Não foi apenas a Rússia. A lista de países aos quais a Câmara Municipal de Lisboa disponibilizou indevidamente, até 2021, os nomes de manifestantes inclui Líbia, China, Hungria, Ucrânia, Bielorrússia, Colômbia, Venezuela, Chile, Brasil, Guiné-Bissau, Angola, Índia, Paquistão, Chipre, Turquia, Israel e Estados Unidos, além da Missão Diplomática da Palestina. O Tribunal Administrativo de Lisboa considera que a autarquia, então sob gestão de Fernando Medina, não apenas não tinha razão para partilhar aqueles dados pessoais como não podia fazê-lo. E sabia-o. Na verdade, a partilha de dados pessoais de ativistas com as nações contra as quais organizavam protestos parecia ser prática corrente, pelos menos entre 2019 e 2021, apesar de o RGPD estar em vigor desde o dia 25 de maio de 2018, aplicando-se aos organismos e entidades que integram a Administração Pública. E por isso considera a CML culpada, e com dolo, no caso que ficou conhecido como Russiagate.
Na deliberação, a que o SAPO teve acesso, considera-se provado que a Câmara recolheu informação de manifestantes e representantes das associações promotoras de protestos, incluindo nome, morada, "profissão, contacto telefónico, nacionalidade, data de nascimento, filiação, estado civil, número de contribuinte e de identificação civil, dados relativos a autorização de residência e, por vezes, cópias de documento de identificação civil".
Entre 2018 e junho de 2021, a autarquia então liderada por Fernando Medina enviou esse tipo de informação em 111 ocasiões — protestos, manifestações, comícios, desfiles, concentrações ou ajuntamentos públicos —, partilhando os dados pessoais de promotores ou manifestantes não apenas com diversos órgãos do governo (sobretudo MAI, mas também PM e outros ministérios), Assembleia e Presidência da República e forças de segurança (diversificando a notificação por diversos gabinetes da PSP, PJ, Polícia Municipal, Proteção Civil, gabinetes municipais, etc.). E além de os recolher e partilhar, contrariamente ao que dita a lei de Proteção de Dados (RGPD), ainda os conservou em arquivo sem serem submetidas aos tratamentos devidos pelo regime de proteção de dados.
O Tribunal Administrativo de Lisboa considerou improcedentes os argumentos em que a CML baseava o recurso e decidiu pela aplicação de uma multa de 1 milhão de euros, menos 222,5 mil euros do que o montante inicialmente previsto por considerar que estavam prescritas algumas contraordenações que levaram a Comissão Nacional de Proteção de Dados (CNPD), confirmou ao SAPO o advogado Tiago Cabanas Alves, que representou a Comissão Nacional de Proteção de Dados no caso. O despacho para notificação das partes sobre a sentença judicial de 21 de julho deste ano foi enviado ontem, sabe o SAPO, e deu já hoje entrada na CML.
Em várias dessas ocasiões, que envolveram mais de uma centena de pessoas de diversas nacionalidades, confirma o documento a que o SAPO teve acesso, os dados pessoais foram enviados aos representantes dos países contra os quais protestavam, sem dar conhecimento aos próprios de que a sua identificação seria com eles partilhada.
"A única informação transmitida aos promotores, relativamente às operações sobre os dados de que estes são titulares, consta da resposta uniformizada a acusar a receção do aviso de manifestação", lê-se na sentença, considerando-se provado que a autarquia não informava que reencaminhava dados pessoais, mas antes especificando-se que seguiam meras informações sobre os protestos para o MAI e a PSP.
Ainda de acordo com a deliberação, a que o SAPO teve acesso, considera-se que a CML "procedeu a um conjunto de operações sobre informação relativa a pessoas singulares, no exercício de uma atividade pública específica, da qual resulta necessariamente impacto na privacidade e na liberdade daquelas", tendo falhado na sua obrigação de conhecer o enquadramento legal a que estava obrigada e de ter assim posto em risco aqueles cidadãos. "O Município de Lisboa agiu de forma livre, deliberada e consciente, ao proceder à remessa das cento e onze comunicações eletrónicas, com informação relativa a pessoas singulares que subscreveram os avisos de reuniões, comícios, manifestações e desfiles, para os serviços do Município de Lisboa, os quais não tinham necessidade de conhecer aquela informação pessoal para a preparação e execução das tarefas públicas, bem sabendo que a sua conduta era proibida e sancionada por lei (...), assim como o envio para "entidades terceiras para uma finalidade não explicitada e não lícita, bem sabendo que a sua conduta era proibida e sancionada por lei".
E conclui por isso pelo dolo — "infere-se do conhecimento detido pela organização e da capacidade de modelação que esta tinha e tem quanto aos preceitos do RGPD, que podia e devia levar a cabo (como veio a fazer, embora tardiamente)" —, atribuindo a responsabilidade à autarquia mas isentando de culpas quem levou a cabo os processos. Recorde-se que, a 2 de julho de 2021, cerca de um mês após rebentar o Russiagate, Fernando Medina, então presidente da CML, decidiu afastar o responsável pela proteção de dados da autarquia. O tribunal refere agora que a ele e outros funcionários não teria de ser imputada a responsabilidade de conhecer as imposições/proibições legais que cabiam à CML.
"De igual modo, o Município de Lisboa agiu de forma livre, deliberada e consciente, por ter conservado a informação relativa aos promotores das manifestações supra identificadas, já depois de esgotada a finalidade que motivou a recolha, bem sabendo que a sua conduta era proibida e sancionada por lei", lê-se ainda no documento, onde se acrescenta que foi também de forma "livre, deliberada e consciente" que a CML não informou os titulares da informação de que partilhava e guardava os seus dados e não realizou "avaliação de impacto do tratamento de informação sobre os dados pessoais de grande sensibilidade, pelas consequências lesivas que o mesmo pode ter nos direitos fundamentais dos seus titulares, bem sabendo que a sua conduta era proibida e sancionada por lei".