A CpC: Iniciativa Cidadãos pela Cibersegurança está a desenvolver, desde maio de 2025, um projeto experimental de auditoria cidadã à privacidade digital nos sites das câmaras municipais em Portugal. O objetivo é identificar, através de métodos abertos e não intrusivos, possíveis violações do Regulamento Geral sobre a Proteção de Dados (RGPD) resultantes da publicação inadvertida de dados pessoais em documentos públicos disponíveis na Internet.
A metodologia baseia-se em consultas automáticas ao motor de busca Google, conhecidas como Google Dorking ou Google Hacking, que permitem detetar ficheiros públicos contendo expressões como “Nome completo”, “CC/BI”, “NIF” ou “password”. Nenhum resultado é aberto nem descarregado — o trabalho consiste apenas em mapear ocorrências potenciais, para posterior verificação manual e notificação responsável às entidades afetadas.
Cada câmara municipal é analisada de forma sistemática, usando combinações de pesquisa do tipo:
site:[domínio] intext:”nome completo” filetype:pdf,
site:[domínio] intext:”CC/BI:”,
site:[domínio] intext:”NIF:”,
site:[domínio] intext:”password:” filetype:pdf.
Os resultados permitem construir um indicador de exposição de dados pessoais, atribuindo uma pontuação de gravidade consoante o tipo de informação encontrado (por exemplo, números de identificação civil, fiscais ou credenciais visíveis). Casos de maior risco serão comunicados de forma discreta e responsável às autarquias em causa, recomendando medidas técnicas e organizativas para correção e prevenção futura.
Este projeto tem um caráter exclusivamente educativo, preventivo e cívico. A CpC não acede, armazena nem divulga qualquer dado sensível. O propósito é sensibilizar para a importância da ciberhigiene institucional e da proteção da privacidade dos cidadãos em plataformas públicas, promovendo uma cultura de transparência acompanhada de segurança digital.
Acreditamos que um Estado digital só é verdadeiramente moderno quando respeita o direito à privacidade e garante a segurança dos dados pessoais de todos os cidadãos. Este projeto da CpC procura precisamente contribuir para esse objetivo.
A CpC felicita calorosamente as 90 câmaras municipais — entre as 308 analisadas — que obtiveram 0 ocorrências de passwords ou potenciais violações do RGPD nos seus sites. Este resultado não é casual: reflete práticas responsáveis de gestão de informação, políticas claras de publicação e uma cultura de ciberhigiene institucional que protege a privacidade dos cidadãos.
O desempenho destas autarquias é um exemplo concreto de boa governação digital. Demonstram que é possível conciliar transparência e serviço público com a salvaguarda de dados pessoais, através de procedimentos simples e replicáveis — revisão prévia de documentos, controles de acesso, formação dos responsáveis pelos conteúdos e fluxos de publicação bem definidos.
A CpC saúda o compromisso destas câmaras com a proteção da privacidade e encoraja-as a partilhar as suas práticas internas como referência para outras autarquias. O reconhecimento público aujourd de hoje pretende inspirar um conjunto mais alargado de órgãos locais a seguir o mesmo caminho, elevando o padrão de responsabilidade digital em todo o país.
Estas melhores câmaras municipais são:
Mas 26 câmaras municipais, contudo, tiveram a pontuação negativa máxima de 1000 pontos (!): o que significa que quando uma câmara municipal apresenta muitos pontos negativos nestes indicadores, isso significa que o seu site contém diversos ficheiros públicos — geralmente documentos PDF — que expõem dados pessoais de cidadãos, o que representa uma violação potencial do RGPD e um risco real de privacidade e segurança.
A presença da string “Nome completo” sugere que a autarquia publica documentos com identificação direta de pessoas, como listas de inscrições, candidaturas, bolsas ou apoios sociais, muitas vezes sem anonimização. Sozinho, este fator já levanta preocupações de conformidade, pois o RGPD exige que apenas os dados estritamente necessários sejam divulgados.
Quando surgem dados de CC ou BI, o risco agrava-se: estes números são identificadores únicos de cidadãos portugueses, protegidos por lei. A sua divulgação pública pode facilitar roubo de identidade, fraudes administrativas ou acesso indevido a outros serviços públicos e bancários.
A existência de NIF de particulares é outro sinal de falha grave. O número de contribuinte é considerado dado pessoal, e a sua publicação sem base legal (por exemplo, fora do contexto de entidades coletivas ou concursos públicos) constitui uma violação direta do princípio da limitação de finalidade do RGPD. Mesmo que a intenção seja a transparência, a divulgação de NIF individuais permite traçar perfis, cruzar dados fiscais e comprometer a privacidade de cidadãos.
O indicador mais crítico é o de passwords publicadas no site. Isto representa uma falha de segurança pura e simples: qualquer documento com palavras-passe expostas indica que a câmara não tem controlo sobre o tipo de ficheiros que são colocados online. Estas passwords podem permitir o acesso indevido a sistemas internos, contas de email, bases de dados ou plataformas administrativas, com risco de intrusão ou destruição de informação.
Em resumo, muitos pontos negativos significam que a autarquia não cumpre boas práticas de ciberhigiene, não faz revisão adequada dos conteúdos publicados e não implementa mecanismos técnicos de filtragem ou anonimização. Além de comprometer a privacidade dos cidadãos, estas falhas prejudicam a confiança pública e podem expor a câmara a sanções da Comissão Nacional de Proteção de Dados (CNPD), responsabilidades legais e danos reputacionais.
Um site municipal deve equilibrar transparência administrativa com proteção rigorosa dos dados pessoais, garantindo que a informação pública serve o interesse coletivo sem colocar em risco a segurança individual.
Quanto aos totais de ocorrências destas buscas nos sites das câmaras municipais portuguesas os resultados indicam:
– “nome completo” filetype:pdf → 623 ocorrências. Sugere a presença de documentos públicos com campos de identificação individual (por exemplo, formulários, listagens ou declarações) que podem conter nomes de cidadãos.
– “CC/BI:” → 21 ocorrências. Revela a existência de documentos onde consta o número de Cartão de Cidadão ou Bilhete de Identidade, o que configura um potencial risco direto de violação de dados pessoais sensíveis.
– “CC/BI nº:” → 11 ocorrências. Complementa o indicador anterior e reforça a ideia de que ainda há ficheiros publicados com identificadores civis.
– “NIF:” → 1 443 ocorrências. Este é o valor mais preocupante, pois mostra que muitos sites municipais contêm documentos PDF com números de contribuinte de pessoas individuais (empresas e organismos estatais não foram considerados) — alguns provavelmente relativos a pessoas singulares.
– “Contribuinte” → 1 955 ocorrências. Representa a maior incidência de termos associados a dados fiscais, incluindo casos legítimos (empresas, associações) mas também potenciais exposições de NIF individuais.
– “password:” filetype:pdf → 21 ocorrências. Indica a presença de documentos que podem conter senhas, o que constitui uma vulnerabilidade grave, mesmo que apenas residualmente encontrada.
A análise global evidencia que, embora a maioria das autarquias não apresente falhas críticas, persistem riscos significativos de exposição de dados fiscais e identificadores pessoais, em especial associados às palavras-chave “NIF” e “Contribuinte”. Estes resultados reforçam a necessidade de políticas uniformes de revisão e saneamento de documentos antes da sua publicação nos sites institucionais.
Em síntese, o levantamento mostra uma realidade mista: avanços claros em muitas câmaras (como as 90 com zero ocorrências) mas ainda lacunas sérias na proteção de dados em várias outras, sobretudo no tratamento de ficheiros PDF indexáveis pelo Google. O estudo confirma que a segurança e a privacidade digital continuam a depender, em grande medida, da formação e da vigilância diária de quem publica informação nos portais municipais.
Iniciativa CpC: Cidadãos pela Cibersegurança 
Deixe uma resposta para Dados Pessoais de Cidadãos em sites de Câmaras Municipais: Denúncia enviada à CNPD – Iniciativa CpC: Cidadãos pela Cibersegurança Cancelar resposta