No último ano as circunstâncias relacionadas com pandemia de COVID-19 tiveram impacto negativo na atividade da Comissão Nacional de Proteção de Dados (CNPD), limitando o número de inspeções e de avaliação de casos, o que reduziu também o número de coimas aplicadas. Em 2020 a autoridade de proteção de dados só aplicou uma coima, mas há muito mais trabalho de deliberações e medidas corretivas, como sublinhou ao SAPO TEK Clara Guerra, consultora coordenadora no Serviço de Informação e Relações Internacionais da CNPD.

O relatório de 2019-2020 dá conta do que foi realizado e mostra que foram aplicadas em 2019 34 coimas, num montante de 600 mil euros , sete das quais ao abrigo do RGPD — Regulamento Geral de Proteção de Dados, num montante de 410 mil. Em 2020 o número desceu para 15 coimas, no valor de 47 mil euros, mas só uma se refere ao regulamento de proteção de dados, estando as restantes no âmbito da anterior lei de proteção de dados e da legislação sobre a privacidade nas comunicações eletrónicas.

Os casos de avaliação da aplicação Stayaway COVID, e do parecer com 23 páginas ou da averiguação ao Trace COVID, com medidas corretivas impostas à SPMS, são algumas das decisões mais mediáticas, mas há mais de 60 deliberações publicadas no site, relativas a vários casos avaliados pela autoridade, e até bloqueios da atividade ilícita.

Uma área que tem crescido também significativamente é o envolvimento em processos de serviços e empresas que abrangem pelo menos dois Estados membros, designados como casos transfronteiriços, onde a CNPD representa Portugal como autoridade de proteção de dados, em situações que têm impacto num volume elevado de cidadãos portugueses.

RGPD: 3 anos depois o Regulamento de Proteção de Dados ainda está longe de atingir os efeitos desejados
RGPD: 3 anos depois o Regulamento de Proteção de Dados ainda está longe de atingir os efeitos desejados
Ver artigo

"Estes três anos destaca-se um crescimento constante dos casos transfronteiriços, ou seja, daqueles casos que envolvem pelo menos dois Estados-Membros", explica Clara Guerra, adiantando que "esta é uma faceta do nosso trabalho nem sempre muito visível mas que envolve uma participação ativa da CNPD nos mecanismos de cooperação e de coerência previstos no RGPD". Em particular, quando estão em causa tratamentos de dados por grandes empresas multinacionais que afetam titulares dos dados em todos os países, incluindo Portugal, a CNPD participa no processo de decisão e há também uma intensa troca de informação entre autoridades bilateral ou multilateralmente em relação a um vasto conjunto de tópicos, refere ao SAPO TEK.

Um dos casos recentes foi a interação da CNPD com a sua congénere irlandesa no âmbito de violações de dados envolvendo o Facebook. Uma das violações "decorria diretamente de um incidente com o Facebook, outra com uma empresa terceira, mas relativa a dados pessoais provenientes das redes sociais, incluindo o Facebook e outras empresas do Grupo", adianta.

Desde que o RGPD entrou em vigor as empresas têm apenas como única interlocutora a autoridade do país onde têm o seu estabelecimento principal, e isso tem impacto na atuação da CNPD, e das restantes autoridades de proteção de dados, obrigando a estes mecanismos de cooperação.

"Para se ter uma ideia da dimensão que esta vertente está a alcançar, nestes três anos, foram abertos cerca de 1500 registos de casos, alguns deles agrupando várias queixas", explica Clara Guerra

"Foram lançados mais de 2000 procedimentos para identificar, ao abrigo do artigo 56.º, quem é a autoridade de controlo principal e quem são as autoridades de controlo interessadas, isto é, que têm no seu país estabelecimentos da empresa em causa ou que têm titulares que sejam substancialmente afetados pelo tratamento de dados em questão", detalha.

A consultora coordenadora na CNPD diz ainda que foram também iniciados mais de 5 mil pedidos de assistência mútua voluntária e quase 400 de assistência mútua (obrigatória). Somam-se cerca de 550 procedimentos de submissão de decisões, tendo já sido emitidas 187 decisões finais. "A CNPD também é autoridade de controlo principal em 8 casos neste momento", indica Clara Guerra.

RGPD: As 5 maiores multas aplicadas na Europa valem mais de 150 milhões de euros
RGPD: As 5 maiores multas aplicadas na Europa valem mais de 150 milhões de euros
Ver artigo

A pandemia também contribuiu para alguma desaceleração do ritmo destes casos e as autoridades foram aproveitando para ajustar os procedimentos de cooperação.

"Esta rede de cooperação prevista no RGPD é muito exigente e o volume de processos a chegar à ultima etapa, a etapa decisória, está a aumentar consideravelmente", afirma. Em todos os casos em que a CNPD é autoridade interessada, emite um parecer formal sobre o projeto de decisão da autoridade principal, concordando com o teor da decisão proposta ou suscitando uma objeção pertinente e fundamentada, nos termos do RGPD.

Este artigo integra o dossier sobre o Regulamento Geral de Proteção de dados do SAPO TEK.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.