Um ano de RGPD, uma análise

"Relativamente a violações de dados comunicadas até janeiro deste ano, deram entrada nas autoridades de supervisão europeias 41.502, o que nos dá uma visão de como as entidades não estão a proteger os nossos dados. Em seis meses de aplicação do RGPD a CNPD já tinha recebido 147 notificações de violações de dados". 

2312

Depois da tentativa falhada de aprovar uma nova lei de proteção de dados em 2018 continuamos em 2019 à espera da Lei. O que podemos esperar?

De acordo com dados da União Europeia 4 países ainda não publicaram leis ao abrigo do RGPD: Bulgária, Grécia, Malta e Portugal.  O anteprojeto de lei foi “chumbado” pela CNPD por violar o RGPD em inúmeras das matérias tratadas. Esta semana, espera-se aprovação da Proposta de Lei por parte da Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias.

E que matérias podemos esperar ver reflectidas na nova legislação?

Alguns exemplos do que pode vir a ser regulamentado:

  • Autoridade de Proteção de Dados;
  • Outras sanções aplicáveis em caso de violação do RGPD, nomeadamente crimes;
  • Conciliação do direito à proteção de dados e a liberdade de expressão e informação;
  • Tratamento de dados no contexto laboral;
  • Obrigações de sigilo.

E quanto à não aplicação de coimas às entidades públicas?

Neste ponto, estou completamente de acordo com a Dr.ª Filipa Calvão que invoca o princípio da igualdade para manter a posição de que tanto as entidades privadas como as publicas devem cumprir com o RGPD (e a Lei 67/98 que está em vigor há mais de 20 anos). De facto, desde a primeira lei de Proteção de Dados (Lei 10/91) que as entidades públicas estão sujeitas a esta lei.   Não faz sentido agora “desresponsabilizar” as entidades públicas que deveriam estar conforme com a lei. Relembro que o atual RGPD não é muito diferente da anterior Diretiva, nem da atual Lei de Proteção de Dados.

Este ano de GDPR foi marcado por uma aplicação das primeiras coimas:

  1. Alemanha – 20.000 euros a primeira coima aplicada pelo LfDI – Autoridade de supervisão de Baden-Wuerttemberg. A coima foi imposta a uma empresa de social media por violação das obrigações de segurança dos dados. Até à data, a coima alemã mais elevada foi de €80,000 aplicada a uma entidade que permitiu que categorias sensíveis de dados (dados relativos à saúde dos titulares) fossem vistos publicamente.
  2. Áustria impôs uma coima de €4.800 em resultado de atividades ilegais de videovigilância
  3. Itália: O Garante (Autoridade de Supervisão Italiana) aplicou uma coima de €50.000 a um subcontratado (subcontratante na acepção do RGPD) por este não ter aplicado várias medidas de segurança dos dados.
  4. França: O CNIL (Autoridade de Supervisão Francesa) aplicou uma coima de €5.000.000 à GOOGLE LLC, por falta de transparência, informação inadequada e falta de consentimento válido relativamente à personalização de anúncios. Esta foi a coima mais elevada ao abrigo do GDPR até à data.
  5. Polónia. O montante da coima foi de €220.000 e o motivo para a mesma foi o não cumprimento da obrigação de fornecer a informação prevista no artigo 14º aos titulares dos dados.
  6. Portugal: aplicou uma coima ao Hospital do Barreiro €400.000 por, entre outros, permitir que pessoal não clínico tivesse acesso a dados de saúde dos titulares dos dados.

Fale-nos um pouco mais da coima do Hospital do Barreiro Montijo por violação do Regulamento Geral de Proteção de Dados (RGPD)

A CNPD constatou na ação de fiscalização que realizou que a política de atribuição de credenciais permitia que funcionários administrativos usufruíssem do nível de acesso reservado ao grupo Médico, o que se traduzia na possibilidade indiscriminada de consulta de processos clínicos de todos os utentes dos hospitais.

Por outro lado, as credenciais de acesso permitiam a qualquer médico, independentemente da especialidade, a qualquer altura aceder aos dados dos pacientes de um hospital.

A CNPD também constatou que eram mantidos perfis inúteis respeitantes a médicos que já não prestavam serviços aos hospitais e por último o sistema não permitia a sua auditabilidade, ou seja, o registo de entrada e saída numa aplicação fornecia uma informação muito limitada sobre a sua utilização.

O GDPR em números

De acordo com a infografia da European Data Protection Board de janeiro de 2019 tinham sido apresentadas 96.180 queixas por parte de titulares de dados que consideraram que os seus direitos tinham sido violados, em concreto através de ações de telemarketing, emails publicitários e câmaras CCTV. Em Portugal, de acordo com a Presidente da CNPD, as queixas são sobretudo sobre “telemarketing, spam, envio de e-mails não solicitado”.

Relativamente a violações de dados comunicadas até janeiro deste ano, deram entrada nas autoridades de supervisão europeias 41.502, o que nos dá uma visão de como as entidades não estão a proteger os nossos dados. Em seis meses de aplicação do RGPD a CNPD já tinha recebido 147 notificações de violações de dados.

Opinião de Ana Menezes Monteiro, CIPP/E, CIPM, CIPT e FIP