‘Medinagate’ en lessen die sommige gemeenten niet hebben geleerd

1 Ongeveer vier jaar geleden kwam de gemeente Lissabon in het nieuws nadat ze op onrechtmatige wijze de persoonsgegevens van de organisatoren van een demonstratie ter ondersteuning van Aleksej Navalny had gedeeld met een breed scala aan nationale en buitenlandse instanties, waaronder de ambassade van de Russische Federatie en het Russische ministerie van Buitenlandse Zaken.

De gevolgen lieten niet lang op zich wachten: juridisch gezien bestrafte de Nationale Commissie voor Gegevensbescherming (CNPD) het gedrag met een boete van € 1.250.000,00 (destijds de hoogste boete die in Portugal werd opgelegd voor het overtreden van het toepasselijke regelgevingskader voor de bescherming van persoonsgegevens); politiek gezien gebruikte de oppositie de zaak als een "vlag" tegen de toenmalige burgemeester Fernando Medina, wat zijn imago schaadde en uiteindelijk leidde tot een verrassende nederlaag tegen Carlos Moedas bij de komende lokale verkiezingen.

2 Al die jaren later herhaalt de geschiedenis zich, onbegrijpelijk genoeg. Met twee verschillen: de "dader" is nu niet de gemeente Lissabon, maar de gemeente Faro; de "slachtoffers" zijn op hun beurt niet langer de initiatiefnemers van een solidariteits- en protestactie voor de vrijlating van Navalny, maar degenen die verantwoordelijk zijn voor het organiseren van een demonstratie met de titel "Pot-a-Pot ter ondersteuning van Palestina en tegen de genocide in de Gazastrook".

Voor het overige – wat werkelijk relevant is – blijft alles bij het oude: in augustus 2025, net als in juni 2021, heeft een nationale gemeente informatie over geïdentificeerde personen aan derden verstrekt (in dit geval naar verluidt aan meer dan dertig entiteiten) zonder dat daarvoor een wettelijke basis bestond. Dit komt doordat, zoals we in een eerder artikel in deze krant hebben kunnen uitleggen, decreetwet nr. 406/74 van 29 augustus slechts bepaalt dat enerzijds "personen of entiteiten die van plan zijn vergaderingen, bijeenkomsten, demonstraties of optochten te houden op openbare of voor het publiek toegankelijke plaatsen, de burgemeester van de territoriaal bevoegde gemeente hiervan ten minste twee werkdagen van tevoren schriftelijk op de hoogte moeten stellen" (art. 2, nr. 1); en ten tweede dat "de kennisgeving moet worden ondertekend door drie van de initiatiefnemers, naar behoren geïdentificeerd met naam, beroep en adres, of, in het geval van verenigingen, door hun respectieve bestuurders" (art. 2, nr. 2). Deze wetgeving vereist echter nergens dat dergelijke gegevens aan derden worden doorgegeven, en staat dat ook niet toe – zoals overigens vorig jaar werd bevestigd door de bestuursrechter van het district Lissabon in de eerder genoemde zaak Medinagate.

Bovendien, zoals de CNPD stelde in haar beruchte Deliberatie nr. 2021/1569 van 21 december, zijn persoonsgegevens die worden verzameld onder de voorwaarden en voor de doeleinden zoals uiteengezet in Decreetwet nr. 406/74 van 29 augustus niet zomaar persoonsgegevens, maar eerder informatie die mogelijk de politieke opvattingen, religieuze of filosofische overtuigingen van de betrokkenen onthult. Met andere woorden, informatie die valt onder de zogenaamde "bijzondere categorieën persoonsgegevens" en als zodanig onderworpen is aan een versterkt beschermingsregime krachtens de bepalingen van artikel 9, leden 1 en 2, van de Algemene Verordening Gegevensbescherming (AVG). Dit vereiste dat de verantwoordelijken voor de verwerking extra zorgvuldig te werk moesten gaan – temeer omdat zij overheidsinstanties zijn, wettelijk gebonden aan het legaliteitsbeginsel en moreel gebonden aan de plicht om het goede voorbeeld te geven.

3 In deze context – en als de tot nu toe gerapporteerde feiten worden bevestigd – kan er maar één conclusie worden getrokken: sommige nationale gemeenten (te beginnen met de gemeente Faro) lijken weinig tot niets te hebben geleerd van de Medinagate-zaak. Deze omstandigheid is des te zorgwekkender in een tijd waarin er zoveel wordt gesproken over "digitale transformatie" en met name de integratie van disruptieve technologieën, zoals kunstmatige intelligentie, in lokale bestuurlijke activiteiten – met alle voordelen en risico's van dien voor het algemeen belang (enerzijds) en de rechten van burgers (anderzijds).

Het CNPD moet daarom niet alleen een krachtig standpunt innemen, maar ook een coherent standpunt. Een krachtig standpunt, om duidelijk te maken dat niet-naleving van de AVG en andere toepasselijke wetgeving inzake de bescherming van persoonsgegevens niet kan worden "genormaliseerd" – vooral niet wanneer dit het gevolg is van praktijken die eerder door de Commissie zelf zijn veroordeeld en zelfs zwaar zijn bestraft. Consistentie, om evenzeer duidelijk te maken dat voor het CNPD geen enkele verwerkingsverantwoordelijke gelijk is aan anderen; en dat de hoge boete die de gemeente Lissabon in 2021 werd opgelegd niet het gevolg was van politieke of mediale druk, maar eerder de enige mogelijke reactie op gedrag waarvan de ernst in een democratische rechtsstaat niet kan worden getolereerd.

Kiezers zullen hun stem moeten uitbrengen. Het is ook een nieuwe kans om te peilen hoeveel waarde zij hechten aan hun recht op bescherming van persoonsgegevens, en hoe ver zij bereid zijn te gaan om de schending ervan te bestraffen – al is het maar om de geschillen rond Fernando Medina's daden tijdens de laatste lokale verkiezingen op te lossen.

Let op: de in dit artikel geuite meningen zijn op individuele basis geformuleerd en zijn niet bindend voor de entiteit waarvoor de auteur werkzaam is.