cidadão deu conta de que é o Banco de Portugal que 1) identifica o IBAN associado a um dado NIF diretamente à Autoridade Tributária, mas sem qualquer intervenção por parte da pessoa titular desse número de identificação fiscal; 2) é o mesmo BdP que determina onde o sujeito passivo daquele dado NIF pretende o putativo reembolso de IRS. Sim, porque verificando algumas interacções processadas desde, pelo menos, 2012 até ao do ano fiscal de 2016, todos foram feitos para o único IBAN que o cidadão A tinha associado à conta à ordem numa dada entidade bancária;

3) Finalmente, e como até agora nunca houve qualquer problema quanto ao IBAN associado ao sujeito passivo, o tal Cidadão A, como é que quer o BdP quer a Autoridade tributária pisam e repisam os dados pessoais associados a determinados NIFs – de pessoas particulares – e fazem a migração de tais bases de dados sem qualquer tipo de controlo por parte dos visados?
Pior, como o acesso ao mapa da base de dados na titularidade do Banco de Portugal é feito através da conjugação NIF+Password associado ao portal das finanças,
ocorre-nos a seguinte questão: Qual é a segurança da página pessoal de cada um de nós detida pela Autoridade Tributária, quando se processam alterações desta envergadura, ainda por cima completamente erradas, sem qualquer conhecimento do cidadão A? Foi o sistema informático ou foi mais um erro de pebkac, sendo que aqui foi o zeloso funcionário da AT que não deu conta de que o IBAN correspondia a uma conta bancária encerrada?

Pior, se, em teoria, apenas através da conjugação “milagrosa” Nif+password é que uma alteração tal poderia ser feita, será que esta alteração, não respeitando a autenticação necessária para o efeito, não consuma criminalidade informática, por exemplo, nos termos dos Art.º3/1 e 2 e Art.º 6 da Lei do Cibercrime, Lei n.º109/2009 de 15/9, respectivamente, o crime de falsidade informática e acesso ilegítimo?

Grave!

Extremamente preocupante.

A menos de 2 dias da entrada em vigor do Regulamento Geral de Protecção de Dados, ao que parece, isto vai para aqui uma selva

Resta saber se, e se de facto se confirmar a isenção de responsabilidade de entidades públicas ao abrigo da “famosa” Lei de execução do Regulamento Geral de Protecção de Dados que se encontra em debate (e por isso, uma chamada à colação dos respectivos grupos parlamentares), casos assim não deveriam colocar sérias dúvidas quanto a essa, putativa, isenção que o legislador quer concretizar?

Como pensa ele pôr cobro, ou na ordem, o tratamento de dados pessoais, que assim se processam, de forma abusiva por parte de entidades públicas?

Bem-vindos à SELVA!!

PS: Não, não é caso teórico. É mesmo caso prático. Real. Verdadeiro.

Gosto(6)Não Gosto(0)
Exit mobile version