A sua imagem e a imagem dos seus filhos nas redes sociais das autarquias

Quando uma junta de freguesia ou câmara municipal publica uma fotografia nas suas redes sociais — de uma festa de bairro, de uma visita a uma escola, de uma atividade desportiva — pode estar a tratar dados pessoais sem base legal para o fazer. E quando essa fotografia inclui crianças com o rosto visível, o problema agrava-se consideravelmente.

A CpC: Cidadãos pela Cibersegurança alerta para esta realidade, que afeta diretamente os cidadãos de Lisboa e de todo o país: as autarquias locais publicam regularmente fotografias com rostos reconhecíveis de menores e de trabalhadores, sem que exista consentimento válido para esse efeito — e muitas vezes sem sequer terem consciência de que estão a violar a lei.

A fotografia é um dado pessoal. O rosto de uma criança é um dado biométrico.

O Regulamento Geral sobre a Proteção de Dados (RGPD) é claro: qualquer imagem que permita identificar uma pessoa constitui um dado pessoal. Quando essa imagem permite identificar uma criança, estamos perante dados de uma categoria que exige proteção reforçada — dados biométricos de um menor.

A Comissão Nacional de Proteção de Dados (CNPD) tem reiterado que a imagem e a voz constituem dados biométricos, e que o consentimento dos pais, mesmo quando formalmente prestado, não pode ser interpretado de forma extensiva. Uma autorização assinada para uma atividade desportiva ou para uma visita escolar não equivale a uma autorização para publicar fotografias da criança nas redes sociais da autarquia — muito menos para fins de promoção institucional ou, em período eleitoral, de valorização do mandato de um eleito.

Isto não é uma opinião da CpC: é a posição da autoridade nacional competente para fiscalizar o cumprimento do RGPD em Portugal.

O que aconteceu em Arouca em 2025 pode acontecer em qualquer freguesia de Lisboa

Em fevereiro de 2025, a CNPD abriu um processo formal de averiguação à Câmara Municipal de Arouca (processo AVG/2025/271). O motivo: a publicação de centenas de fotografias de crianças no Facebook da câmara, captadas por fotógrafo ao serviço do município durante a entrega de um livro de colorir do Arouca Geopark. As imagens mostravam políticos e vereadores a posar com alunos de várias escolas, com rostos em grande plano e sem qualquer proteção da identidade dos menores.

Vários encarregados de educação declararam publicamente que não tinham dado qualquer autorização para esse efeito. A CNPD confirmou que a publicação constitui um tratamento de dados pessoais que carece de fundamento legal válido — e que, tratando-se de dados de menores, esse fundamento é o consentimento explícito dos pais, para aquela finalidade específica.

O modelo de situação de Arouca não é um caso isolado nem geograficamente distante. Acontece regularmente nas juntas de freguesia de Lisboa: visitas de eleitos a escolas, distribuição de materiais, festas de bairro, atividades desportivas. A diferença entre Arouca e Lisboa pode ser apenas a de uma denúncia que ainda não chegou à CNPD.

O que pode fazer como cidadão

Se encontrar fotografias com o rosto reconhecível do seu filho publicadas nas redes sociais de uma junta de freguesia sem que tenha dado autorização para esse efeito, tem direito a agir:

Pode contactar a junta de freguesia a exercer o seu direito de oposição ao tratamento (artigo 21.º do RGPD) e solicitar a remoção imediata das imagens. Este direito não depende de justificação: basta invocá-lo.

Pode apresentar uma reclamação à CNPD através do portal disponível em cnpd.pt. A CNPD tem poderes de investigação e de aplicação de coimas.

Pode também contactar a CpC, que tem acompanhado situações deste tipo e pode ajudá-lo a enquadrar a situação e a redigir a comunicação adequada.

O mesmo se aplica a trabalhadores das juntas de freguesia: qualquer funcionário cujas fotografias sejam publicadas em contexto de serviço sem consentimento explícito e informado tem o mesmo direito de oposição e os mesmos meios de reclamação.

O que esperamos das autarquias

A CpC considera que as juntas de freguesia de Lisboa — e as autarquias portuguesas em geral — devem adotar, sem demora, um conjunto de práticas mínimas de conformidade com o RGPD na sua comunicação digital:

Nunca publicar rostos reconhecíveis de crianças sem consentimento específico, documentado e referente àquela publicação concreta. Autorizações genéricas não são suficientes.

Anonimizar sistematicamente os rostos de menores em todas as fotografias antes da publicação. Existem ferramentas gratuitas para o efeito. Não fazê-lo não é uma questão de falta de meios.

Suspender qualquer publicação de imagens com crianças identificáveis em período eleitoral ou de pré-campanha.

Não publicar imagens de trabalhadores sem consentimento prévio, livre e informado — tal como já faz, de forma exemplar, a Junta de Freguesia de Alvalade.

Rever os arquivos das suas redes sociais e remover ou anonimizar os conteúdos já publicados que não cumpram estes requisitos. A conformidade com o RGPD não se aplica apenas ao futuro.

Designar um responsável interno — ou ativar o Encarregado de Proteção de Dados (EPD) já existente — com competência para avaliar conteúdos antes da publicação e responder a reclamações de cidadãos.

Uma nota final

O direito à imagem não pertence aos pais. Pertence à criança. O Tribunal da Relação de Évora estabeleceu, em 2015, que os próprios pais têm um dever de abstenção na divulgação pública de fotografias que permitam identificar os filhos nas redes sociais, precisamente para proteger a sua privacidade, os seus dados pessoais e a sua segurança no espaço digital.

Se este dever recai sobre os pais, recai com ainda maior razão sobre as entidades públicas que gerem comunidades e que têm, por definição, uma responsabilidade acrescida perante os cidadãos que servem.

A cibersegurança e a proteção de dados não são matérias técnicas reservadas a especialistas. São direitos de todos — e começam nas escolhas que as instituições mais próximas de nós fazem todos os dias.