De acordo com o relatório de uma inspeção realizada em março pela Comissão Nacional de Proteção de Dados (CNPD), o diretor da Área de Segurança Informática (ASI) da Autoridade Tributária, José Morujão Oliveira, apagou e-mails comprometedores enviados por si e que demonstram que a chamada lista VIP estava a funcionar em novembro do ano passado. Os técnicos da CNPD acabaram por encontrar o rasto dos e-mails apagados nos servidores da AT e aceder ao seu conteúdo através das caixas de correio dos destinatários.
A lista VIP, como ficou conhecido um sistema de alerta automático para detetar acessos indevidos aos dados fiscais do primeiro-ministro e de outras figuras consideradas como de elevado risco de exposição pelos serviços de finanças, foi montada pelo diretor da Área de Segurança Informática e foi aprovada pela sub-diretora-geral de Sistemas de Informação, Graciosa Martins Delgado, e pelo sub-diretor-geral de Justiça Tributária, José Maria Pires.
Não foram encontrados quaisquer elementos pela CNPD que indicassem que a iniciativa fosse do conhecimento do diretor-geral da Autoridade Tributária, António Brigas Afonso, ou do secretário de Estado dos Assuntos Fiscais, Paulo Núncio. Brigas Afonso e José Maria Pires acabaram por se demitir na sequência do escândalo. Paulo Núncio tem estado no centro da polémica mas Maria Luís Albuquerque e Passos Coelho seguraram-no.
A equipa da CNPD fez duas visitas à Autoridade Tributária. Na primeira vez, a 16 de março, o responsável pela segurança informática negou que alguma vez tivesse recebido “qualquer lista de contribuintes, por meio algum, de qualquer proveniência” e, de acordo com o relatório da inspeção, afirmou que “não estavam implementados alertas automáticos associados aos acessos efetuados pelos utilizadores”. A sua superior hierárquica, Graciosa Martins Delgado, negou igualmente esses factos. Mas os depoimentos de outros responsáveis e a recolha de documentação por outras vias acabaram por desmenti-los.
Pelo que foi apurado, a 3 de outubro de 2014 José Morujão Oliveira enviou para Graciosa Martins Delgado a informação ASI/238/2014, datada de 30 de setembro, referente ao “controlo do acesso aos dados – alarmística em caso de consulta/alteração de dados sensíveis”. Tratava-se de uma proposta para montar um sistema de alertas que “seriam despoletados em caso de verificação de consulta ou alteração de dados de determinados contribuintes que, na ausência de melhor conceito, denominamos de VIP”.
O documento dizia que a solução tecnológica necessária para por o sistema a funcionar já tinha sido testada “com sucesso”. E acrescentava que naquela altura seria necessário ter os números de identificação fiscal dos contribuintes VIP para serem monitorizados, com o responsável da informática a sugerir que, “numa fase inicial”, se incluíssem “os principais titulares dos órgãos de soberania”. Eram ainda descritos os procedimentos a adoptar: os alertas automáticos seriam enviados pela segurança informática para a Direção de Auditoria Interna (DSAI) para ser avaliada a ilegitimidade ou não dos acessos. Daí deveria sair depois uma proposta de atuação para aprovação do diretor-geral.
Alertas inaugurados com Passos Coelho
O sistema da lista VIP teve a concordância da sub-diretora-geral de Sistemas de Informação a 9 de outubro e no dia seguinte foi aprovado por José Maria Pires, em substituição do diretor-geral. E a 15 de outubro José Morujão Oliveira recebeu oficialmente esse despacho de aprovação.
O sistema foi estreado em novembro com Passos Coelho. No dia 6 de novembro, uma consulta por um funcionário das Finanças aos dados fiscais do primeiro-ministro gerou um alerta automático e levou Morujão Oliveira a enviar uma informação para Direção de Auditoria Interna com o nome do funcionário que fez a consulta e a repartição a que pertencia. Depois, a 28 de novembro, o mesmo aconteceu com uma consulta à situação fiscal do presidente da República. No depoimento que deu à CNPD, Acácio Pinto, diretor da Auditoria Interna, disse que essas duas situações deram origem a processos de instrução.
Na troca de correspondência descoberta durante a inspeção, percebe-se que houve apenas quatro nomes na lista VIP. Além de Passos Coelho e Paulo Portas, estavam também incluídos o vice-primeiro-ministro Paulo Portas e o secretário de Estado dos Assuntos Fiscais. Estes nomes foram, aparentemente, escolhidos pelo próprio responsável da segurança informática, que num e-mail dirigido à Direção de Auditoria Interna, a 24 de fevereiro, escreveu que os NIF do primeiro-ministro, do vice-primeiro-ministro e do presidente foram obtidos na internet e que o NIF de Paulo Núncio surgiu na sequência de um “processo de auditoria sobre consultas efetuadas aos dados fiscais do senhor secretário de Estado dos Assuntos Fiscais.”
No entanto, o diretor da Auditoria Interna negou aos inspetores da CNPD que tivesse alguma vez havido um processo de auditoria a eventuais acessos indevidos aos dados fiscais de Paulo Núncio.
As “contradições e incongruências significativas entre as provas documentais obtidas e as declarações de José Morujão Oliveira e Graciosa Martins Delgado prestadas no dia 16 de março de 2015” levaram a CNPD a regressar à Autoridade Tributária três dias depois, para confrontar de novo aqueles dois responsáveis. Morujão Oliveira acabou por admitir parcialmente os factos, negando no entanto que tivesse comunicado os alertas ocorridos em novembro à Direção de Auditoria Interna, afirmando que os destruiu. O Expresso tentou contactar estes dois responsáveis da AT, mas sem sucesso.
Entretanto, esta quarta-feira à tarde, durante o debate quinzenal no parlamento, Passos Coelho prometeu medidas nesta matéria, assim que estiver concluído o relatório da Inspeção Geral das Finanças (IGF). Segundo o primeiro-ministro, a investigação ao caso pela IGF é mais abrangente do que a da Comissão Nacional de Protecção de Dados. “Queremos saber que outros procedimentos houve, quem sugeriu, quem executou. Quando tivermos essa informação toda, não deixaremos de atuar.”
RE
