1 - Concordo inteiramente com a análise, as propostas e as conclusões do relatório cuja elaboração determinei, na sequência da deliberação 488/2009 da Comissão Nacional de Protecção de Dados e que pela DGAI me foi hoje presente.
2 - Importando cumprir os prazos decorrentes da legislação aplicável aos dois actos eleitorais já convocados, mais determino que sejam aceleradas as medidas de execução das mudanças decorrentes da reforma do recenseamento eleitoral operada através da Lei 47/2008, de 27 de Agosto, dando resposta às questões suscitadas pela CNPD.
3 - Com vista ao reforço da protecção dos dados pessoais dos eleitores, bem como da segurança e fiabilidade do SIGRE, as medidas e acções correctivas devem eliminar todos os factores objecto de reparo na deliberação 488/2009, assegurando-se, para o efeito, a devida articulação com as entidades envolvidas no Projecto SIGRE/Cartão de Cidadão.
4 - Até ao desenvolvimento de um centro de dados comum a todas as forças e serviços do MAI - solução que permitirá novas formas de cooperação e partilha de recursos tecnológicos -, deve o Centro de Dados do SEF, que oferece todas as condições para cabal cumprimento do artigo 18.º da Lei do Recenseamento Eleitoral, continuar a suportar tecnicamente o SIGRE, sem prejuízo das competências próprias da DGAI, entidade legalmente responsável pela BDRE e pelo SIGRE.
5 - A DGAI deve promover uma ampla campanha informativa que reforce o esclarecimento dos cidadãos sobre as formas de verificação dos seus dados eleitorais, assegurando, igualmente, a dinamização da participação nos próximos actos eleitorais, em articulação com as autarquias locais e outras entidades relevantes.
6 - Determino, por fim, que o relatório da DGAI seja publicado no Diário da República, em anexo ao presente despacho, e divulgado no sítio do MAI na Internet.
8 de Julho de 2009. - O Secretário de Estado Adjunto e da Administração Interna, José Manuel dos Santos de Magalhães.
Relatório sobre o funcionamento do Sistema Integrado de Gestão do Recenseamento Eleitoral
(8 de Julho de 2009)
No dia 9 de Junho de 2009, a Comissão Nacional de Protecção de Dados deliberou, nos termos da legislação aplicável, efectuar uma acção de fiscalização, no âmbito da matéria de protecção de dados pessoais, da Base de Dados de Recenseamento Eleitoral (BDRE) e do Sistema Integrado de Gestão do Recenseamento Eleitoral (SIGRE).Os técnicos informáticos mandatados pela CNPD produziram um auto de diligência, datado de 26 de Junho de 2009, que fundamentou a deliberação da CNPD N.º 488/2009, comunicada ao MAI, pelo Presidente da Comissão, no dia 3 de Julho. No acto de recepção da deliberação, o MAI prestou de imediato esclarecimentos e manifestou concordância com as recomendações e sugestões apresentadas, assumindo o compromisso de examinar aprofundadamente e dar resposta célere a todas as situações identificadas.
O presente documento aprecia as questões suscitadas pela acção fiscalizadora, prestando informação pormenorizada sobre cada uma delas, bem como sobre as medidas já executadas, em execução ou planeadas com vista a assegurar que os sistemas de informação em que se baseiam os sufrágios democráticos na República Portuguesa obedeçam, sob todos os pontos de vista, aos mais altos padrões de segurança e fiabilidade que o Parlamento por unanimidade sufragou e que resultaram na Lei 47/2008, de 27 de Agosto.
O presente documento complementa o balanço das acções desenvolvidas para a eleição para o Parlamento Europeu e a análise das iniciativas a adoptar com vista à preparação dos próximos actos eleitorais apresentado pelo Secretário de Estado Adjunto e da Administração Interna no dia 1 de Julho perante a Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias.
Tendo a reunião de trabalho com a Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias ocorrido no dia 1 de Julho, foi na mesma feita menção à acção de fiscalização da CNPD, sem análise das questões que só ulteriormente vieram a ser comunicadas ao Governo. Muitas das medidas correctivas anunciadas nessa sessão pública, difundida via Canal Parlamento, coincidem com recomendações da CNPD, estando, desde 1 de Julho, o teor integral das declarações do Governo e os respectivos materiais de apoio acessíveis através da Internet (em http://opiniao.mai-gov.info/2009/07/01/o-recenseamento-em-portugal). Tendo a CNPD deliberado comunicar a outros Órgãos de Soberania e entidades o teor da sua deliberação, e sendo absolutamente essencial assegurar a máxima confiança nos instrumentos em que se funda a organização de actos eleitorais, sintetiza-se no presente documento as mais relevantes informações disponíveis sobre a situação da reforma do recenseamento eleitoral, bem como das acções e medidas já concluídas ou que foram entretanto adoptadas pela administração eleitoral, as quais correspondem, quanto ao sentido e às orientações, às preocupações enunciadas pela CNPD.
A acção de fiscalização levada a cabo pela CNPD, centrada na óptica da protecção de dados pessoais justifica três observações liminares.
Em primeiro lugar, a Direcção-Geral de Administração Interna, como era seu dever, prestou toda a colaboração e apresentou de forma clara todos os esclarecimentos solicitados pela CNPD. Não tendo os relatórios técnicos sido objecto de contraditório dos responsáveis técnicos da administração eleitoral, a sua versão final não pôde incluir informações que, a terem podido ser prestadas, teriam esclarecido, desde logo, aspectos que só agora são explicitados, não tendo, por isso, podido ser tidos em conta pela Deliberação 488/2009.
Em segundo lugar, após verificar atentamente as questões técnicas suscitadas no Relatório e na deliberação da CNPD, o MAI determinou que fosse acelerada a adopção das medidas necessárias, no quadro previsto na Lei do Recenseamento Eleitoral, à realização de todas as operações correctivas, tendo em conta o conteúdo da Deliberação 488/2009 e as orientações já anteriormente definidas pela Tutela, com vista ao reforço da protecção dos dados pessoais dos eleitores, bem como da segurança e fiabilidade do sistema.
Em terceiro lugar, o SIGRE, além de assegurar o recenseamento automático dos cidadãos, mediante a adequada interoperabilidade com a plataforma de serviços comuns do cartão de cidadão, com os sistemas de identificação civis e militares dos cidadãos nacionais e com o sistema integrado de informação do SEF no caso dos cidadãos estrangeiros, garante centralmente, no âmbito da BDRE, a consolidação e actualização de toda a informação que nela consta. Por isso mesmo, passou a estar disponível um sistema central cujas funcionalidades permitem que seja auditado, tornando possível o seu célere e profícuo exame pela CNPD (ou por qualquer outra entidade para tal autorizada).
É a primeira vez que tal ocorre na história do recenseamento eleitoral em Portugal, factor muito relevante de reforço da confiança nos instrumentos ao serviço da administração eleitoral, das instituições e dos cidadãos.
I
O funcionamento do sistema anterior ao Sigre
Até 1998, o sistema de recenseamento era exclusivamente baseado em papel, fragmentado e disperso, sem possibilidade de controlo central de conteúdos e da emissão de cadernos. Tal dificultava o expurgo de inscrições indevidas e facilitava a duplicação de inscrições.Ecoando a opinião comum dos peritos, um reputado especialista sintetizava a situação nos termos seguintes:
«É evidente, entretanto, que os 8.135 mil eleitores inscritos em território nacional em 1989 (há ainda centenas de milhar no estrangeiro) incluem muitas inscrições indevidas. Basta pensar que em 1975, na eleição para a assembleia Constituinte, tínhamos 6.178 mil eleitores, o que significa que os eleitores aumentaram 24 por cento em 15 anos. A este ritmo, teremos daqui a pouco mais "eleitores" do que portugueses «... É evidente que o processo e a sua fiscalização deixam muito a desejar» (Prof. Doutor Luís de Sá, «Atenção ao recenseamento eleitoral», Público, 29-07-90).
Com a criação da BDRE em 1998 melhorou-se significativamente o processo do recenseamento eleitoral, tendo sido conduzida uma operação de informatização geral que permitiu a eliminação de quase meio milhão de registos (óbitos, duplas inscrições e outras situações irregulares). Todavia, até à efectiva implementação do Sistema de Informação e Gestão do Recenseamento Eleitoral continuava a ser impossível uma análise completa e fiável da situação do Recenseamento Eleitoral, já que a sua organização assentava numa miríade de base de dados periféricas (4260 no território nacional e mais de 200 no estrangeiro) e numa base de dados central «conglobadora», que era alimentada por dados locais.
As modernas funcionalidades do SIGRE tornam possível avaliar e verificar com exactidão a qualidade e fidedignidade da informação constante na BDRE, que mudou de natureza, passando a ser base de dados única, centralizada nas funções que só cabem à DGAI, e descentralizada na gestão de muitas operações que a lei continua a reservar às comissões recenseadoras. Trata-se de uma verdadeira ferramenta de trabalho colaborativo e partilhado, conjugando esforços da Administração Central e Local, num quadro seguro, que utiliza as redes electrónicas de que o País hoje dispõe, eliminando a circulação de papel e os riscos e inexactidões que durante décadas pesaram sobre o trabalho eleitoral.
O anterior sistema de gestão do processo de Recenseamento Eleitoral REGIfreg/GesBDRE apresentava as seguintes características técnicas e funcionais:
O Processo de inscrição/actualização do recenseamento era feito voluntariamente pelos cidadãos nas comissões recenseadoras, em regime contínuo desde Março de 1998, e em que a informação a ser registada na base de dados era transcrita de um verbete preenchido pelo cidadão e registada no sistema por um funcionário da respectiva comissão de recenseamento, sendo de seguida transmitida por email ou disquete à DGAI para inserção na citada BDRE, sem prejuízo de envio de duplicado do verbete de inscrição.
Relativamente a um grande n.º de freguesias era a própria DGAI que, com base nos duplicados mensalmente enviados por correio pelas CR's, procedia ao carregamento da informação na BDRE;
As bases de dados eram geridas localmente, pelas CR's com a informação aí obtida e com a mensalmente comunicada pela DGAI (transferências, óbitos, etc) e posteriormente consolidadas na base de dados central, sedeada na Direcção-Geral da Administração Interna - Administração Eleitoral.
A base de dados central era periodicamente actualizada com os dados provenientes, da Identificação Civil (ITIJ, Ministério da Justiça), actualizações que eram mensalmente transmitidas em listagens, por via postal, às CR's para actualização das respectivas bases de dados locais.
Arquitectura REGIfreg/GesBDRE
Como facilmente se depreende, este sistema não garantia, com certeza absoluta, por um lado que toda a informação recolhida acorria à BDRE e, por outro, que toda a informação carreada pela BDRE para as Comissões Recenseadoras era por estas absorvida e contemplada nos respectivos cadernos eleitorais.O Sistema de Informação e Gestão do Recenseamento Eleitoral O Sistema de Informação e Gestão do Recenseamento Eleitoral, o SIGRE, incluiu as novas necessidades funcionais e tecnológicas no âmbito do Cartão de Cidadão, geriu e consolidou a informação residente na BDRE (Base de Dados de Recenseamento Eleitoral) e integrou todas as funcionalidades existentes na anterior aplicação, consideradas pertinentes para o processo.
(ver documento original)
Arquitectura Global do projecto do Cartão do CidadãoGrandes objectivos do SIGRE:
Implementar a gestão do Recenseamento Eleitoral (RE) automático baseado no n.º de eleitor (a atribuir sequencialmente por comissão recenseadora e posto de recenseamento pelo sistema) e na residência oficial do cidadão carreada para os respectivos sistemas de identificação (ITIJ/SEF/GNR/FA's);Alocar, automaticamente, cada eleitor à circunscrição eleitoral e ao posto de recenseamento de acordo com a sua residência constante do CC;
Facultar e facilitar às Comissões Recenseadoras (CR) o acesso à informação actualizada do RE correspondente à área geográfica da respectiva jurisdição, permitindo a sua validação e fiscalização;
Facultar e facilitar ao cidadão o acesso à informação actualizada do RE correspondente à sua inscrição (identificação da comissão recenseadora, posto e número de inscrição no recenseamento) permitindo a sua validação e fiscalização;
Emissão centralizada dos Cadernos Eleitorais com a possibilidade de impressão local (freguesias, municípios, consulados).
Arquitectura de dados das entidades intervenientes
Pressupostos gerais da sua implementação:
Permanência da antiga situação dos eleitores, não portadores de Cartão de Cidadão, já inscritos no RE (possibilidade de, através do acesso disponibilizado pela administração eleitoral, a Comissão Recenseadora actualizar a situação eleitoral do cidadão, a pedido deste, de acordo com a residência constante no sistema de Identificação respectivo);Actualização da situação no RE para os cidadãos já portadores do Cartão de Cidadão de acordo com a residência nele indicada (com notificação aos cidadãos para os quais se alterou a sua situação no recenseamento eleitoral);
Integração no RE dos cidadãos nacionais não constantes da BDRE, com 18 ou mais anos de idade e com residência no território nacional, constantes da Identificação Civil com documento de identificação com prazo de validade definido e actual (amplamente publicitada e permitindo a sua validação e fiscalização - divulgação em editais locais/consulta da informação do RE por SMS, na Internet ou junto da Comissão Recenseadora, pelos interessados/abrangidos);
Alocação automática de eleitores a postos de recenseamento. (para a alocação automática referida - RE automático - foi necessária a disponibilização, no SIGRE, da informação inicial do seu âmbito geográfico - códigos postais/localidades associadas aos postos de recenseamento - bem como a sua posterior gestão e garantias de actualidade, da competência das Comissões Recenseadoras. Na insuficiência de informação ou estruturação da morada nos respectivos sistemas de identificação, a alocação é efectuada ao Posto «sede» da circunscrição eleitoral correspondente a esta);
Actualização da informação relevante para o RE, na BDRE, com base na comunicação dos respectivos sistemas de identificação (ex: actualizações de nome efectuadas na identificação civil mas não promovidas pelo cidadão junto da Comissão Recenseadora; falta ou erro na data de nascimento no RE;
incorrecções ortográficas);
Em síntese:
Além das profundas melhorias e optimizações nos processos de actualização da base de dados do recenseamento eleitoral, os grandes elementos de diferenciação são os seguintes:
(ver documento original)
Importa assinalar, contudo, que apesar do esforço de informatização impulsionado a partir de 1998, ficaram por resolver muitas situações de identificação incompleta ou dúbia de eleitores. Estando a informação residente nas Comissões Recenseadoras, a Administração Eleitoral ficou confrontada com um quadro em que havia:Eleitores de que só se possuía a informação dos cadernos eleitorais (nome, número, freguesia/consulado e concelho/país de inscrição;
Situações de perda do verbete de inscrição nas CRs;
Óbitos não comunicados através da estrutura do Ministério da Justiça (DGRN e ITIJ), com especial incidência nos anos 80.
Ao longo dos anos, e em vários ciclos políticos, muito trabalho diligente foi sendo feito constantemente pelo então STAPE e agora DGAI, no sentido de ir coligindo informação suficiente para permitir uma informação mais completa dos eleitores e permitir a consequente a eliminação de duplas inscrições, e o processamento de óbitos.
Mas muitos problemas ainda permaneciam desse lastro de 1998.
II
Na execução do projecto SIGRE a Administração Eleitoral deu elevada prioridade à resolução desses problemas históricos acumulados.Teve, porém, de começar por concentrar-se na criação das novas ferramentas de trabalho de que necessitava. O projecto tecnológico para tal indispensável foi incluído no SIMPLEX 2007, para execução nesse mesmo ano, o que, no entretanto, não pôde ocorrer.
A definição do projecto foi feita de forma articulada entre o Ministério da Justiça e pelo MAI, tendo a selecção do parceiro tecnológico para a aquisição de «Serviços de Adaptação dos Sistemas de Informação do Recenseamento Eleitoral, no âmbito do cartão de cidadão» sido efectuada no final de 2007 pelo Instituto de Registos e Notariado. I. P., com a adjudicação a ter lugar a 18 de Janeiro de 2008 (ANEXO I).
A afinação ulterior de algumas especificações técnicas foi feita, já com intervenção directa do Secretário de Estado Adjunto e da Administração Interna, que passou a assumir tais competências na sequência da remodelação governamental de Janeiro de 2008, tendo sido encetada concomitantemente a preparação da proposta de lei enquadradora do SIGRE e definido um cronograma exigente para a realização do projecto, tendo em conta o calendário dos actos eleitorais de 2009.
Foi então criado um Grupo de Acompanhamento de Alto Nível envolvendo todas as entidades cuja convergência era necessária, com registo escrito de decisões e controlo de execução do avanço do projecto.
Foi nesse Grupo de Acompanhamento que foram preparadas as decisões que tornaram possível que o projecto tecnológico enquadrado pela Lei 47/2008, de 27 de Agosto pudesse dispor de ambiente de testes e de produção num prazo de tal forma célere que permitiu que o referendo de Viana de Castelo de 25 de Janeiro de 2008 fosse já suportado pelo SIGRE.
O trabalho desenvolvido levou à publicação do primeiro mapa do universo eleitoral gerado com recurso às novas funcionalidades (Dezembro de 2008), tendo continuado os trabalhos necessários para a eficaz articulação com a plataforma de serviços comuns do Cartão de Cidadão e para a resolução das situações herdadas.
Entre Janeiro e Maio de 2009, a DGAI empenhou-se num difícil processo de gestão de mudança, realizando acções de formação de milhares de autarcas para boa utilização do SIGRE e acções correctivas, em articulação com o Ministério da Justiça e a Secretaria de Estado da Modernização Administrativa.
Com a entrada em período de inalterabilidade dos cadernos por força do acto eleitoral de 7 de Junho a DGAI encetou de imediato a programação das acções a levar a cabo logo que cessasse tal situação.
Os problemas detectados e as acções programadas foram objecto de aberta discussão entre os deputados da Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias e o Secretário de Estado Adjunto e da Administração Interna, no dia 1 de Julho.
III
Examinam-se seguidamente, de perto, as questões suscitadas pela CNPD.
Quanto à qualidade dos dados:
«Existem na BDRE registos incompletos e inexactos, i.e., sem menção de todos os dados de identificação referidos no n.º 1 do artigo 12.º da LRE. Com nome e outros dados incompletos, sem data de nascimento, filiação, etc., foram identificados 33.833 registos. Destes, sem qualquer outro dado, contendo unicamente o nome, foram detectados 12.092 registos.» Verificou-se, ainda, existirem cerca 9.600 situações de nomes iguais. No entanto, com o nome «Maria Martins» existem 614 registos, que correspondem, apenas, a uma «situação».Como resultado do funcionamento do SIGRE e da auditoria foram apuradas insuficiências na qualidade de dados nomeadamente:
Registos com informação insuficiente para identificação inequívoca;
Registos só com o nome na identificação;
Registos com nomes iguais;
Registos com datas de nascimento inválidas.
Com efeito, por ocasião da criação da primeira "BDRE" em 1998 (com base na informação disponibilizada pelas comissões recenseadoras), cerca de 640 000 registos não foram validados pela Base de Dados de Identificação Civil do Ministério da Justiça.Restam actualmente situações residuais dessa época (para cidadãos nacionais residentes no território nacional), graças ao trabalho efectuado pela Administração Eleitoral, em colaboração com as Comissões Recenseadoras. O valor apresentado no relatório é correcto. Tal engloba registos já identificados pelas comissões recenseadoras que enviaram cópia do Bilhete de Identidade (vitalício) que não consta dos registos da BDIC ou em que o número está atribuído a outro cidadão.
Esta foi detectada pela interacção do SIGRE com outros sistemas.
Foram adoptadas as seguintes medidas e acções:
Detecção e eliminação do registo de eleitores duplamente inscritos identificados por BI;
Detecção e eliminação do registo de eleitores duplamente inscritos identificados pela comparação de chaves como o Nome, Data nascimento, Filiação e Naturalidade;
Expurgo de informação sem qualidade de dados através da validação e comparação dos dados apurados os através de comparação de chaves como Nome, Data Nascimento, Filiação e Naturalidade.
Será criada uma lista de todos os eleitores eliminados, sendo disponibilizados às Comissões Recenseadoras ou no portal da DGAI para informação geral das entidades envolvidas.
A habilitação legal que permite estas operações foi concedida e delimitada pelos n.os 1 e 2 do artigo 3.º (actualização do recenseamento) da Lei 47/2008.
O SIGRE assegura a fidedignidade das inscrições na actual BDRE, em particular, por combinação de diversas chaves de identificação.
Estas acções respondem à situação descrita. A promoção da nova inscrição no recenseamento eleitoral será feita, caso a caso, pela DGAI, o que previne a questão suscitada quanto a duplas inscrições. Casos detectados respeitam a novas inscrições de maiores de 18 anos ainda não identificadas pelo SIGRE correspondentes a aquisições de nacionalidade.
Registos na BDRE maiores de 18 anos em estado «inactivo» «Verificam-se na BDRE registos de cidadãos com idade igual ou superior a 18 anos de idade sem que o sistema lhes reconheça capacidade eleitoral (cf. artigo 43.º da Constituição e n.º 2 do artigo 35.º da LRE).» Como foi referido pela DGAI aos autores do «Auto de Diligência», mas com quadro anexo transcrito para o ponto 23 do respectivo auto, a informação prestada correspondia a «dados não consolidados - processos pendentes em análise» à data da inspecção. Assim como é referido, «existe processo automático diário no SIGRE que promove os registos de cidadãos do estado de "Provisório" a "Efectivo" ao fazerem 18 anos». Mas também existe processo diário que promove «Inactivos» a «Efectivos» registos de cidadãos nacionais com 18 ou mais anos residentes em território nacional. Os processos pendentes (especialmente de cidadãos que adquiriram a nacionalidade portuguesa) após resolução de mensagem em «Pendente» são processados pelo referido processo que ocorre diariamente durante a noite e sempre que são gerados cadernos eleitorais.
Actualmente a tarefa automática de promoção de Inactivos a Efectivos obedece a regras que garantem que não existam inscrições indevidas, sendo levados em consideração os seguintes critérios: residência válida em Portugal, data e validade da emissão de documento de identificação, nacionalidade portuguesa, ter 18 ou mais anos.
Para cumprimento dos princípios da qualidade dos dados e da respectiva actualização e de acordo com as conclusões da CNPD não devem constar do recenseamento cidadãos que não se encontrem devidamente identificados que cumpram os requisitos legais para dele constarem, orientação em cuja execução a DGAI está totalmente empenhada.
Registos na BDRE de menores de 17 anos como «inactivos» «Existem na BDRE registos de cidadãos com menos de 17 anos de idade, em desrespeito do disposto no n.º 1 do artigo 35.º da LRE. Parece resultar que, sempre que há um registo de nascimento, a BDRE recebe os dados provenientes do sistema de informação civil integrando-os, embora como "inactivos", sem respeito pela finalidade do tratamento.» A origem destes registos resulta de «comunicações dos Ciclos de Vida do Cartão de Cidadão (CVCC) que enviam a informação a todas as entidades, federadas na Framework de Serviços Comuns (FSC). Tal opção da arquitectura do sistema foi tomada com vista a garantir a coerência entre as mensagens de identificação ou alteração de morada com as de entrega federadas enviadas, relativas, essencialmente, ao estado do cartão (entrega ou cancelamento) e securização dos processos de alteração de morada, sendo desta forma «explicada» a finalidade actual do tratamento.» Tendo a CNPD expresso agora entendimento contrário a tal opção, o Governo determinou que seja reformulado o modelo de comunicações dos CVCC e FSC.
Tal não acarretará delonga na eliminação da situação quanto à qual a CNPD veio manifestar reservas.
Com efeito, serão adoptadas as seguintes medidas:
Ainda antes da alteração da arquitectura adjudicada pelo IRN e executada em 2008, serão eliminados pela DGAI todos os registos relativos a cidadãos com menos de 17 anos e respectivo histórico, incluindo a informação sobre todos os processos de pedido, renovação de cartão ou alteração de morada já fechados e existentes no SIGRE para eleitores com menos de 17 anos.
Através de procedimento a ajustar no plano tecnológico garantir-se-á que «todos os cidadãos nacionais, residentes no território nacional, maiores de 17 anos, são oficiosa e automaticamente inscritos» (artigo 3.º, n.º 1 da Lei 47/2008) na BDRE. E apenas esses.
Serão adoptados os procedimentos técnicos intercalares necessários para que esta alteração não gere perturbação da plataforma de serviços comuns do Cartão de Cidadão.
Será planeado e executado um serviço Web que deverá ser desenvolvido no Ciclo de Vida do Cartão de Cidadão e no SIGRE, que terá como funcionalidade a comunicação diária de todos os eleitores que perfazem 17 anos. Aquando a recepção dessa mensagem, o SIGRE irá promover o eleitor automaticamente como Provisório.
Na gestão desta mudança, assegurar-se-á que sejam enviados ao SIGRE todos os dados de eleitores que perfizeram 17 anos desde a interrupção do canal de recepção das mensagens directamente do CC até à entrada em produção deste novo serviço.
Existência na base de dados de produção da tabela «BDRE_TEMP» «Foi verificado que existe, na base de dados "produção", uma tabela designada por "BDRE_temp". Esta tabela corresponde à anterior base de dados, criada em 1998, que foi objecto de migração para o SIGRE. Ali constam todos os registos da BDRE até à entrada em funcionamento do novo sistema SIGRE. O fundamento invocado para a sua manutenção foi a "memória" e a necessidade "para comparar dados".» Será feita a remoção da «BDRE-temp». A BDRE histórica será arquivada nas instalações da DGAI, para efeitos históricos e para, se necessário, apuramento de situações cuja migração possa suscitar problemas ora não previsíveis.
Será utilizado um «db link», não colocando em causa o processo referido no documento técnico da CNPD.
Colocação do SIGRE no centro de dados do SEF «É necessário esclarecer qual é a base legal para que a plataforma tecnológica do SIGRE esteja fisicamente alocada e suportada tecnicamente pelo SEF, tendo em conta as competências desta entidade e a natureza particular do tratamento aqui em análise.» A opção foi tomada após cuidadoso debate no Grupo de Acompanhamento, tendo presente o calendário de execução do projecto e as regras de contratação pública aplicáveis.
Os cenários ponderados foram: (a) instalação em Centro de dados da DGAI:
solução inexequível, dada a natureza do SIGRE e as suas exigências de comunicações, interacção com parceiros tecnológicos e demais funcionalidades avançadas (a DGAI pôde albergar a primeira BDRE, dada a sua natureza isolada e o seu sistema de alimentação); (b) instalação em outsourcing em centro de dados privado com condições de segurança: a solução é adoptada por alguns departamentos do Estado, mas nem era recomendável no caso, nem o calendário consentiria a procedimentalização e cabimentação do contrato necessário; (c) a instalação imediata na RNSI : prioridades operacionais da RNSI (envolvida no processo da sua própria migração de Centro de Dados) tornavam a opção arriscada e sujeita a vicissitudes negativas; (d) instalação no Centro de Dados do SEF: apurou-se ser a solução imediatamente exequível, evidenciadora da saudável cooperação entre serviços públicos sob a mesma tutela e propiciadora de elevados patamares de segurança.
O Centro de Dados do SEF oferece todas as condições para cabal cumprimento do artigo 18.º da Lei do Recenseamento Eleitoral que obriga que a BDRE e o SIGRE, cumpram requisitos de segurança adequados que impeçam a consulta, modificação, destruição ou aditamento dos dados por pessoa não autorizada a fazê-lo e permitam detectar o acesso indevido à informação, incluindo quando exista comunicação de dados.
O Centro de dados assegura o funcionamento de outros sistemas - desde logo o N-SIS (Schengen) - pelo que reúne elevadas condições de segurança física, lógica e comunicacional. Acresce que o Centro de dados do SEF era o único que juntava a disponibilidade de serviço, funções de suporte e que tinha possibilidade de acolher configurações herméticas, de modo a alcançar o maior controlo e segurança sobre a infra-estrutura, assegurando que o acesso lógico e físico fosse controlado e validado.
Nem a DGAI-AE, nem RNSI possuíam tais condições, sendo impossível realizar, no prazo, as mudanças necessárias para que houvesse resposta face à necessidade do SIGRE funcionar em ambiente de testes, estar activo no referendo local realizado no concelho de Viana do Castelo, em Janeiro de 2009, e estar em plena produção nos actos eleitorais em 2009.
Optou-se assim por robustecer o SEF de servidores, de firewalls e sistemas de segurança que garantiram a comunicação segura de dados com os demais sistemas e plataformas de informação da identificação civil, em particular com a plataforma do cartão de cidadão. Para esse efeito, o MAI desencadeou junto do Ministério das Finanças diligências de obtenção das dotações necessárias para assegurar o adequado ambiente de exploração do SIGRE tendo pesado na decisão favorável ao financiamento o facto de o alojamento, sob responsabilidade da Direcção-Geral da Administração Interna, no Centro de Dados do Serviço de Estrangeiros e Fronteiras, facultar sinergias e tirar partido de funcionalidades já instaladas pelo SEF para protecção dos sistemas sensíveis de que é responsável. A solução foi financiada assumindo que seriam partilhados com as restantes aplicações em produção no Centro de Dados do SEF (não carecendo, por isso, de contabilização) os seguintes sistemas:
De comunicações;
De segurança de acessos;
De cópias de segurança;
Foi também valorado como positivo o facto de o upgrade dos sistemas de Backup que o SEF efectuou no final de 2008 tornarem desnecessário incorporar custos adicionais do Projecto SIGRE nesse domínio essencial à segurança do sistema.O know-how dos peritos do SEF foi decisiva para a célere e segura passagem do ambiente de testes a ambiente de exploração e para a eficaz monitorização e gestão de ocorrências. A sinergia estabelecida respeita estritamente as regras legais, pelo que só a DGAI toma as decisões sobre o cumprimento da lei do recenseamento. A prestação técnica do SEF, competente e eficaz, demonstrou que a opção foi correcta e assegura uma mais valia de experiência que permitiu activar o SIGRE nos prazos e em segurança.
Futuramente, o Plano Tecnológico do MAI prevê que seja desenvolvido um centro de dados comum a todas as forças e serviços do MAI, solução que permitirá novas formas de cooperação, de que a agora estabelecida entre a DGAI e o SEF é pioneira.
Poderes de administração da base de dados atribuídos a um elemento da DGAI, a um funcionário do quadro do SEF, outsourcer do SEF e elementos da Critical Software O único utilizador com privilégios de administração é o SEF. Serão redefinidas as regras para utilizadores específicos para cada uma destas entidades com privilégios concretos e específicos.
O acesso destas entidades é fundamental dada a natureza do sistema e à evolução natural do mesmo, devido à necessidade de adição de funcionalidades ao sistema (anexo V - Contrato de manutenção evolutiva do SIGRE celebrado entre a DGAI e a - CSW a 16 de Dezembro de 2008), que são baseadas em regras rigorosas de confidencialidade e sob direcção e responsabilidade do responsável do tratamento de dados (a DGAI).
Existência de ligação remota da Critical Software para o SEF e da DGAI para o SEF É também necessário que se pondere a opção de permitir acessos remotos ao SIGRE. Os acessos remotos comportam sempre um risco acrescido, cuja verificação deverá ser acompanhada de medidas de segurança reforçadas e susceptíveis de controlo contínuo.
A Critical Software tem um contrato assinado com a DGAI-AE que especifica uma manutenção evolutiva do sistema. Tal acesso é fundamental para a Critical Software dar resposta imediata a questões de manutenção do sistema em ambiente produção, monitorização e restauro de serviços em caso de falha.
Para além disso, devido à constante inovação e criação de novas funcionalidades no sistema torna-se importante que o processo de actualização do sistema seja rápido e que a Critical Software tenha acesso aos servidores de produção. O facto de aceder ao servidor concedido pela VPN é apenas para os dois servidores aplicacionais onde se encontram instaladas as aplicações de todo o sistema SIGRE (é uma ligação VPN segura CheckPoint, de acordo com as melhores praticas, a qual garante a confidencialidade dos dados transmitidos).
Criação de «logging» a todos os tipos de acesso às base de dados (incluindo «read») «É absolutamente necessária a activação da funcionalidade de controlo de acessos e a adopção de mecanismos que permitam auditar, interna e externamente, a utilização do sistema.» O SIGRE possui mecanismos de login e perfis de acesso para todos os seus utilizadores, devidamente autenticados. Para além disso, possui um mecanismo de auditoria, que permite saber quando e quem produziu uma alteração a um registo no sistema. Actualmente, cada aplicação do sistema tem um utilizador para o acesso à base de dados, conferindo maior segurança no que toca a operações que possam ser feitas via aplicacional.
A questão referida está directamente ligada com o acesso que possa ser feito através de aplicações SQL (cliente), os quais, através de credenciais devidamente autenticadas, permite a um utilizador DBA efectuar um conjunto de operações, por vezes necessárias, na BDRE.
Acções que serão tomadas:
Criação de utilizadores de base de dados para cada uma das entidades envolvidas na auditoria e desenvolvimento da BDRE, nomeadamente:
DBA do SEF;
Consultor externo do SEF;
DBA da CRITICAL SOFTWARE;
Utilizador da DGAI.
Será activado o registo de todas as actividades efectuadas por todos e qualquer destes utilizadores na base de dados, utilizando os mecanismos já disponibilizados pelo sistema Oracle.
Base de dados de desenvolvimento e teste
«O facto de existirem bases de dados de "desenvolvimento e teste" que utilizam dados reais é mais um ponto crítico relativo à segurança dos dados pessoais.» A base de dados de teste será alvo de um tratamento que tornará não identificáveis os dados de cidadãos reais existentes, impedindo assim a identificação dos registos tal como descrito no relatório. Basicamente o procedimento irá executar um algoritmo de encriptação sobre os dados, permitindo na mesma a sua utilização para fins de teste e impedindo a identificação real de qualquer cidadão.Óbitos: impossibilidade de mapeamento com registos da BD «Os óbitos são comunicados pelo Instituto das Tecnologias de Informação na Justiça (ITIJ) mensalmente e por envio de ficheiro. Este processo é feito de forma automática, ficando no estado pendente no caso de não se conseguir localizar o registo. Cerca de 10 % das comunicações ficam pendentes nesta categoria.
Sempre que tal acontece, o cidadão falecido permanece no sistema como activo e, em caso de realização de acto eleitoral, figura no respectivo caderno eleitoral.
Daqui decorre uma desactualização da base de dados e dos cadernos eleitorais, não admissível.» Foi feito um enorme esforço para assegurar a eliminação de óbitos
Actualmente a quantidade mensal de registos de óbito que não são identificados pelo processo automático é em média 10%. O SIGRE, nestas situações coloca a informação recebida em processo pendente para visualização e pesquisa manual pela DGAI, por combinação de diversas chaves de identificação, face às inscrições existentes na BDRE baixando substancialmente esse número.É, no entanto, preocupante o número de óbitos não identificado automaticamente, por falta de indicação de N.º de Identificação Civil e, em muitos destes casos, de outra informação complementar essencial (data de nascimento, filiação, naturalidade). Esta dificuldade tem sido transmitida ao ITIJ.
Serão comunicadas ao ITIJ as situações descritas pela CNPD para que os dados enviados deixem de enfermar dos problemas referidos.
Óbitos no estrangeiro: impossibilidade total de registos na BD «Um outro aspecto relevante é o facto de ter sido declarada a incapacidade do sistema controlar os óbitos ocorridos no estrangeiro, perpetuando indevidamente os registos como "efectivos".» Será comunicada ao ITIJ a total disponibilidade de o o SIGRE aceitar essa informação, passando a processá-la (tal como já faz com os residentes em território nacional).
Eleitor activo com mais de 136 anos
«Tendo sido detectado um "eleitor activo" nascido em 1873 suscita-se a dúvida sobre a circunstância de estarem ou não a ser promovidas as confirmações devidas, como determina o disposto no n.º 6 do artigo 50.º da LRE. A CNPD permite-se ter dúvidas da existência de um cidadão com 136 anos de idade.» Foram tomadas as diligências para eliminar o referido registo e explicada a sua existência na altura da inspecção.O SIGRE encontra-se dotado de uma tarefa automática parametrizável onde é permitida a especificação de uma idade (e.g. 120), obtendo todos os eleitores com mais do que 120 anos e colocando-os automaticamente com classificação de óbito. Essa funcionalidade já foi accionada tendo sido eliminados registos inverosímeis.
Datas de nascimento impossíveis
«Existem na BDRE registos com indicação de datas de nascimento impossíveis mas que o sistema aceita, como resulta da formulação relativa ao ano de 0018.» Está em elaboração a listagem desses registos, para que se proceda à sua correcção manual usando o SIGRE.As datas em causa não foram produzidas pelo SIGRE, mas resultam de erros que decorrem dos dados registados pelas comissões recenseadoras.
Comunicação do CC promove inscrição de eleitor «A decisão de criar novos registos, com base nas comunicações do Cartão de Cidadão, relativamente a eleitores para os quais o sistema não conseguiu localizar o cidadão na base de dados, atribuindo automaticamente um novo número de eleitor, deve ser obrigatoriamente revista na medida em que permite a criação de inscrições múltiplas.» Tal como referido o SIGRE já tem implementado mecanismos que impedem esta situação, enviando esses casos para análise de pendente.
IV
Em conclusão:
1 - O MAI acolhe como contribuição positiva a acção de fiscalização da CNPD e as recomendações técnicas dela emanadas, tendo sido de imediato resolvidas em conformidade todas aquelas situações que eram susceptíveis de o serem e posta em marcha a resolução das que se prendem com a arquitectura do sistema e com a sua ligação aos serviços do cartão do cidadão.2 - O SIGRE veio, pela primeira vez, centralizar e logo permitir auditar o processo e os dados do recenseamento eleitoral, de forma clara e transparente, com a participação de todas entidades, incluindo as comissões recenseadoras.
3 - O SIGRE cumpre parâmetros de segurança nunca antes alcançados, incluindo os que estão previstos no artigo 18.º da Lei 47/2008, de 27 de Agosto.
4 - A realização do acto eleitoral de 7 de Junho (as primeiras eleições gerais onde se utilizou plenamente a nova plataforma) comprovou inteiramente as virtualidades do SIGRE (incluindo em tarefas de peso como a emissão electrónica de milhares de cadernos eleitorais) e permitiu detectar erros que resultam essencialmente de dados que constavam da primeira BDRE, tendo a correcção das situações identificadas pela DGAI e pela CNPD sido desencadeada de imediato.
5 - O SIGRE ao permitir o automatismo do recenseamento eleitoral, faculta por essa via, a melhoria da qualidade da democracia, impedindo a existência de «eleitores em situação de clandestinidade cívica», propiciando poderosas ferramentas de garantia da fidedignidade e qualidade da informação eleitoral. A interacção do SIGRE com a FCS do CC será de imediato limitada a cidadãos com mais de 17 anos.
6 - Com base na anterior BDRE, e apesar das suas limitações e insusceptibilidade de auditação efectiva pela CNPD, foram realizadas, com plena legitimidade e regularidade, dezenas de eleições nacionais (presidenciais, legislativas, autárquicas, eleições europeias e referendos nacionais), assegurando a participação democrática dos cidadãos nos actos eleitorais, sempre legalmente válidos e como tal aceites.
7 - O SIGRE é uma ferramenta moderna e eficaz que vem contribuir para melhorar a qualidade do sistema e do processo eleitoral. Já permitiu a integração de cerca de 280.000 jovens eleitores que até então não se encontravam inscritos. A lei e o SIGRE asseguram hoje que um jovem que perfaça 18 anos no dia do acto eleitoral possa votar, o que anteriormente, por força da suspensão do recenseamento, não era garantido.
8 - A DGAI dinamizará, como fez nas eleições de 7 de Junho, em articulação com as autarquias locais, uma campanha informativa que amplie o esclarecimento dos cidadãos para que participem na verificação dos seus dados, e visando igualmente a dinamização da participação nos próximos actos eleitorais.
À consideração de SE o Secretário de Estado Adjunto e da Administração Interna.
A Directora-Geral, Rita Faden.
Em Anexo:
1 - Adjudicação pelo IRN à Critical Software de «Serviços de Consultoria para Adaptação dos Sistemas de Informação do Recenseamento Eleitoral no âmbito do projecto do Cartão do Cidadão - 18/01/2008.2 - Contrato de Prestação de Serviços entre o IRN e a Critical Software - 1/02/2008.
3 - Adjudicação pelo IRN à Critical Software dos trabalhos complementares dos «Serviços de Consultoria para Adaptação dos Sistemas de Informação do Recenseamento Eleitoral no âmbito do projecto do Cartão do Cidadão» - 13/10/2008.
4 - Contrato de prestação de serviços complementares para adaptação dos sistemas de informação do recenseamento Eleitoral no âmbito do projecto do cartão de cidadão entre o IRN e a Critical Software - 12/11/2008.
5 - Contrato de aquisição de serviços especializados tendo em vista a manutenção e suporte do sistema SIGRE entre a DGAI e a Critical Software - 16/12/2008.
202043973
