Proteção de dados regista máximos de coimas, violações de dados e processos de averiguações em 2021

Quatro anos após a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD), a Comissão Nacional de Proteção de Dados (CNPD) registou em 2021 máximos de processos de averiguações, violações de dados e coimas.

Segundo dados enviados à Lusa pela CNPD, o maior aumento ocorreu nas coimas, que atingiram no ano passado as 60 num valor total de 1,49 milhões de euros, incluindo as sanções aplicadas ao abrigo do RGPD e da lei da privacidade nas comunicações eletrónicas, onde se enquadram as normas relativas ao "spam" e às gravações de chamadas. Do total de coimas sobressai a aplicada à Câmara Municipal de Lisboa no caso do envio de dados de ativistas às autoridades russas, no valor de 1,25 milhões de euros.

Em 2020 só foram aplicadas 15 coimas, no valor de 47 mil euros, enquanto em 2019 houve 34 multas, num valor de cerca de 600 mil euros, sendo que apenas sete destas sanções foram infrações ao RGPD (410 mil euros) e as restantes aplicaram-se no âmbito de legislação anterior. Já no ano 2018, e somente desde que o RGPD entrou em vigor em 25 de maio, a CNPD aplicou 22 coimas, que ascenderam a 408 mil euros.

Somando a atividade sancionatória da CNPD desde a vigência do RGPD, verifica-se um total de 131 coimas, que originaram mais de 2,54 milhões de euros.

No que toca a notificações de violação de dados pessoais, a autoridade reguladora presidida por Filipa Calvão registou um total de 318 no ano passado, ao abrigo do RGPD, 250 das quais no setor privado e 68 no setor público. Entre os privados, a maior prevalência ocorreu na área de comércio e serviços (78 notificações), seguindo-se a banca e seguros (42); no setor público destacaram-se os incidentes na administração local (27) e no ensino superior (24).

"O princípio da confidencialidade dos dados foi o mais comprometido", com 249 casos

"Quanto à origem dos incidentes de segurança, surge em primeiro lugar "falha humana", em 77 notificações; em segundo lugar, "ransomware", indiciado em 70 notificações; o "phishing" motivou 38 incidentes notificados e 32 deveram-se a falhas aplicacionais", explica a CNPD, acrescentando que "o princípio da confidencialidade dos dados foi o mais comprometido", com 249 casos, à frente do princípio da disponibilidade (86) e do princípio da integridade (64), embora um incidente possa afetar mais do que um princípio em simultâneo.

As 318 violações de dados pessoais em 2021 tiveram também um aumento relativamente às 301 notificadas em 2020, às 240 de 2019 e às 161 entre 25 de maio e 31 de dezembro de 2018. No cômputo geral deste período pós-RGPD, contabilizam-se 1.020 notificações de violação de dados pessoais.

Paralelamente, foram abertos 1.232 processos de averiguações em 2021, entre os quais estão investigações por iniciativa própria da CNPD e denúncias de outras entidades, como PSP, GNR, ASAE, Ministério Público (MP) ou Autoridade para as Condições do Trabalho (ACT).

O número marca um aumento de 11,6% face aos 1.104 processos de 2020 e é ainda superior aos registos de 2019 (936) e do período de vigência do RGPD em 2018 (610), resultando num total de 3.882 ao longo destes anos. Estes processos abrangem não só situações cobertas pelo RGPD, mas também por qualquer legislação em matéria de proteção de dados pessoais, em particular no setor das comunicações eletrónicas e no setor policial.

Em relação a pedidos de parecer sobre projetos de diploma, regulamentos, protocolos ou sistemas de videovigilância - quer na esfera do RGPD, quer da lei de proteção de dados para efeitos de investigação criminal e repressão de infrações penais -, a CNPD recebeu 135 pedidos em 2021, mais do que foi registado em 2020 (105), 2019 (81) ou 2018 (29), o que perfaz 350 pedidos após maio de 2018.

Por último, a autoridade administrativa revelou que até sexta-feira estavam registados 4.397 encarregados de proteção de dados (EPD), dos quais 813 em funções em entidades públicas e 3.584 em entidades privadas, contra 3.620 EPD ativos no final de 2020 e 3.104 que tinham sido notificados à CNPD em 2019.

Municípios e freguesias atrasados na proteção de dados

Apenas 170 dos 308 municípios e 38 das quase 2.000 freguesias abrangidas comunicaram à autoridade responsável ter um Encarregado de Proteção de Dados, obrigatório desde a entrada em vigor do regulamento de proteção de dados, há quatro anos.

O Regulamento Geral sobre a Proteção de Dados (RGPD), aplicado em Portugal e na União Europeia desde 25 de maio de 2018, estabelece regras sobre privacidade e a proteção dos dados pessoais que as instituições públicas e privadas da União Europeia guardam dos cidadãos e prevê a figura do Encarregado de Proteção de Dados (EPD), uma espécie de 'provedor' dos direitos e obrigações dos titulares desses dados.

Segundo a Comissão Nacional de Proteção de Dados (CNPD), até 20 de maio tinham sido comunicados a esta entidade, tal como prevê a lei, a existência de 220 EPD relacionados com autarquias.

Destes, 170 foram designados por municípios e 12 por Comunidades Intermunicipais (que não são autarquias, mas associações de municípios).

As freguesias são as autarquias mais atrasadas neste processo, já que, segundo a CNPD, apenas 38 freguesias tinham comunicado até essa data terem um EPD.

A lei prevê que tenha de existir pelo menos um Encarregado de Proteção de Dados "por cada município, sendo designado pela câmara municipal", e também "nas freguesias em que tal se justifique, nomeadamente naquelas com mais de 750 habitantes". Das 3.091 juntas de freguesia do país, estimam-se em 1.977 as que têm mais de 750 habitantes.

A comissão sublinhou, no entanto, que "poderá dar-se o caso de haver EPD designados e que não foram notificados à CNPD" até à passada sexta-feira.

A importância de um EPD nas autarquias, nomeadamente nas câmaras municipais, ficou mais conhecida da opinião pública portuguesa em junho de 2021, através da polémica divulgação de dados pessoais de ativistas dissidentes russos à embaixada da Rússia, que na altura argumentaram que desta forma foi posta em causa a respetiva segurança e de familiares, pela Câmara de Lisboa, que não tinha então designado ainda um EPD.

A função deste encarregado, que deve ter formação em direito, é como um "provedor" dos titulares dos dados: Informa e aconselha o organismo público ou privado responsável sobre o tratamento a dar aos dados pessoais que tem guardados e as obrigações que tem na proteção desses dados.

Para controlar a conformidade dos procedimentos do organismo, nomeadamente das autarquias, com o RGPD, o EPD é "totalmente independente" no exercício da sua função, está obrigado a guardar sigilo e confidencialidade e tanto pode ser um funcionário ou alguém externo ao organismo de que é protetor de dados.

No entanto, o regulamento admite que "pode ser designado o mesmo encarregado de proteção de dados" para várias autarquias locais ou outra instituição, desde que não haja incompatibilidades entre os vários organismos onde exerça funções, já que o encarregado não está obrigado ao regime de exclusividade.

O RGDP começou a ser aplicado em Portugal e restantes Estados-membros em 25 de maio de 2018, introduzindo sanções pelo seu incumprimento que podem ir, nos casos mais graves, até 20 milhões de euros ou 4% do volume de negócios anual a nível mundial.

Nos casos menos graves de violação dos dados pessoais, as coimas podem ir até 10 milhões de euros ou 2% do volume de negócios anual a nível mundial.

Segundo o regulamento, os cidadãos têm de dar consentimento explícito para os seus dados pessoais serem usados -- e para que fim -- e podem pedir para sejam apagados a qualquer momento.

A lei estabelece que a Comissão Nacional de Proteção de Dados é a autoridade de controlo nacional para efeitos do RGPD.

Portugal tem 308 municípios, 3.091 juntas de freguesia e 23 entidades intermunicipais (21 Comunidades Intermunicipais e as Áreas Metropolitanas de Lisboa e do Porto).

A proteção de dados pessoais ganhou outra força com a aplicação do RGPD em 2018, sensivelmente dois anos depois da aprovação no Parlamento Europeu e no Conselho Europeu. Entre as principais mudanças esteve a imposição de avultadas sanções financeiras que, no limite, podem atingir para as contraordenações muito graves os 20 milhões de euros ou 4% do volume de negócios anual a nível mundial dos infratores, consoante o valor que seja mais elevado.