Inspecção das Finanças leu emails de funcionários para tentar detectar fugas de informação

Foto
Processo foi aberto no DIAP e teve origem numa queixa feita à PJ pelo anterior director-geral dos Impostos, em 2005 Ricardo Brito

A consulta, feita sem conhecimento dos funcionários, foi realizada no âmbito de uma auditoria da IGF prevista no seu plano de actividades para 2006, que mereceu a concordância do ministro das Finanças, Fernando Teixeira dos Santos, em Novembro de 2005.

Estes dados fazem parte de um processo aberto no Departamento de Investigação e Acção Penal (DIAP) de Lisboa que o PÚBLICO consultou e que teve origem numa queixa feita à Polícia Judiciária (PJ) pelo anterior director-geral dos Impostos, Paulo Macedo, em Outubro de 2005. O então responsável da máquina fiscal denunciou um conjunto de situações que, segundo ele, indiciavam fugas de informação por parte dos funcionários que, dessa forma, violavam o dever de sigilo a que estão sujeitos.Para chegar à origem do caso é, no entanto, preciso recuar até 2005.

Na queixa à PJ, Paulo Macedo, actualmente administrador do Banco Comercial Português (BCP), diz que desde que assumiu o cargo de director-geral se apercebeu das várias fugas de informação. E deu exemplos, entre os quais o facto de a sua situação fiscal referente ao período anterior à sua nomeação para director-geral ter aparecido nos jornais já depois de ter assumido o cargo.Apesar das denúncias e das diligências efectuadas o processo foi arquivado em meados de 2006.

Auditoria da IGF

Mas o processo não tinha acabado. Ainda antes do arquivamento da queixa pelo DIAP, fora iniciada uma auditoria da IGF com o objectivo de averiguar se havia violação de sigilo por parte dos funcionários através das mensagens de e-mail enviadas para os órgãos de comunicação social.

A auditoria analisou as mensagens electrónicas enviadas e recebidas pelos funcionários da DGCI, da Direcção-geral das Alfândegas e dos Impostos Especiais sobre o Consumo (DGAIEC) e da Direcção-Geral de Informática e Apoio aos Serviços Tributários e Aduaneiros (DGITA) para 17 órgãos de comunicação social.

Entre mensagens enviadas e recebidas, foram analisadas contas de e-mail de mais de 370 funcionários e mais de 30 mil mensagens entre 12 de Novembro de 2005 e 8 de Junho de 2006. Numa primeira fase, e seguindo as orientações que existem da Comissão Nacional de Protecção de Dados, só foi analisada a origem e o destino das mensagens e o que aparecia escrito no espaço destinado ao assunto (subject).

Queixa reaberta

A auditoria da IGF terminou entretanto e as suas conclusões levaram Paulo Macedo a requerer a reabertura do processo no DIAP, o que aconteceu no início de 2007. O DIAP solicitou, então, a colaboração da IGF e essa colaboração foi concedida pelo secretário de Estado dos Assuntos Fiscais, na altura, João Amaral Tomaz.

No âmbito dessa colaboração, realizou-se uma reunião entre o DIAP e a IGF onde foram apresentadas as conclusões do relatório realizado pelo órgão de inspecção do Ministério das Finanças. Entre 12 de Novembro de 2005 e 8 de Junho de 2006 foram identificados 36 funcionários da DGAIEC que enviaram mais de 600 mensagens para órgãos de comunicação social; 313 funcionários da DGCI que enviaram mais de seis mil mensagens; e 27 funcionários da DGITA que enviaram mais de 1100 mensagens.

Foi também nesta altura que a IGF sublinhou que os seus inspectores apenas consultaram o assunto (subject) da mensagem e não o seu conteúdo e, como tal, não foi possível averiguar se houve violação do dever de segredo por parte dos funcionários. Assim, a própria IGF sugeriu que se devia consultar o conteúdo das mensagens.

Para poder aceder ao teor das mensagens, o DIAP enviou o processo para o Tribunal de Instrução Criminal e pediu autorização para aceder ao conteúdo do e-mail do funcionário da DGAIEC com mais mensagens enviadas e dos 22 funcionários da DGCI que mais mensagens enviaram para os órgãos de comunicação social. O DIAP pediu ainda acesso às pastas pessoais destes funcionários e às suas áreas de trabalho no computador.

O Tribunal de Instrução Criminal sublinhou que as mensagens em causa correspondiam a correspondência já aberta e, como tal, cabia ao Ministério Público proceder à sua apreensão.E foi o que aconteceu. O DIAP ordenou à direcção de serviços de segurança informática da DGITA que fornecesse aos inspectores da IGF os backups dos servidores de correio electrónico da DGITA relativamente ao período entre 12 de Novembro de 2005 e 8 de Junho de 2006.

O mesmo sucedeu com os backups das pastas pessoais de correio electrónico e áreas de trabalho para o mesmo período. Em Julho, o processo começou, no entanto, a afundar-se. A IGF recebeu a informação da DGITA, mas apenas identificou uma quantidade residual de mensagens que se dirigiam a órgãos de comunicação social.

Já este ano, a mesma IGF entregou um último relatório ao DIAP onde explicava o desaparecimento das mensagens: já não foi possível recuperar as mensagens referentes aos funcionários seleccionados para o período entre Novembro de 2005 e Junho de 2006. Porquê? Os backups apenas eram mantidos por oito semanas e a informação para essa data já não existia.

Perante esta situação, a IGF, a 10 de Julho, limitou-se a recolher as pastas de e-mail de 22 utilizadores. Dessa recolha foram analisadas 13.247 mensagens, mas destas apenas 813 se dirigiam a órgãos de comunicação social, e as mensagens nada revelaram que indicasse uma saída indevida de informação, o que levou o processo a ser, mais uma vez, arquivado.

O PÚBLICO perguntou às Finanças se Teixeira dos Santos tinha conhecimento desta auditoria e se tinham sido abertos processos contra funcionários. O ministério respondeu apenas que "o Plano de Actividades em causa reporta-se a uma auditoria que foi feita, no passado, à segurança informática de várias entidades, incluindo a DGITA. Em concreto, a DGITA foi auditada tendo em conta que há informação protegida pelo sigilo fiscal e que necessita de verificação periódica pelos serviços da IGF. A IGF agiu no exercício das suas funções e deu conhecimento do andamento das diligências a todas as entidades envolvidas".

O PÚBLICO também perguntou a Paulo Macedo qual o motivo que o levou a colocar a queixa e pediu-lhe para comentar o desfecho da mesma, mas não obteve resposta.

O Jumento chegou à Interpol

A Polícia Judiciária pediu ao gabinete nacional da Interpol que tentasse saber junto da sua congénere nos Estados Unidos da América (EUA) quem é, ou quem são, os autores do Jumento, um blogue que se dedica essencialmente a relatar alegados acontecimentos ocorridos no interior da Direcção-Geral dos Impostos (DGCI).

A intervenção da Judiciária no processo decorre de uma queixa do anterior director-geral dos Impostos, Paulo Moita Macedo. O inquérito procurava detectar os autores de alegadas fugas de informação da DGCI e dele consta uma exposição enviada a Paulo Macedo em Outubro de 2005 pelo director distrital de Finanças de Lisboa. Nessa informação, o director distrital de Finanças queixava-se que os textos publicados no Jumento eram difamatórios e passíveis de denegrir a imagem dos funcionários da administração fiscal.

Em Novembro de 2005, a Polícia Judiciária pediu ao director do gabinete nacional da Interpol que efectuasse diligências junto da sua congénere nos Estados Unidos, já que o referido blogue era administrado por uma empresa com sede em Portland. O pedido enviado para Washington tinha por objectivo determinar quem era o autor do blogue ou apurar os registos de identidade que permitissem identificar o seu autor.

A resposta das autoridades norte-americanas chegou em Março de 2006, mas não foi positiva, uma vez que a legislação norte-americana protege as informações respeitantes a registos de transmissões electrónicas, ou seja, seria necessário um pedido formal dirigido aos EUA nos termos do tratado de assistência mútua.

Perante estes factos e depois de ter visionado o blogue durante algum tempo, o Departamento de Investigação e Acção Penal de Lisboa concluiu que nada foi encontrado que consubstanciasse violação do dever do segredo dos funcionários e, como tal, arquivou a queixa.

O funcionário que descodificava "passwords"

A auditoria realizada pela Inspecção-Geral de Finanças (IGF) às fugas de informação cruzou-se com uma outra investigação interna que detectou um funcionário que tinha no seu computador um descodificador de passwords que lhe permitia aceder ao sistema informático da Direcção-Geral dos Impostos (DGCI) com o nome de outro funcionário.

A investigação estava a ser conduzida pelos serviços da Direcção-Geral de Informática e Apoio aos Serviços Tributários e Aduaneiros (DGITA) e resultou de uma queixa da DGCI depois de ter sido publicado no seu site um documento que não deveria ter sido publicado.

No âmbito desta investigação descobriu-se que a publicação indevida do referido documento estava associada a um funcionário de uma empresa privada que presta serviço para a DGCI. No entanto, não foi este o funcionário a colocar o documento, mas sim o funcionário que possuía um programa que lhe permitia descodificar as passwords e que, assim, utilizou os dados do seu colega para colocar o documento.

Face à gravidade desta situação, foram feitas outras diligências e descobriu-se que o funcionário que verdadeiramente foi responsável pela publicação do documento tinha no disco rígido do seu computador um software que lhe permitia decifrar passwords.

Perante estas informações, e depois de obter autorização para aceder aos e-mails e áreas de trabalho de vários funcionários, a IGF detectou que o software utilizado para descodificar as passwords já tinha sido apagado pelo funcionário. Também foi concluído que este não tinha passado para o exterior informações internas da administração fiscal e o processo foi arquivado.

Actualizado hoje (27 de Outubro) às 11h00
Sugerir correcção
Comentar