SulOffice.pt

Proteção de dados regista máximos de coimas, violações de dados e processos de averiguações em 2021

Quatro anos após a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD), a Comissão Nacional de Proteção de Dados (CNPD) registou em 2021 máximos de processos de averiguações, violações de dados e coimas.

Segundo dados enviados à Lusa pela CNPD, o maior aumento ocorreu nas coimas, que atingiram no ano passado as 60 num valor total de 1,49 milhões de euros, incluindo as sanções aplicadas ao abrigo do RGPD e da lei da privacidade nas comunicações eletrónicas, onde se enquadram as normas relativas ao “spam” e às gravações de chamadas.

Do total de coimas sobressai a aplicada à Câmara Municipal de Lisboa no caso do envio de dados de ativistas às autoridades russas, no valor de 1,25 milhões de euros.

Em 2020 só foram aplicadas 15 coimas, no valor de 47 mil euros, enquanto em 2019 houve 34 multas, num valor de cerca de 600 mil euros, sendo que apenas sete destas sanções foram infrações ao RGPD (410 mil euros) e as restantes aplicaram-se no âmbito de legislação anterior. Já no ano 2018, e somente desde que o RGPD entrou em vigor em 25 de maio, a CNPD aplicou 22 coimas, que ascenderam a 408 mil euros.

Somando a atividade sancionatória da CNPD desde a vigência do RGPD, verifica-se um total de 131 coimas, que originaram mais de 2,54 milhões de euros.

No que toca a notificações de violação de dados pessoais, a autoridade reguladora presidida por Filipa Calvão registou um total de 318 no ano passado, ao abrigo do RGPD, 250 das quais no setor privado e 68 no setor público. Entre os privados, a maior prevalência ocorreu na área de comércio e serviços (78 notificações), seguindo-se a banca e seguros (42); no setor público destacaram-se os incidentes na administração local (27) e no ensino superior (24).

“Quanto à origem dos incidentes de segurança, surge em primeiro lugar “falha humana”, em 77 notificações; em segundo lugar, ransomware, indiciado em 70 notificações; o phishing motivou 38 incidentes notificados e 32 deveram-se a falhas aplicacionais”, explica a CNPD, acrescentando que “o princípio da confidencialidade dos dados foi o mais comprometido”, com 249 casos, à frente do princípio da disponibilidade (86) e do princípio da integridade (64), embora um incidente possa afetar mais do que um princípio em simultâneo.

As 318 violações de dados pessoais em 2021 tiveram também um aumento relativamente às 301 notificadas em 2020, às 240 de 2019 e às 161 entre 25 de maio e 31 de dezembro de 2018. No cômputo geral deste período pós-RGPD, contabilizam-se 1.020 notificações de violação de dados pessoais.

Paralelamente, foram abertos 1.232 processos de averiguações em 2021, entre os quais estão investigações por iniciativa própria da CNPD e denúncias de outras entidades, como PSP, GNR, ASAE, Ministério Público (MP) ou Autoridade para as Condições do Trabalho (ACT).

O número marca um aumento de 11,6% face aos 1.104 processos de 2020 e é ainda superior aos registos de 2019 (936) e do período de vigência do RGPD em 2018 (610), resultando num total de 3.882 ao longo destes anos. Estes processos abrangem não só situações cobertas pelo RGPD, mas também por qualquer legislação em matéria de proteção de dados pessoais, em particular no setor das comunicações eletrónicas e no setor policial.

Em relação a pedidos de parecer sobre projetos de diploma, regulamentos, protocolos ou sistemas de videovigilância – quer na esfera do RGPD, quer da lei de proteção de dados para efeitos de investigação criminal e repressão de infrações penais -, a CNPD recebeu 135 pedidos em 2021, mais do que foi registado em 2020 (105), 2019 (81) ou 2018 (29), o que perfaz 350 pedidos após maio de 2018.

Por último, a autoridade administrativa revelou que até sexta-feira estavam registados 4.397 encarregados de proteção de dados (EPD), dos quais 813 em funções em entidades públicas e 3.584 em entidades privadas, contra 3.620 EPD ativos no final de 2020 e 3.104 que tinham sido notificados à CNPD em 2019.

A proteção de dados pessoais ganhou outra força com a aplicação do RGPD após 25 de maio de 2018, sensivelmente dois anos depois da aprovação no Parlamento Europeu e no Conselho Europeu. Entre as principais mudanças esteve a imposição de avultadas sanções financeiras que, no limite, podem atingir para as contraordenações muito graves os 20 milhões de euros ou 4% do volume de negócios anual a nível mundial dos infratores, consoante o valor que seja mais elevado.

 

Associação diz que falta em Portugal cultura de proteção de dados

A presidente da Associação dos Profissionais de Proteção e de Segurança de Dados (APDPO) denuncia a ausência de uma cultura de proteção de dados em Portugal e considera que há um défice de fiscalização nesta área.

Para Inês Oliveira, que lidera a associação desde 2021 e que em 2018 se tornou a encarregada de proteção de dados (EPD) do Ministério da Justiça, “a Comissão Nacional de Proteção de Dados (CNPD) devia fiscalizar mais” o cumprimento das normas, sobretudo face ao Regulamento Geral de Proteção de Dados (RGPD), que cumpre esta quarta-feira quatro anos da sua entrada em vigor.

“A fiscalização deveria ser muito mais ativa e, efetivamente, a não fiscalização faz com que haja um certo relaxamento”, disse à Lusa, criticando a autoridade administrativa por não fazer ações de sensibilização ou apresentar planos de atividades, adiantando que “também não vai divulgando as decisões”.

“A não transparência na aplicação das coimas da CNPD, que não vejo em mais país nenhum, traz um efeito sistémico de que nada acontece”, disse.

Perante o “relaxamento” no respeito pelas normas do RGPD, que considera ser transversal entre os setores público e privado, Inês Oliveira alerta que a resposta passa pela consciencialização das estruturas de topo das organizações para a importância da segurança dos dados e salienta que se uma entidade não der prioridade a este tema, “ou está a ser atacada ou vai ser”.

“A primeira coisa a fazer é capacitar as lideranças para a importância da proteção de dados e para a obrigação de nomear um EPD. Atrevo-me a dizer que muitas das organizações desconhecem esta obrigação, porque, efetivamente, apesar de já termos legislação de proteção de dados desde 1991, é uma matéria que tem ficado sempre na gaveta. Não temos uma cultura de proteção de dados”, afirmou.

Mais do que considerar a proteção de dados como mera salvaguarda de informações, a presidente da APDPO desfaz a ideia “errada” de ser só uma despesa para empresas ou organismos públicos e lembra o caso do envio de dados de ativistas às autoridades russas pela Câmara Municipal de Lisboa (CML) em 2021 para assinalar o impacto ao nível da reputação e da confiança para a sociedade.

“São despesas que podem trazer benefícios reputacionais aos dirigentes. O caso da CML é bastante exemplificativo do prejuízo reputacional que trouxe para o presidente da Câmara [Fernando Medina, quando este caso ocorreu]; em segundo lugar, o grande benefício é gerar confiança para o mercado, e a confiança trará lucro para as empresas e trará eficiência e interesse público no âmbito do setor público”, disse.

Além da intervenção da CNPD em Portugal, Inês Oliveira considera que a nível europeu tem sido dada “uma resposta um pouco contraditória no que toca à proteção de dados”, em que ao “RGPD altamente protetor” que passou a ser aplicado desde 25 de maio de 2018 se têm sucedido diversos diplomas “que acabam por neutralizar e hipotecar o direito à proteção de dados”, citando como exemplo uma recente proposta de combate à pornografia infantil.

“Obriga as operadoras a rastrear os comportamentos dos utilizadores e a sinalizar mensagens com conteúdos pornográficos e a destacar imagens com nus de crianças. Ou seja, a própria Comissão Europeia tem uma preocupação muito grande com a proteção de dados, mas depois – e não estou a dizer que as finalidades não são legítimas – neutraliza totalmente o direito à proteção de dados e põe entidades privadas a fiscalizar os utilizadores”, explica.

Embora reconheça os “recursos diminutos” da CNPD, Inês Oliveira destaca a necessidade de ir além da notificação de nomeação do EPD nas organizações, que diz estar ainda “manifestamente abaixo” do que deveria ser.

Partindo do caso do acolhimento de refugiados ucranianos por elementos russos em Setúbal e da inexistência de um EPD na autarquia até então, a líder da APDPO nota que são precisas competências específicas para a função.

“Continuam a existir organizações que não nomeiam [EPD], mas muito mais grave é nomearem mal, nomearem qualquer um, nomearem pessoas que não têm habilitações literárias para o cargo. A mera nomeação não basta, tem de ser uma nomeação nos termos da lei e cumprindo os seus requisitos. Não pode ser qualquer pessoa a ser EPD”, conclui.

 

Associação de Encarregados de Proteção de Dados defende conservação de metadados por seis meses

A conservação de metadados de telecomunicações para eventual utilização em investigações criminais deveria ser feita por “seis meses”, defende ainda a presidente da APDPO.

Inês Oliveira considera que estes seis meses representam já “um período menor” face à duração de um ano prevista na Lei n.º 32/2008, um dos aspetos declarados inconstitucionais pelo Tribunal Constitucional (TC), além das categorias de dados a armazenar pelos operadores e as condições de transmissão de dados armazenados para investigação.

Em acórdão de 19 de abril, o TC declarou inconstitucionais normas da chamada lei dos metadados que determinam que os fornecedores de serviços telefónicos e de internet devem conservar os dados relativos às comunicações dos clientes – entre os quais origem, destino, data e hora, tipo de equipamento e localização – pelo período de um ano, para eventual utilização em investigação criminal.

“A proteção de dados é um direito fundamental, mas não é absoluto e não pode ser utilizada de forma abusiva para termos uma sociedade insegura. Agora, não podemos tratar todos como suspeitos e andar durante um ano a conservar dados que podem não ser utilizados pelas polícias, mas que podem ser pirateados ou utilizados para fins comerciais”, alerta a presidente da APDPO.

Sem deixar de admitir que o uso de metadados para investigação criminal “é uma finalidade legítima” e que a segurança nacional e o combate à criminalidade “podem fazer ceder a proteção de dados”, Inês Oliveira distingue o acesso das autoridades da questão da conservação e defende que o chumbo do TC à lei dos metadados deixa margem para alternativas na investigação.

“Uma conservação massiva e indiscriminada dos dados, considerando todos como suspeitos, é grave e tem de haver um motivo muito preponderante. O TC veio dizer que não há motivo e que as polícias acabam por ter outras formas de rastrear um suspeito, nomeadamente escutas, conservando daí para a frente os dados ou acedendo aos dados da faturação que essas empresas já conservam”, observa.

Num momento em que o grupo de trabalho criado pelo Ministério da Justiça para avaliar o impacto desta decisão está a ultimar uma nova proposta de lei, Inês Oliveira defende que a lei dos metadados pode representar um maior risco de acesso indevido, ao contemplar uma base de dados distinta daquela que as operadoras já têm para faturação.

“Não se venha dizer que acaba agora por hipotecar as investigações todas. Não. As polícias podem continuar a aceder aos dados, pedindo às operadoras os dados que guardam para efeitos de faturação durante seis meses. Portanto, temos de medir bem e ver se não estamos a duplicar dados com o risco acrescido de poderem ser acedidos por terceiros”, refere, acrescentando: “O direito fundamental à proteção de dados tem de ser muito bem balanceado nos fins policiais. Senão, corremos o risco de ele ficar totalmente hipotecado”.

Inês Oliveira considera ainda “muito perigosa” a ideia de “colocar em entidades privadas uma quantidade de dados exorbitante” e recorda o ciberataque à Vodafone em fevereiro deste ano: “Não temos a certeza de que terceiros não tiveram acesso a estas informações”.

Questionada sobre como conciliar o direito à proteção dos dados pessoais com o direito à segurança, a presidente da APDPO reitera que o entendimento de 2014 do Tribunal de Justiça da União Europeia já explicava como equilibrar em termos práticos a retenção de dados, invocando a possível existência de crimes graves e um período temporal limitado.

“Numa conservação generalizada estamos a considerar todos os utilizadores suspeitos da prática de um crime e isso é que não pode acontecer”, afirma Inês Oliveira.

Ademar Dias

Partilha este artigo