Implementado em 2018, o Regulamento Geral de Proteção de Dados (RGPD) prometia uma revolução na proteção de dados pessoais na União Europeia, mas um novo relatório da organização noyb (None of Your Business) expõe uma realidade bem menos otimista: apenas 1,3% dos casos apresentados às autoridades nacionais de proteção de dados (DPA) resultam em multas.

Para a noyb a aplicação rigorosa do RGPD é uma promessa por cumprir. Sem uma mudança significativa na abordagem das autoridades, o regulamento arrisca-se a ser mais uma lei forte no papel, mas ineficaz na prática, defende a organização.

Quando o RGPD entrou em vigor, trouxe ferramentas para que os cidadãos europeus pudessem defender os seus direitos fundamentais e ofereceu às autoridades nacionais os poderes necessários para investigar violações e aplicar sanções financeiras significativas. Contudo, quase sete anos depois, as estatísticas analisadas pela noyb revelam que a aplicação efetiva dessas sanções ainda é limitada. De acordo com o relatório, as autoridades europeias parecem relutantes em aplicar multas, preferindo muitas vezes encerrar casos com acordos ou arquivamentos.

“As autoridades de proteção de dados têm todos os meios necessários para sancionar adequadamente as violações do RGPD. No entanto, frequentemente prolongam as negociações durante anos, muitas vezes decidindo contra os interesses dos reclamantes”, refere Max Schrems, presidente da noyb, em comunicado.

O relatório também revela uma grande variação na aplicação de multas entre países. A Eslováquia lidera a lista, com multas aplicadas em 6,84% dos casos entre 2018 e 2023, seguida pela Bulgária (4,19%), Chipre (3,12%), Grécia (2,65%) e Croácia (2,54%).

Por outro lado, países como os Países Baixos (0,03%) e França (0,10%) têm taxas extremamente baixas. Frequentemente responsável pelos casos mais mediáticos devido à presença de grandes empresas tecnológicas como Meta, Google e Apple, a Irlanda aplicou multas em apenas 0,26% dos casos.

A análise da noyb reforça que as multas são o mecanismo mais eficaz para assegurar o cumprimento do RGPD. Numa pesquisa realizada pela organização, 67,4% dos profissionais de proteção de dados afirmaram que multas contra as suas próprias empresas influenciariam os decisores a priorizar a conformidade. Mesmo multas aplicadas a outras organizações seriam um incentivo para 61,5% dos inquiridos reforçarem as suas práticas.

Apesar disso, o montante total das multas impostas na UE entre 2018 e 2023 - cerca de 4,29 mil milhões de euros - ainda é insuficiente, considerando o impacto limitado em muitas empresas. Quase 40% desse valor foi resultado direto de litígios liderados pela noyb, evidenciando a importância da intervenção de organizações independentes.

Algumas autoridades alegam que necessitam de mais orçamento e recursos para tomar decisões de impacto. No entanto, os dados contradizem esta afirmação. Por exemplo, a autoridade holandesa viu o seu orçamento aumentar 62% entre 2020 e 2024, mas não registou um aumento proporcional nas multas aplicadas.