Economia

RGPD. Portugueses têm noção que privacidade de dados é cada vez mais importante

O Regulamento Geral sobre a Proteção de Dados, mais conhecido por RGDP, entrou em vigor há exatamente cinco anos. O Jornal Económico falou com um especialista em risco digital para perceber se os cidadãos têm controlo real sobre os seus dados, sobre a maior multa aplicada em Portugal e que mudanças a Comissão Europeia se prepara para fazer.

Luís Sousa, Cyber Risk Specialist da Marsh Portugal

25 Maio 2023, 15h40

O Regulamento Geral sobre a Proteção de Dados (RGPD) celebra esta quinta-feira, 25 de maio, cinco anos de aplicação. Este regime nasceu na União Europeia para a proteção da privacidade e dos dados pessoais de cidadãos, sendo aplicável a todos os indivíduos na UE e Espaço Económico Europeu, ainda que também regule a exportação de dados pessoais para fora destes dois espaços.

Ainda que tenha sido assinado a 14 de abril de 2016, a sua implementação só aconteceu dois anos depois, em 2018.

Perfazendo-se cinco anos desde a implementação no bloco europeu, o Jornal Económico falou com Luís Sousa, especialista em Cyber Risk da Marsh Portugal, para perceber se os portugueses estão conscientes dos dados pessoais que transferem quando se inscrevem em sites simples ou em redes sociais.

O RGPD faz 5 anos. Uma das medidas previa que os cidadãos tivessem um “controlo real sobre os seus dados”. Esse controlo existe?

O Regulamento Geral sobre a Proteção de Dados (RGPD) veio estabelecer um sistema uniforme de regras para a proteção de dados pessoais na Europa, harmonizando, entre outros, a proteção dos direitos e liberdades fundamentais das pessoas físicas em relação às atividades de processamento de dados pessoais. Num primeiro plano, e como refere, o RGPD permite que os titulares dos dados tenham um maior controlo sobre os mesmos, seja pelo estabelecimento de regras claras sobre como as empresas devem lidar com processamento de dados pessoais, seja pela mudança na cultura das empresas relativamente à gestão dos mesmos. Por outro lado, permitiu ajudar na criação de um ambiente de maior consciencialização sobre os temas relacionados com a proteção de dados permitindo, aos titulares dos dados, o acesso a um conjunto de mecanismos para controlo e garantia de que estes estão protegidos de forma eficaz.

A implementação deste regime queria um ambiente de maior consciencialização para este tema. Os portugueses estão mais conscientes e sabem o que estão a aceitar quando transferem os seus dados?

É verdade que, como refere e de acordo com o meu comentário anterior, o Regulamento Geral de Proteção de Dados ajudou a criar um ambiente de maior consciencialização sobre os temas relacionados com a proteção de dados e privacidade e terem um cuidado acrescido no momento da transferência dos seus dados. Os portugueses estão conscientes de que a privacidade dos seus dados é importante sobretudo numa realidade cada vez mais digital e na qual necessitam de um controlo cada vez maior sobre a exposição dos seus dados e informação pessoal. Há, no entanto, muito caminho a fazer e que não deverá parar.

Ao longo de cinco anos, apenas foram aplicadas sete coimas em Portugal no que refere a este tema. As empresas estão a cumprir, efetivamente, as regras europeias ou o regulador está ‘distraído’ com multas maiores em outros países?

Não sendo públicas todas as penalizações, a lista disponível na aplicação para rastreamento das coimas aplicadas ao abrigo do RGPD poderá não estar completa (não são consideradas, para este efeito, as coimas impostas ao abrigo de leis exclusivamente nacionais e ou normas de outra natureza nomeadamente concorrencial). Por outro lado, estamos a assistir a um aumento dos recursos dedicados a estes temas bem como à fiscalização do cumprimento das normas do regulamento.

Qual a maior multa aplicada até agora em Portugal?

De acordo com os últimos dados públicos a que tivemos acesso (GDPR Enforcement Tracker e site da CNPD) a maior multa aplicada em Portugal, desde a implementação do RGPD, tem registo em dezembro de 2022 e o Instituto Nacional de Estatística (INE) como entidade sancionada.

Na multa aplicada ao INE em 2022, que refere aos censos de 2021, a que se deveu o elevado valor?

De uma forma geral, o RGPD veio introduzir o princípio da responsabilidade segundo o qual as organizações que tratam dados pessoais são responsáveis por garantir o cumprimento de todas as obrigações de privacidade e proteção de dados pessoais. Neste quadro, em particular, as organizações deverão comprovar a sua conformidade com seis princípios chave: da legalidade e da transparência, lealdade, exatidão, limitação da conservação e minimização, por último o princípio da integridade e da confidencialidade. A par destes princípios chave, o RGPD requer ainda a adoção de um conjunto de medidas de segurança técnicas e organizativas adequadas ao risco identificado em relação às atividades de tratamento levadas a cabo pelas organizações. Do comunicado emitido, à data, pela CNPD podemos ler que o valor da coima aplicada ao INE tem por base a violação de um conjunto de princípios e responsabilidades entre as quais as disposições legais relativas à transferência internacional de dados e à não realização de uma avaliação de impacto sobre a operação a desenvolver. Neste sentido, a CNPD optou por aplicar em cúmulo jurídico uma coima única perfazendo o elevado valor anunciado publicamente.

Qual o manual de boas práticas que as empresas que atuam em Portugal/empresas portuguesas devem seguir para cumprir todo o regulamento do RGPD?

Importa referir que, a par do RGPD, existe um conjunto de outros standards regulamentares, com ou sem força jurídica, que propõem a adoção de medidas e procedimentos técnicos para garantir a segurança da informação. Entre outras, a ISO – International Organization for Standardization (Organização Internacional de Padronização) considera absolutamente essencial que as organizações tenham um plano definido para a implementação de algumas medidas técnicas fundamentais para a confidencialidade, integridade e disponibilidade da informação. Deverão, também, analisar o nível de risco associado às atividades de tratamento de dados pessoais com referência ao seu negócio, e garantir que existe uma clara definição de funções e responsabilidades para garantir o respeito dos princípios relativos ao tratamento de dados pessoais.

Que desafios são colocados no caminho das empresas que as dificulte de aplicar o RGPD?

O maior desafio, que poderá estar muito associado a uma baixa maturidade em matéria de cibersegurança por parte das empresas, será, talvez, a capacidade de harmonizar os sistemas de informação e os procedimentos sobre os quais estão assentes a gestão e o tratamento dos dados pessoais dos titulares e que estão, na generalidade dos casos, muito dispersos na própria infraestrutura da organização.

Qual a prática base do RGPD que é menos cumprida pelas empresas?

O grau de conformidade e o cumprimento das regras definidas no RGPD poderá variar, muito, em função da dimensão da empresa, do volume de dados pessoais que gere e trata, do sector de atividade, entre outros. A conformidade com o RGPD representa um desafio enorme e, portanto, significa um risco comercial e reputacional para as organizações que poderá resultar em multas significativas – de até 20 milhões de euros ou 4% da receita anual global de uma empresa. É, por isso, fundamental que se cumpra a obrigação de realizar uma avaliação de impacto sobre a proteção de dados relativa à operação que é desenvolvida por cada organização recorrendo a parceiros externos especializados.

Na celebração dos cinco anos do regulamento, a Comissão Europeia prepara-se para apresentar uma nova legislação sobre os procedimentos de aplicação do mesmo. O que podemos esperar?

Sobre a informação que temos disponível, o princípio fundamental subjacente a esta nova legislação está relacionado com a harmonização dos procedimentos relacionados com as disposições legais relativas à transferência internacional de dados.

É importante relembrar que o alcance do RGPD estende-se para além da União Europeia uma vez que qualquer empresa que processe dados pessoais de cidadãos da UE deve cumprir com as suas disposições.

RELACIONADO

RGPD. Portugueses têm noção que privacidade de dados é cada vez mais importante

Proteção de Dados triplica valor total das coimas aplicadas

A desordem internacional

(Des)Globalização? Uff, que susto!

Pensar a segurança digital e o desenvolvimento do território

Abreu anuncia entrada de Miguel Rodrigues Leal e Catarina Mascarenhas e promove quatro advogados a sócios

A primeira página do Jornal Económico de 8 de maio

Número de casas vendidas desceu 5,4% no primeiro trimestre de 2025

Grupo Rodilla chega a acordo para a aquisição da Padaria Portuguesa

‘Bomba atómica’ financeira: China avança com artilharia pesada e vende 50 mil milhões de dívida dos EUA

Paulo Rangel comprou T1 por 580 mil euros a pronto e isento de IMT

Montenegro omitiu três contas com mais de 92 mil euros e de 65 mil euros

Belgas investem 120 milhões em Paço de Arcos

Sondagens: Empate técnico entre AD e PS? Quem perde são os partidos pequenos

Fusão criaria quarta maior elétrica europeia

Lusiaves ultrapassa Mário Ferreira no capital da Savannah

RECOMENDADO

A primeira página do Jornal Económico de 8 de maio

Número de casas vendidas desceu 5,4% no primeiro trimestre de 2025

Risco fiscal de duas empresas públicas moçambicanas de aviação vale 1,2% do PIB

Macau nomeia nova reguladora dos casinos na capital mundial do jogo

Quase metade dos profissionais com qualificação superior teve teletrabalho no último trimestre

Agricultura perdeu mais de 16 mil trabalhadores num ano

Siga-nos

Sobre

Comercial