As entidades públicas e privadas notificaram à Comissão Nacional de Protecção de Dados (CNPD) 222 violações de dados pessoais desde que o regulamento europeu entrou em vigor faz amanhã nove meses. O número foi avançado ao PÚBLICO pela própria comissão e abarca o período entre 25 de Maio e sexta-feira passada.

Esta é uma nova obrigação dos responsáveis pelo tratamento dos dados e, em princípio, deve ser feita nos três dias seguintes ao conhecimento da exposição a que os mesmos foram sujeitos. Mas nem todas as violações de dados têm que ser reportadas. Ficam isentas de comunicação as que não forem susceptíveis “de resultar num risco para os direitos e liberdades das pessoas singulares”.

A CNPD não tem números precisos dos casos em que a violação também foi comunicada aos titulares dos dados, o que é obrigatório quando “implicar um elevado risco para os direitos e liberdades das pessoas singulares”. Numa resposta enviada ao PÚBLICO, a comissão explica por que não dispõe desses elementos. “Não temos contabilizado o número de casos em que os titulares dos dados foram igualmente notificados, pois nem sempre tal é legalmente exigível. Mas pode dizer-se empiricamente que tal aconteceu em vários casos”, lê-se na resposta.

Quanto às infracções previstas no Regulamento Geral de Protecção de Dados e às respectivas sanções (que podem ir da mera advertência a multas de 20 milhões de euros), a comissão adianta que no novo quadro legal foram aplicadas quatro coimas, num valor global de 420 mil euros. Já foi noticiado que o Hospital do Barreiro foi multado com três sanções, uma de 100 mil euros e duas de 150 mil, por permitir acessos indevidos a processos clínicos de doentes. A quarta coima, no valor de 20 mil euros, foi aplicada a uma entidade privada, que se terá recusado a dar acesso à gravação de uma chamada a um cidadão. A CNPD continua, no entanto, a aplicar multas no âmbito da legislação anterior aos processos abertos antes de 25 de Maio.

Durante os quase noves meses de vigência do regulamento, a CNPD dá conta que foram abertos 768 processos de averiguação, que tiveram origem em queixas, participações de autoridades e iniciativa da própria autoridade de fiscalização. Relativamente à detecção de infracções, a comissão adianta que “há vários processos a decorrer, que muito previsivelmente poderão redundar na aplicação de coima”.

A definição de limites mínimos e máximos das coimas foi criticada pela comissão num parecer de Maio do ano passado, que defende que Portugal não pode, como sugere o Governo, alterar o montante máximo das sanções em função da categoria do infractor: particular, pequena e média empresa ou grande empresa. Também considera que determinar montantes mínimos viola o regulamento, que admite que, em alguns casos, possa ser aplicada uma mera repreensão. Mesmo assim nota que os montantes mínimos sugeridos pelo Governo para os particulares, os 500 euros, estão abaixo dos fixados há 20 anos. Mas quanto a estas questões nenhum partido apresentou propostas de alteração.

Vinte pessoas para fiscalizar milhões de entidades

O regulamento muda o paradigma da protecção de dados para um modelo de auto-regulação onde são as entidades que avaliam as próprias práticas, passando as autoridades de controlo, em Portugal a Comissão Nacional de Protecção de Dados (CNPD), a ter essencialmente um papel fiscalizador. Tal implica que a comissão faça inspecções por todo o país e num universo de milhões de eventuais infractores — principalmente entidades públicas e privadas com ou sem fins lucrativos. No entanto, a sua missão está condicionada. “A actual organização dos serviços, bem como os escassos recursos humanos de que dispõe, não permitem o adequado cumprimento da sua missão”, reconhece a própria CNPD. E sublinha: “A comissão tem um quadro de pessoal que compreende na sua totalidade um dirigente e 20 pessoas.”

A CNPD alerta que este quadro de incapacidade pode criar, nas empresas que se esforçaram por cumprir o regulamento, “um sentimento de injustiça e de efectivo prejuízo no plano concorrencial, pelo investimento de recursos financeiros e humanos que a adaptação lhes exigiu”. A comissão fala também numa “inexistência de capacidade de resposta às muitas solicitações de cidadãos, empresas e organismos públicos”. Para a CNPD, é “urgente” o reforço e reorganização dos serviços. “É inadiável o reforço substancial de recursos humanos, que deveriam, no mínimo, ultrapassar a meia centena.” 

Em Abril do ano passado, o PS avançou com uma proposta para adaptar a orgânica da comissão, que foi chumbada com os votos contra do PSD, PCP e Verdes. Entretanto, ninguém apresentou alternativas e o deputado socialista Pedro Delgado Alves diz que o PS pretende voltar a colocar a proposta na mesa. Todos os partidos reconhecem a necessidade de fazer esta mudança, a par da aprovação da lei que adapta o regulamento, mas desconhece-se em que termos.