Quatro anos após a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD), a Comissão Nacional de Proteção de Dados (CNPD) registou em 2021 máximos de processos de averiguações, violações de dados e coimas.
Segundo dados enviados à Lusa pela CNPD, o maior aumento ocorreu nas coimas, que atingiram no ano passado as 60 num valor total de 1,49 milhões de euros, incluindo as sanções aplicadas ao abrigo do RGPD e da lei da privacidade nas comunicações eletrónicas, onde se enquadram as normas relativas ao "spam" e às gravações de chamadas.
Do total de coimas sobressai a aplicada à Câmara de Lisboa no caso do envio de dados de ativistas às autoridades russas, no valor de 1,25 milhões de euros.
Em 2020 só foram aplicadas 15 coimas, no valor de 47 mil euros, enquanto em 2019 houve 34 multas, num valor de cerca de 600 mil euros, sendo que apenas sete destas sanções foram infrações ao RGPD (410 mil euros) e as restantes aplicaram-se no âmbito de legislação anterior. Já no ano 2018, e somente desde que o RGPD entrou em vigor em 25 de maio, a CNPD aplicou 22 coimas, que ascenderam a 408 mil euros.
Somando a atividade sancionatória da CNPD desde a vigência do RGPD, verifica-se um total de 131 coimas, que originaram mais de 2,54 milhões de euros.
No que toca a notificações de violação de dados pessoais, a autoridade reguladora presidida por Filipa Calvão registou um total de 318 no ano passado, ao abrigo do RGPD, 250 das quais no setor privado e 68 no setor público. Entre os privados, a maior prevalência ocorreu na área de comércio e serviços (78 notificações), seguindo-se a banca e seguros (42); no setor público destacaram-se os incidentes na administração local (27) e no ensino superior (24).
"Quanto à origem dos incidentes de segurança, surge em primeiro lugar "falha humana", em 77 notificações; em segundo lugar, "ransomware", indiciado em 70 notificações; o "phishing" motivou 38 incidentes notificados e 32 deveram-se a falhas aplicacionais", explica a CNPD, acrescentando que "o princípio da confidencialidade dos dados foi o mais comprometido", com 249 casos, à frente do princípio da disponibilidade (86) e do princípio da integridade (64), embora um incidente possa afetar mais do que um princípio em simultâneo.
As 318 violações de dados pessoais em 2021 tiveram também um aumento relativamente às 301 notificadas em 2020, às 240 de 2019 e às 161 entre 25 de maio e 31 de dezembro de 2018. No cômputo geral deste período pós-RGPD, contabilizam-se 1.020 notificações de violação de dados pessoais.
Paralelamente, foram abertos 1.232 processos de averiguações em 2021, entre os quais estão investigações por iniciativa própria da CNPD e denúncias de outras entidades, como PSP, GNR, ASAE, Ministério Público (MP) ou Autoridade para as Condições do Trabalho (ACT).
O número marca um aumento de 11,6% face aos 1.104 processos de 2020 e é ainda superior aos registos de 2019 (936) e do período de vigência do RGPD em 2018 (610), resultando num total de 3.882 ao longo destes anos. Estes processos abrangem não só situações cobertas pelo RGPD, mas também por qualquer legislação em matéria de proteção de dados pessoais, em particular no setor das comunicações eletrónicas e no setor policial.
Em relação a pedidos de parecer sobre projetos de diploma, regulamentos, protocolos ou sistemas de videovigilância - quer na esfera do RGPD, quer da lei de proteção de dados para efeitos de investigação criminal e repressão de infrações penais -, a CNPD recebeu 135 pedidos em 2021, mais do que foi registado em 2020 (105), 2019 (81) ou 2018 (29), o que perfaz 350 pedidos após maio de 2018.
Por último, a autoridade administrativa revelou que até sexta-feira estavam registados 4.397 encarregados de proteção de dados (EPD), dos quais 813 em funções em entidades públicas e 3.584 em entidades privadas, contra 3.620 EPD ativos no final de 2020 e 3.104 que tinham sido notificados à CNPD em 2019.
A proteção de dados pessoais ganhou outra força com a aplicação do RGPD após 25 de maio de 2018, sensivelmente dois anos depois da aprovação no Parlamento Europeu e no Conselho Europeu. Entre as principais mudanças esteve a imposição de avultadas sanções financeiras que, no limite, podem atingir para as contraordenações muito graves os 20 milhões de euros ou 4% do volume de negócios anual a nível mundial dos infratores, consoante o valor que seja mais elevado.