Apesar das condicionantes dos ciberataques, Protecção de Dados averiguou e acusou mais
Ano de 2022 foi particularmente complexo para a Comissão Nacional de Protecção de Dados, que se viu obrigada a redefinir as prioridades previstas.
O ano de 2022 trouxe desafios acrescidos à Comissão Nacional de Protecção de Dados (CNPD), que se viu obrigada a redefinir o plano de trabalho para acomodar as imprevisibilidades trazidas pelo aumento de ciberataques e pela necessidade de tratar, com urgência, os dados dos cidadãos ucranianos afectados pela guerra. Ainda assim, a comissão abriu mais processos de averiguação (1785) e triplicou os projectos de acusação (251), em relação ao ano anterior. O valor das coimas aplicadas também cresceu substancialmente, ultrapassando os 4,8 milhões de euros, graças, sobretudo, à coima de 4,3 milhões de euros aplicada ao Instituto Nacional de Estatística (INE), que foi alvo de recurso.
Os dados constam do relatório de actividades da CNPD, com a presidente da instituição, Filipa Calvão, a admitir na mensagem inserida no documento que a estrutura se viu “forçada a reordenar as prioridades e a realinhar os recursos disponíveis”, face aos dois factores já referidos. Com os recursos humanos da comissão cingidos a 28 pessoas, o que, refere-se no relatório, é “manifestamente insuficiente para corresponder ao mandato legal de execução das tarefas necessárias à garantia dos direitos dos cidadãos”, esta não teve outro remédio senão adaptar-se a um ano atípico.
É por condicionantes como essa, por exemplo, que apesar de os projectos de acusação terem triplicado, as deliberações finais caíram cerca de 25%, para 493. A CNPD explica que tal se deve “à emissão de duas deliberações finais de especial complexidade, que consumiram recursos, em parte devido ao aumento de emissão de projectos de acusação”. Ou seja, os recursos humanos existentes não dão para tudo.
Já o elevado acréscimo dos processos de averiguação (superior a 500, quando comparado com 2021, quando tinham sido abertos 1228 processos deste tipo) parece indissociável de questões relacionadas com o sector de comunicações electrónicas, já que houve 500 processos deste tipo, a que se juntam outros vindos da área policial e questões cobertas especificamente pelo Regulamento-Geral da Protecção de Dados (RGPD).
No caso concreto da violação de dados, a CNPD abriu 367 processos, dos quais 295 envolveram o sector privado e 72, entidades públicas.
No que concerne às sanções, a CNPD aumentou também o número de coimas aplicadas – foram 71, tinham sido 60 no ano anterior –, mas foi no valor que a diferença mais se distingue, com o volume total das coimas a ultrapassar os 4,8 milhões de euros.
Do total das coimas, 59 foram aplicadas por “envio de marketing em violação das regras legais (spam) e as restantes 12 ao abrigo do RGPD”. A comissão aplicou ainda 57 medidas correctivas (tinham sido apenas seis um ano antes) e emitiu 269 advertências, mais 59 do que em 2021.
A coima de maior valor referiu-se ao processo que a CNPD considera ter sido também o de mais elevada complexidade dos analisados, e envolveu o INE e a operação dos Censos 2021, com o instituto a ser acusado de várias violações do RGPD, depois de se tornar público que o contrato com a empresa contratada para zelar pela segurança do site que recolheu as respostas dos cidadãos prever a transferência de dados pessoais para os Estados Unidos da América e outros países.
Apesar de a CNPD ter exigido, de imediato, a suspensão da transferência de quaisquer dados e de o próprio INE ter suspendido o contrato que assinara com a empresa Cloudflare, o instituto acabaria multado num valor milionário pela comissão, num processo que foi, entretanto, alvo de contestação e que ainda não está encerrado.
Também o município de Setúbal foi multado em 170 mil euros, por “falta de medidas de segurança adequadas e pelo incumprimento da obrigação de designação de encarregado de protecção de dados”, num caso que envolveu cidadãos ucranianos fugidos da guerra e que se instalaram naquele concelho.
A sanção aplicada a Setúbal, aliás, levou a que aumentasse de forma significativa a notificação dos encarregados de protecção dados junto da CNPD. No relatório, este organismo refere que recebeu mais 637 notificações relativas a estes casos, existindo, no final de 2022, 4643 encarregados de protecção de dados com registos activos, 858 dos quais no sector público e os restantes no privado.