Por ocasião da febre do IVAUCHER decidi também fazer uso do meu direito a ser reembolsada por compras efetuadas nos estabelecimentos aderentes IVAUCHER, mas sem antes, conhecer a política de privacidade da entidade que gere a plataforma. Da sua leitura, soaram-me vários alertas e destaco dois que me pareceram importantes abordar: a identificação do responsável pelo tratamento e o consentimento como fundamento de licitude do tratamento.
A plataforma IVAUCHER é um programa desenvolvido pelo Governo nos termos do disposto na Lei n.º 75/-B/2020, de 31 de dezembro (Lei do Orçamento do Estado), o Decreto Regulamentar n.º 2-A/2021, de 28 de maio, alterado pelo Decreto Regulamentar n.º 6-A/2021, de 8 de setembro.
Segundo o art.º 405.º da Lei do Orçamento de Estado, foi criado um mecanismo que permite ao consumidor final acumular o valor correspondente à totalidade do IVA suportado em consumos nos setores do alojamento, cultura e restauração e, entretanto, nos combustíveis, durante um trimestre, utilizando esse valor, durante o trimestre seguinte, em consumos nesses mesmos setores.
O disposto no art.º 3.º do Decreto Regulamentar n.º 2-A/2021, de 28 de maio refere a Autoridade Tributária enquanto entidade responsável pelo apuramento do montante de benefício acumulado ao abrigo do programa do IVAUCHER; a Direção-Geral do Tesouro e Finanças (DGTF) enquanto entidade responsável pela gestão do processamento dos valores pecuniários do benefício devido ao abrigo do programa IVAUCHER. À AT, a DGTF e o IGCP, E. P. E., entidades responsáveis pela garantia da correta utilização dos recursos públicos afetos ao programa «IVAUCHER; à Agência de Gestão da Tesouraria e da Dívida Pública - IGCP, E. P. E. (IGCP, E. P. E.), como responsável pelas operações bancárias necessárias ao processamento dos valores pecuniários do benefício no âmbito do programa. O mesmo decreto regulamentar prevê ainda a participação no programa «IVAucher» da entidade operadora do sistema, contratada pelo agrupamento de entidades indicadas, enquanto responsável pelo processamento de pagamentos eletrónicos através de transações com cartões bancários.
Por sua vez, o art.º 4.º do decreto regulamentar elenca as funções das entidades gestoras em causa: à AT, DGTF e IGCP, E.P.E. compete garantir a correta utilização dos recursos públicos afetos ao programa IVAUCHER. Por sua vez, AT acumula ainda a função de conceção e implementação de um modelo de controlo do benefício que assegure um adequado sistema de controlo interno, bem como a disponibilização de informação que permita o controlo e a auditoria do programa e a celebração dos protocolos necessários para o programa IVAUCHER; à DGTF compete ainda controlar os movimentos financeiros, designadamente, o respetivo valor global, e autorizar os correspondentes débitos associados à conta no IGCP, E. P. E., afeta ao programa IVAUCHER, enquanto entidade gestora do capítulo 60 do Orçamento do Estado.
A definição de responsável pelo tratamento segundo o disposto no n.º 7 do art.º 4.º do Regulamento Geral sobre a Proteção de Dados: “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras determina as finalidades e os meios de tratamento de dados pessoais (…)”. Se o Estado, através do seu órgão executivo determina as finalidades conforme a lei do orçamento de Estado para 2021 e indica quais os meios para o tratamento dos dados para este programa, como pode agora a SALTPAY PORTUGAL, S.A., e a SALTPAY IIB HF (sediada na Islândia, parte do Espaço Económico Europeu onde se aplica o RGPD) vir dizer que são responsáveis conjuntas pelo tratamento quando são apenas um meio para os fins definidos anteriormente pelo Estado?
Do meu ponto de vista, ambas as entidades SALTPAY são subcontratantes do Estado Português atendendo à própria nomenclatura de subcontratante no n.º 8 do art.º 4.º do RGPD “pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes”.
Como se não bastasse a própria política de privacidade refere expressamente que o fundamento de licitude reside no consentimento. Ora o n.º 11 do art.º 4.º do RGPD diz-nos que o consentimento do titular dos dados se positiva numa manifestação de vontade livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento. Foi exatamente esta definição que a Lei do Orçamento de Estado enuncia no disposto no n.º 4 do art.º 405.º da Lei do Orçamento de Estado como condição para aceder a este programa.
O Decreto Regulamentar refere que “são elegíveis para beneficiar do programa os consumidores pessoas singulares que adiram ao programa, mediante aceitação dos respetivos termos de adesão junto da entidade operadora do sistema”. Todos os cidadãos que pretendam beneficiar dando o seu consentimento deparam-se com a nuance de que o seu consentimento não é válido, uma vez que, para beneficiar deste programa é necessário aderir. Caso eu não adira não posso ser beneficiada. O consentimento em causa é condicionado.
O n.º 4 do art.º 7.ºdo RGPD diz-nos que na avaliação da liberdade do consentimento é necessário verificar com a máxima atenção se, designadamente a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para tratamento dos dados pessoais que não é necessário para a execução desse contrato, e neste caso em concreto, desse benefício.
Ora, não é preciso um grande raciocínio para concluirmos que este consentimento é condicionado pela obtenção do benefício: o reembolso do valor em sede de IVAUCHER. Quase como se de uma verdade lapaliciana
se tratasse, este consentimento não é livre e, portanto, não poderá ser um fundamento de licitude.
Não me querendo alongar muito mais quanto a este assunto, fiquei incrédula com tanta incongruência e os alarmes soaram demasiado alto para, eventualmente, continuar a minha senda do reembolso.
É claro, que cabe a cada um avançar ou não na plataforma, mas cabe a quem de direito cumprir com a conformidade com o RGPD e quanto a isso, no caso de incumprimento, a CNPD deve atuar, e as coimas, essas, que por mais elevadas que sejam, não são reembolsáveis.
|