Quatro anos após a entrada em vigor do Regulamento Geral sobre a Protecção de Dados (RGPD), a Comissão Nacional de Protecção de Dados (CNPD) registou em 2021 máximos de processos de averiguações, violações de dados e coimas. O maior aumento ocorreu nas coimas.

No ano passado, houve 60, num valor total de 1,49 milhões de euros, incluindo as sanções aplicadas ao abrigo do RGPD e da lei da privacidade nas comunicações electrónicas, onde se enquadram as normas relativas ao spam e às gravações de chamadas. Do total sobressai a aplicada à Câmara Municipal de Lisboa no caso do envio de dados de activistas às autoridades russas, no valor de 1,25 milhões de euros.

Em 2020, só foram aplicadas 15 coimas, no valor de 47 mil euros. Em 2019, houve 34 multas, num valor de cerca de 600 mil euros, sendo que sete destas sanções dizem respeito a infracções ao RGPD (410 mil euros) e as restantes à legislação anterior. Já no ano 2018, ano em que a RGPD entrou em vigor, a CNPD aplicou 22 coimas, que ascenderam a 408 mil euros.

Somando a actividade sancionatória da CNPD desde a vigência do RGPD, verifica-se um total de 131 coimas. Estas originaram mais de 2,54 milhões de euros.

No que toca a notificações de violação de dados pessoais, a autoridade reguladora presidida por Filipa Calvão registou um total de 318 no ano passado, ao abrigo do RGPD, 250 das quais no sector privado e 68 no sector público. Entre os privados, a maior prevalência ocorreu na área de comércio e serviços (78 notificações), seguindo-se a banca e seguros (42); no sector público destacaram-se os incidentes na administração local (27) e no ensino superior (24).

Quanto à origem dos incidentes de segurança, surge em primeiro lugar “falha humana”, com 77 notificações; em segundo lugar, “ransomware”, com 70. O phishing motivou 38 incidentes notificados. Houve ainda 32 que se deveram a falhas aplicacionais, explicou a CNPD, acrescentando que “o princípio da confidencialidade dos dados foi o mais comprometido”, com 249 casos, à frente do princípio da disponibilidade (86) e do princípio da integridade (64), embora um incidente possa afectar mais do que um princípio em simultâneo.

As 318 violações de dados pessoais em 2021 tiveram também um aumento relativamente às 301 notificadas em 2020, às 240 de 2019 e às 161 entre 25 de Maio e 31 de Dezembro de 2018. No cômputo geral deste período pós-RGPD, contabilizam-se 1.020 notificações de violação de dados pessoais.

Paralelamente, foram abertos 1.232 processos de averiguações em 2021, entre os quais estão investigações por iniciativa própria da CNPD e denúncias de outras entidades, como PSP, GNR, ASAE, Ministério Público (MP) ou Autoridade para as Condições do Trabalho (ACT). O número marca um aumento de 11,6% face aos 1.104 processos de 2020 e é ainda superior aos registos de 2019 (936) e do período de vigência do RGPD em 2018 (610), resultando num total de 3882 ao longo destes anos. Estes processos abrangem não só situações cobertas pelo RGPD, mas também por qualquer legislação em matéria de protecção de dados pessoais, em particular no sector das comunicações electrónicas e no sector policial.

Em relação a pedidos de parecer sobre projectos de diploma, regulamentos, protocolos ou sistemas de videovigilância - quer na esfera do RGPD, quer da lei de protecção de dados para efeitos de investigação criminal e repressão de infracções penais -, a CNPD recebeu 135 pedidos em 2021. Mais do que foi registado em 2020 (105), 2019 (81) ou 2018 (29), o que perfaz 350 pedidos após Maio de 2018.

Por último, a autoridade administrativa revelou que até sexta-feira estavam registados 4397 encarregados de protecção de dados (EPD). Desses, 813 em funções em entidades públicas e 3584 em entidades privadas, contra 3620 EPD activos no final de 2020 e 3104 que tinham sido notificados à CNPD em 2019.

A protecção de dados pessoais ganhou outra força com a aplicação do RGPD após 25 de Maio de 2018, sensivelmente dois anos depois da aprovação no Parlamento Europeu e no Conselho Europeu. Entre as principais mudanças esteve a imposição de avultadas sanções financeiras que, no limite, podem atingir para as contra-ordenações muito graves os 20 milhões de euros ou 4% do volume de negócios anual a nível mundial dos infractores, consoante o valor que seja mais elevado.