Abrem-se as cortinas.
Entra em cena o Centro Nacional de Cibersegurança (CNCS).
CNCS: Venham ver o MyCiber, a nossa nova plataforma! Registem-se e venham ver!
Entra a Microsoft em cena.
Microsoft: Preencham aqui, fregueses!
CNCS: Venham, venham! Vamos falar de conformidade jurídica!
Esta página é um formulário Microsoft Teams (link).
Isto significa que, para registar-me, tenho de aceitar os Termos e Condições do Microsoft Event.
Aqui há, portanto, dois tratamentos de dados separados: um por parte da Microsoft, outro por parte do CNCS... e cadê a Política de Privacidade deste último? Temos de ir à procura..?
Quem é quem, ao nível da RGPD, nesta peça?
A Microsoft é subcontratante/processador? O CNCS é responsável (controlador) pelo tratamento dos dados para os fins do evento?
Em caso afirmativo, não deveria este último informar (na própria página ou através de um link) sobre quem é o responsável pelo tratamento dos dados, a finalidade do tratamento, por quanto tempo os guarda, com quem os partilha (se), quais os direitos de quem submete os dados (acesso, retificação, eliminação, etc)...
O CNCS, entidade pública portuguesa, está a usar infraestrutura de uma empresa privada americana (Microsoft) para recolher nome e email das pessoas que querem participar num evento institucional.
Enfim, nada disto é novo ou de espantar na gestão da infrastrutura digital do Governo PT.
FIM (fecham-se as cortinas).