Iniciativa CpC: Cidadãos pela Cibersegurança

Análise de Conformidade RGPD: Práticas de Tratamento de Dados Pessoais na Rádio Popular

Published by

Rui Martins

on

Introdução

Desde há algum tempo que comecei a receber mensagens “promocionais” da Rádio Popular no meu telemóvel. A empresa esteve recentemente no foco mediático depois de se saber que era uma das clientes da famigerada Spinumviva, razão pela qual decidi levar este assunto mais para diante e investigar as práticas de recolha e tratamento de dados pessoais desta empresa.

Investigação Inicial: Origem dos Dados

Verificação de Registo na Plataforma

Em primeiro lugar, procurei verificar se, no passado, teria registado o meu contacto na área de clientes da empresa em https://www.radiopopular.pt/utilizadores/. Não tinha registo da password no meu gestor de passwords, pelo que, provavelmente, nunca o tinha feito.

Utilizei a opção “Recuperar palavra-passe” para testar se o meu email estaria na base de dados (se estivesse, poderia estar também o meu número de telemóvel), mas a mensagem que surgiu foi clara: “O email que inseriu não é válido ou não existe.”

Questão fundamental: Se nunca me registei na plataforma, como obteve a Rádio Popular o meu número de telemóvel?

Análise de Possíveis Fontes de Dados

Considerei a possibilidade de os dados terem origem em exfiltrações de dados presentes na internet, como as que afetaram o LinkedIn, Facebook ou TAP, para citar apenas algumas. Através do https://app.dehashed.com/search, verifiquei algumas dessas bases de dados comprometidas, mas o meu número de telemóvel não constava em nenhuma delas.

Descoberta Preocupante: Associação com Dados Empresariais

Num dos SMS recebidos constava um link (prática questionável do ponto de vista da cibersegurança) para o site https://remove.me, hospedado num servidor da Amazon nos EUA. Ao clicar neste link para efetuar a remoção das comunicações, surgiu uma informação surpreendente: o nome da empresa onde trabalho.

Esta descoberta levanta questões graves sobre a origem e o tratamento dos dados:
Sei que a minha empresa não forneceu o meu número pessoal à Rádio Popular (confirmei)
Como obtiveram a associação entre o meu contacto pessoal e a minha entidade empregadora?
Onde estão a adquirir estes dados de “leads”?


Análise da Conformidade Legal

Política de Privacidade Deficiente

A análise da “Política de Privacidade” disponível em https://www.radiopopular.pt/pagina/politica-de-privacidade/ revelou várias inconsistências:

Ausência de contactos do Encarregado de Proteção de Dados: Embora a política mencione que é possível exercer direitos através do EPD, cujos contactos “se encontram no final desta Política”, na realidade, nenhum contacto estava disponível.

Redirecionamento inadequado: Clicar em “Contactos” remetia para a página de criação de conta (https://www.radiopopular.pt/utilizadores/?urlRedir=contactos/), contrariando a intenção de exercer direitos de proteção de dados.

Possíveis Violações Identificadas do RGPD

A associação do número de telefone pessoal a uma empresa onde trabalho pode violar o Regulamento Geral sobre a Proteção de Dados (RGPD) em várias dimensões:

1. Ausência de Base Legal para o Tratamento

Segundo o artigo 6.º do RGPD, qualquer tratamento de dados pessoais necessita de uma base legal válida. No caso presente:

Não existe consentimento explícito para o tratamento dos dados pessoais
Não há necessidade contratual que justifique a recolha e associação dos dados
Questionável interesse legítimo da empresa, especialmente considerando a desproporcionalidade da prática

2. Violação do Princípio da Minimização de Dados

O artigo 5.º, n.º 1, alínea c) do RGPD estabelece que os dados devem ser “adequados, pertinentes e limitados ao que é necessário para as finalidades para as quais são tratados”. A associação de contactos pessoais com dados empresariais excede claramente o necessário para fins promocionais standard.

3. Falta de Transparência e Informação

O RGPD impõe o dever de informar os titulares sobre:

Que dados são recolhidos e de que fontes
Para que finalidades específicas
Com quem são partilhados os dados
Quanto tempo são conservados

A Rádio Popular falha em todos estes aspetos, não fornecendo informação clara sobre a origem dos dados ou os critérios de associação utilizados.

4. Violação do Direito à Informação

O artigo 14.º do RGPD é particularmente relevante quando os dados não são obtidos diretamente junto do titular. A empresa deveria ter informado sobre:

A origem dos dados pessoais

Se os dados provêm de fontes acessíveis ao público

As categorias de dados pessoais em causa

A identidade dos responsáveis pelo tratamento

Riscos e Impactos Identificados

Riscos para os Direitos dos Titulares

A associação indevida de um número pessoal a uma entidade empregadora pode:

Expor a pessoa a contactos indesejados e potencialmente comprometer a sua privacidade

Comprometer a separação entre vida pessoal e profissional, criando confusão sobre contextos e responsabilidades

Facilitar o acesso não autorizado a outros dados, aumentando o risco de violações de privacidade mais amplas

Criar perfis de utilizador sem consentimento, violando princípios fundamentais de autodeterminação informacional

Violação de Direitos Fundamentais

Esta prática pode configurar uma violação grave do direito à reserva da vida privada consagrado no artigo 8.º da Carta dos Direitos Fundamentais da União Europeia, afetando os direitos e liberdades fundamentais da pessoa.

Práticas de Cibersegurança Questionáveis

Para além das violações de proteção de dados, identificaram-se práticas de cibersegurança inadequadas:

Inclusão de links em SMS promocionais: Prática desencorajada por facilitar ataques de phishing

Redirecionamento para servidores externos (Amazon EUA) sem transparência adequada

Falta de mecanismos seguros para exercício de direitos de proteção de dados

Recomendações e Próximos Passos

Para os Titulares de Dados que – como eu – recebam SMS indesejados da Radio Popular:

Documentar todas as comunicações recebidas

Exercer o direito de acesso para conhecer a origem e extensão dos dados tratados

Solicitar a eliminação de dados tratados ilegalmente

Apresentar queixa à Comissão Nacional de Proteção de Dados (CNPD)

Para a Rádio Popular

Rever e corrigir a Política de Privacidade, incluindo contactos adequados do EPD

Identificar e documentar todas as fontes de dados pessoais

Implementar mecanismos transparentes para exercício de direitos

Cessar práticas de marketing baseadas em dados obtidos sem base legal adequada

Conclusão

O caso da Rádio Popular pode ilustrar práticas sistemáticas de violação do RGPD que vão além de simples irregularidades técnicas. A associação não consentida de dados pessoais com informações empresariais, combinada com a falta de transparência sobre a origem dos dados e a ausência de mecanismos adequados para exercício de direitos, configura um padrão preocupante de desrespeito pelos direitos de proteção de dados.

Esta situação evidencia a necessidade de maior fiscalização e aplicação efetiva do RGPD, bem como a importância de os cidadãos conhecerem e exercerem ativamente os seus direitos em matéria de proteção de dados pessoais. Todas as práticas de marketing digital devem ser enquadrada dentro dos limites legais estabelecidos pelo RGPD, não podendo servir de justificação para violações sistemáticas dos direitos de privacidade e proteção de dados dos cidadãos.

enviada à CNPD.
Rui Martins (fundador da CpC: Iniciativa Cidadãos pela Cibersegurança)

Deixe um comentário

Previous Post
Next Post
Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

Anterior

Your message has been sent

Artigos recentes

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella

Iniciativa CpC: Cidadãos pela Cibersegurança

Missão CpC: Cidadãos pela Cibersegurança

Empoderar indivíduos e comunidades para navegar com segurança no mundo digital.

A nossa visão: Um mundo digital onde todos estejam em segurança.

Tópicos

UTILITÁRIO

SIGA-NOS

Site no WordPress.com.