Câmara de Lisboa no centro do Russiagate: Escândalo expõe responsabilidade do Poder Público sobre dados pessoais, exibe falhas e serve de alerta ao Brasil
Por Calza Neto
A Câmara Municipal de Lisboa, órgão executivo, embora colegiado, está no epicentro de um dos episódios mais graves de violação da privacidade e proteção de dados pessoais da história recente de Portugal, um caso que atravessa fronteiras e provoca reflexões urgentes para o Brasil.
Conhecido como Russiagate, o escândalo veio à tona em janeiro de 2021, quando o a Câmara Municipal de Lisboa, sob a presidência de Fernando Medina, enviou, por pelo menos 27 vezes, informações pessoais de ativistas pró-Alexei Navalny, opositor do presidente russo Vladimir Putin, à Embaixada da Rússia e a outras entidades estrangeiras. Entre os dados repassados estavam nomes, contatos e detalhes sensíveis sobre organizadores de manifestações, expondo os titulares a riscos políticos e pessoais significativos.
Em 2022, a Comissão Nacional de Proteção de Dados (CNPD), autoridade análoga a nossa ANPD (https://www.gov.br/anpd/pt-br) aplicou à Câmara uma multa de 1,25 milhões de euros por 225 contraordenações relacionadas à violação do Regulamento Geral sobre a Proteção de Dados (GDPR). Com a prescrição de parte das infrações, o número de ilícitos reconhecidos foi reduzido para 65 e o valor da sanção caiu para 738 mil euros. Apesar da redução, o impacto financeiro e, sobretudo, o dano à imagem institucional foram expressivos.
Submetido o caso à apreciação jurisdicional, em 1º de agosto de 2025, o Tribunal Central Administrativo Sul rejeitou por completo o recurso apresentado pela Câmara lisboeta, reiterando as Magistradas o reconhecimento de conduta dolosa por parte dos diretores de forma consciente e deliberada, plenamente ciente da ilegalidade, reforçando a aplicação do GDPR (equiparado à LGPD) integralmente às entidades públicas, como acontece aqui, pelo artigo 23 da LGPD.
Como visto, a repercussão do caso ultrapassa Portugal e acende um alerta para o Brasil. A Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde 2020, também se aplica à administração pública e, também, aos Poderes Executivo (ao exemplo do caso), como Assembleias Legislativas (parlamentos municiais de Portugal), Câmaras Municipais de Vereadores, Assembleias Legislativas e Câmara Distrital, Câmara dos Deputados e Senado Federal, órgãos do Poder Legislativo do Brasil.
Vale lembrar que a lei brasileira LGPD estabelece que as sanções pecuniárias não são aplicáveis pela ANPD a órgãos e entidades públicas. Contudo, a ANPD pode aplicar medidas como advertência, publicização da infração e bloqueio ou eliminação de dados. Na prática, a Autoridade Nacional de Proteção de Dados (ANPD) adota, até o momento, uma postura predominantemente educativa, privilegiando orientações e ajustes antes de penalizações mais severas, embora o maior número de sanções no Brasil tenha sido aplicado a órgãos do Poder Público.
Contudo, não significa que não haja consequências, inclusive aos agentes públicos sejam eles gestores, parlamentares e servidores.
Isso porque, no Brasil, uma violação de dados cometida com dolo ou má-fé por agente público pode configurar ato de improbidade administrativa, nos termos da Lei nº 8.429/1992, por atentar contra princípios como legalidade, impessoalidade e moralidade. As sanções previstas incluem perda da função pública, suspensão dos direitos políticos e proibição de contratar com o poder público, afetando diretamente a carreira e a reputação do gestor.
Vale lembrar que sanções e condenações, por exemplo, ao pagamento de indenizações às pessoas lesadas podem ser impostas em processos judiciais e acordos, como por exemplo, os celebrados pelo Ministério Público, na tutela dos direitos fundamentais, como o direito à proteção de dados pessoais, a serem suportadas pelo Poder Público.
Nesses casos, quando o ente público é condenado ao pagamento de indenizações, a responsabilização pessoal dos agentes e servidores é mandatória, em sede de direito de regresso, ou seja, será caso em que o município, como na hipótese de violação de direitos pela Câmara Municipal de Vereadores, seja condenado ao pagamento de indenizações, com a consequente cobrança dos servidores e gestores responsáveis, acabando, como em outras hipóteses de danos, por respingar, fortemente, no CPF dos gestores e funcionários, que, como no caso de Lisboa, descumpriram o GDPR, que equivale, aqui, à LGPD.
A experiência portuguesa, portanto, demonstra que a responsabilização não se limita às sanções administrativas, ao ente, mas pode implicar responsabilidade patrimonial aos gestores e servidores, como decorrência, por exemplo, da atuação dos Tribunais de Contas, também responsáveis pela fiscalização do cumprimento da LGPD pelos órgãos brasileiros.
O Russiagate também evidencia um ponto relevante: o imperioso respeito à legalidade, previsto no Brasil pelo art. 37 da Constituição Federal para todas as práticas administrativas, ainda que atipicamente desempenhadas pelos Poderes Executivo, Legislativo e Judiciário. No Brasil, a LGPD é inequívoca: falhas no tratamento de dados pessoais não podem ser tratadas como simples lapsos burocráticos. São, em muitos casos, violações graves, com impactos jurídicos, políticos e, potencialmente, nas esferas patrimoniais dos gestores e servidores.
Vale reforçar: Embora a Lei Geral de Proteção de Dados brasileira não prever sanções pecuniárias para órgãos e entidades públicas, isso não significa ausência de responsabilização. Violações cometidas por agentes públicos em situações críticas podem configurar ato de improbidade administrativa, conforme a Lei nº 8.429/1992, sujeitando o responsável a penalidades severas, como perda da função pública, suspensão dos direitos políticos e proibição de contratar com o poder público, além do ressarcimento aos cofres públicos no caso de condenações ao pagamento de indenizações que podem dar-se no plano individual ou mesmo coletivo, com consequências ser profundas e comprometedoras, de forma definitiva das carreiras, reputações e patrimônio de gestores e servidores.
O Russiagate não é apenas uma lição distante, arquivada nos tribunais portugueses. É um aviso em letras maiúsculas para qualquer gestor e servidor público brasileiro: dados pessoais não são cifras numa planilha, são pessoas, histórias e direitos. Em tempos de desinformação e fragilidade institucional, cada vazamento de dados mina a confiança coletiva e acende um alerta vermelho: proteger dados é proteger a própria democracia, e a esfera patrimonial dos agentes.
Em jogo estão a integridade institucional e a confiança da sociedade no poder público. Mais do que normas escritas, é necessária a observação, pelos agentes públicos e servidores, também do Poder Legislativo e Judiciário, da cultura sólida de proteção de dados, com investimentos contínuos em treinamentos, construção de políticas, a indicação de encarregados efetivamente capacitados, protocolos claros e fiscalização rigorosa.
