Inicio Tags Coimas

Tag: coimas

Um ano de RGPD, uma análise

Depois da tentativa falhada de aprovar uma nova lei de proteção de dados em 2018 continuamos em 2019 à espera da Lei. O que podemos esperar?

De acordo com dados da União Europeia 4 países ainda não publicaram leis ao abrigo do RGPD: Bulgária, Grécia, Malta e Portugal.  O anteprojeto de lei foi “chumbado” pela CNPD por violar o RGPD em inúmeras das matérias tratadas. Esta semana, espera-se aprovação da Proposta de Lei por parte da Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias.

E que matérias podemos esperar ver reflectidas na nova legislação?

Alguns exemplos do que pode vir a ser regulamentado:

  • Autoridade de Proteção de Dados;
  • Outras sanções aplicáveis em caso de violação do RGPD, nomeadamente crimes;
  • Conciliação do direito à proteção de dados e a liberdade de expressão e informação;
  • Tratamento de dados no contexto laboral;
  • Obrigações de sigilo.

E quanto à não aplicação de coimas às entidades públicas?

Neste ponto, estou completamente de acordo com a Dr.ª Filipa Calvão que invoca o princípio da igualdade para manter a posição de que tanto as entidades privadas como as publicas devem cumprir com o RGPD (e a Lei 67/98 que está em vigor há mais de 20 anos). De facto, desde a primeira lei de Proteção de Dados (Lei 10/91) que as entidades públicas estão sujeitas a esta lei.   Não faz sentido agora “desresponsabilizar” as entidades públicas que deveriam estar conforme com a lei. Relembro que o atual RGPD não é muito diferente da anterior Diretiva, nem da atual Lei de Proteção de Dados.

Este ano de GDPR foi marcado por uma aplicação das primeiras coimas:

  1. Alemanha – 20.000 euros a primeira coima aplicada pelo LfDI – Autoridade de supervisão de Baden-Wuerttemberg. A coima foi imposta a uma empresa de social media por violação das obrigações de segurança dos dados. Até à data, a coima alemã mais elevada foi de €80,000 aplicada a uma entidade que permitiu que categorias sensíveis de dados (dados relativos à saúde dos titulares) fossem vistos publicamente.
  2. Áustria impôs uma coima de €4.800 em resultado de atividades ilegais de videovigilância
  3. Itália: O Garante (Autoridade de Supervisão Italiana) aplicou uma coima de €50.000 a um subcontratado (subcontratante na acepção do RGPD) por este não ter aplicado várias medidas de segurança dos dados.
  4. França: O CNIL (Autoridade de Supervisão Francesa) aplicou uma coima de €5.000.000 à GOOGLE LLC, por falta de transparência, informação inadequada e falta de consentimento válido relativamente à personalização de anúncios. Esta foi a coima mais elevada ao abrigo do GDPR até à data.
  5. Polónia. O montante da coima foi de €220.000 e o motivo para a mesma foi o não cumprimento da obrigação de fornecer a informação prevista no artigo 14º aos titulares dos dados.
  6. Portugal: aplicou uma coima ao Hospital do Barreiro €400.000 por, entre outros, permitir que pessoal não clínico tivesse acesso a dados de saúde dos titulares dos dados.

Fale-nos um pouco mais da coima do Hospital do Barreiro Montijo por violação do Regulamento Geral de Proteção de Dados (RGPD)

A CNPD constatou na ação de fiscalização que realizou que a política de atribuição de credenciais permitia que funcionários administrativos usufruíssem do nível de acesso reservado ao grupo Médico, o que se traduzia na possibilidade indiscriminada de consulta de processos clínicos de todos os utentes dos hospitais.

Por outro lado, as credenciais de acesso permitiam a qualquer médico, independentemente da especialidade, a qualquer altura aceder aos dados dos pacientes de um hospital.

A CNPD também constatou que eram mantidos perfis inúteis respeitantes a médicos que já não prestavam serviços aos hospitais e por último o sistema não permitia a sua auditabilidade, ou seja, o registo de entrada e saída numa aplicação fornecia uma informação muito limitada sobre a sua utilização.

O GDPR em números

De acordo com a infografia da European Data Protection Board de janeiro de 2019 tinham sido apresentadas 96.180 queixas por parte de titulares de dados que consideraram que os seus direitos tinham sido violados, em concreto através de ações de telemarketing, emails publicitários e câmaras CCTV. Em Portugal, de acordo com a Presidente da CNPD, as queixas são sobretudo sobre “telemarketing, spam, envio de e-mails não solicitado”.

Relativamente a violações de dados comunicadas até janeiro deste ano, deram entrada nas autoridades de supervisão europeias 41.502, o que nos dá uma visão de como as entidades não estão a proteger os nossos dados. Em seis meses de aplicação do RGPD a CNPD já tinha recebido 147 notificações de violações de dados.

Opinião de Ana Menezes Monteiro, CIPP/E, CIPM, CIPT e FIP

Governo quer multas até 20 milhões para empresas que violem proteção de dados

O Conselho de Ministros aprovou hoje a proposta de lei relativa à proteção de dados pessoais que assegura a execução na lei nacional das regras europeias, no âmbito do regulamento de proteção de dados da União Europeia, que entra em vigor em 25 de maio.

Segundo o comunicado do Conselho de Ministros, este regulamento visa “proteger o cidadão face ao tratamento de dados de pessoas em larga escala por grandes empresas e serviços de sociedade de informação”.

As regras europeias preveem multas de até 20 milhões de euros ou 4% do volume de negócios a grandes empresas no caso de infrações à lei consideradas contraordenações muito graves.

Já para a administração pública não estão previstas multas, segundo a proposta do Governo, disse hoje a ministra da Presidência e da Modernização Administrativa, Maria Manuel Leitão Marques.

“Este regulamento foi sobretudo pensado — mas não é esse o resultado final – tendo em conta grandes empresas multinacionais para quem os dados, e muitas vezes os dados pessoais, são o seu negócio ou aquilo em que assenta a sua atividade, (…) e não para as administrações públicas dos Estados-membros que têm também a obrigação de os proteger, mas não usam os dados pessoais como negócios”, afirmou a governante.

A ministra acrescentou que a opção de isentar a administração pública de sanções em caso de infrações foi também tomada em outros países da União Europeia.

Em Portugal, acrescentou, a proposta do Governo é que assim fique por três anos e que depois seja reapreciado, considerando que este é o tempo que a administração pública precisa para se “organizar neste novo paradigma”.

A proposta do Governo que executa, na lei portuguesa, o regulamento geral de proteção de dados e revoga a atual lei de proteção de dados pessoais seguirá para o parlamento, onde tem de ser aprovada antes de entrar em vigor.

Maria Manuel Leitão Marques disse esperar que o processo legislativo esteja concluindo antes de 25 de maio, para que o regulamento europeu e as alterações à lei portuguesa comecem a vigorar ao mesmo tempo.

LUSA

EMPRESAS