RGPD: após 18 meses há fiscalização?

Na União Europeia, até ao momento em que escrevemos, temos conhecimento de 121 condenações por violação do RGPD.

De salientar que o Reino Unido aplicou as duas maiores coimas até ao momento. Estes valores foram de €204.600.000, aplicado à British Airways, devido a insuficientes medidas técnicas e organizativas para garantir a segurança de informação, e €110.390.200, aplicado à Marriott International, Inc., pelos mesmos motivos. Curiosamente, foram as duas únicas infrações registadas no Reino Unido.

Estes valores são seguidos pelos €50.000.000 impostos à Google Inc., registada em França, a 21 de janeiro de 2019, e €18.000.000 ao Austrian Post, da Áustria, a 23 de outubro de 2019, devendo- se ambos os casos à falta de base legal para processar os dados, relativamente à criação de perfis de utilizador. Até ao momento, houve quatro registos em Portugal, compreendendo valores notoriamente inferiores. A 17 de julho de 2018, na maior coima em solo português, a 12ª a nível europeu, o Hospital do Barreiro foi condenado a pagar uma coima de €400.000 com idênticos fundamentos aos do caso da British Airways. Neste caso, o Hospital permitia a todo o pessoal aceder aos dados de pacientes através de 985 perfis de médico criados, apesar dos 296 médicos ao serviço.

Posteriormente, em 2019, três empresas desconhecidas foram alvo de coimas. Uma primeira, no dia 5 de fevereiro, de €20.000, por cumprimento deficiente de direitos de titulares de dados, nomeadamente recusa do direito de acesso a chamadas telefónicas gravadas pelo titular dos dados e inexistência de sinalização quanto à utilização de sistemas de CCTV.

Já em março, as outras duas foram autuadas em €2.000 cada, por cumprimento deficiente de obrigações de informação perante os titulares dos dados.

Portugal, com estes quatro registos até ao momento, está abaixo da média europeia, que se situa pouco acima dos cinco casos por país. Espanha é, atualmente, o país com mais casos, com um total de 20, seguido da Alemanha com 13, com a República Checa a “fechar o pódio” com 11. Contudo, os valores em nada são semelhantes.

Em Espanha, a maior coima, no valor de €250.000, datada de 11 de junho de 2019, foi aplicada por violação da La Liga, por cumprimento defeituoso da obrigação de informação, perante os titulares dos dados, ao utilizar, através da sua app, o microfone dos dispositivos sem informar os utilizadores.

Das 19 restantes coimas, sete apresentam um valor de €60.000, sendo as seguintes com valores que figuram entre €900 e €36.000. A maior parte das coimas atribuídas foram-no, sobretudo, por base legal insuficiente para o processamento de dados. Restantes justificações prendem-se com semelhantes fundamentos aos dos casos britânicos.

A maior coima aplicada em solo alemão, a 30 de outubro de 2019, compreende um total €14.500.000 que a Deutsche Wohnen SE terá de pagar, por armazenar dados de senhorios sem possibilidade de os remover quando não necessários nem sem averiguar se era necessário o armazenamento. A mesma empresa alemã tem registada outra coima pela mesma violação, na mesma data, contudo sem valor atribuído.

Os restantes 11 registos de autoridades alemãs, a partir de 21 de novembro de 2018, compreendem valores bastante inferiores, desde €118 a €195.407, atribuídos, na sua maioria, por razões semelhantes às infrações de empresas espanholas.

Já a maior coima aplicada a empresas checas foi de €9.704, não havendo informações relativas ao processador dos dados. Na República Checa os fundamentos baseiam-se em violações semelhantes às de empresas espanholas e alemãs.

Aliás, analisando os 121 registos das autoridades nacionais, constata-se que a grande maioria dos casos se relaciona com a falta de informação prestada relativa ao tratamento dos dados, acesso não autorizado a dados pessoais, quer após ataques informáticos, quer em casos em que utilizadores não davam consentimento ao tratamento.

Em sentido contrário, países como a Itália, Lituânia ou a Suécia apresentam- se com uma infração cada até ao momento, com montantes de €50.000, €61.500 e €18.630, respetivamente.

Já relativamente aos montantes mais baixos, há 15 coimas inferiores a €1.000, sendo a maioria da Alemanha, Bulgária e República Checa. Para além da referida coima à Deutsche Wohnen SE, há cinco coimas sem valores conhecidos, embora registados pelas autoridades nacionais, sendo quatro eslovacas.

Com um ano e meio de vigência, o RGPD reformulou o panorama da proteção de dados, cumprindo o que era esperado: um maior controlo e proteção relativamente aos dados pessoais, havendo já algumas punições pesadas.

por Daniel Reis, Sócio Coordenador da área de Tecnologia e Privacidade PLMJ