Um ano depois, só uma das grandes tecnológicas foi multada por causa do RGPD, mas o montante foi irrisório. PME acabaram por ser as mais prejudicadas, mas ainda reina a incerteza.
O Regulamento Geral de Proteção de Dados (RGPD) foi criado para proteger os cidadãos europeus na era digital. Um ano depois de chegar ao terreno, os resultados ainda são limitados.
Foram poucas as multas aplicadas ao longo do último ano por causa do RGPD, que entrou em vigor a 25 de maio de 2018. A maior de todas surgiu em França e calhou à Google. Foi em janeiro. A multinacional viu-se obrigada a pagar 50 milhões de euros por usar dados pessoais para segmentar anúncios sem autorização explícita dos utilizadores. Uma penalização irrisória, tendo em conta que a tecnológica gerou mais de 32,5 mil milhões de euros em receitas no primeiro trimestre.
Nos oito meses desde a entrada em vigor até final de janeiro, a multa à Google representou quase 90% do valor total das coimas aplicadas na União Europeia (UE) ao abrigo do RGPD. Os dados estão num relatório da DLA Piper, que refere 90 outras multas para além da coima à Google, a maioria na Alemanha. O total das coimas deverá rondar os 56 milhões de euros, segundo a Forbes.
Há casos para todos os gostos. Uma empresa alemã foi multada em 20.000 euros por não ter protegido devidamente as passwords dos trabalhadores. Outra, também na Alemanha, pagou 80.000 euros por ter publicado dados sensíveis da saúde de um grupo de cidadãos. Na Áustria, uma empresa foi multada em 4.800 euros por ter um sistema de videovigilância que captava demasiado a via pública.
Todos eles têm uma coisa em comum. Estiveram relacionados com irregularidades na aplicação do RGPD que pouco ou nada tiveram a ver com o principal propósito do regulamento: o da proteção dos dados pessoais dos internautas, sobretudo face às grandes tecnológicas cujos negócios assentam na venda indireta dos dados pessoais a terceiros.
Por exemplo, o Facebook continua a estar nas notícias por falhas cada vez mais graves na proteção de dados pessoais. Em meados de março, encontrou um arquivo interno desprotegido com “centenas de milhões” de passwords dos utilizadores. Pouco depois, em abril, uma empresa de cibersegurança descobriu num servidor público da Amazon mais de 500 milhões de registos com informação privada dos utilizadores da rede social.
Mais recentemente, o WhatsApp terá sido usado para injetar um programa espião nos smartphones de figuras ligadas à proteção dos direitos humanos. Uma brecha que terá ter colocado em risco os dados pessoais dos mais de 1,5 mil milhões de utilizadores da aplicação, uma boa parte deles cidadãos da UE.
Ainda assim, até agora, o Facebook não foi alvo de qualquer coima ao abrigo do regulamento. Isso poderá mudar este verão, altura em que o regulador irlandês deverá anunciar as primeiras coimas significativas com base no RGPD. A rede social, mas também a Apple, deverão estar entre os primeiros alvos da entidade liderada por Helen Dixon, noticiou o The Wall Street Journal (acesso pago).
De qualquer forma, uma eventual multa à empresa liderada por Mark Zuckerberg com base no RGPD não deverá ultrapassar 1,6 mil milhões, devido aos próprios limites previstos no regulamento. Um montante pouco significativo que a companhia pode facilmente justificar aos acionistas como o “custo de se fazerem negócios”, escreveu a CNBC.
O RGPD não é inconsequente. A aplicação que, neste momento, ainda está a ser feita é que poderá estar a ser inconsequente.
Empresas “adormeceram” para o RGPD
O regulamento europeu da proteção de dados pessoais obrigou as empresas com presença na UE a reportarem às autoridades, no prazo de 72 horas, as falhas de segurança que tenham encontrado e que possam pôr em risco os dados pessoais dos cidadãos. Segundo a DLA Piper, nos primeiros oito meses de RGPD, o número de breaches reportadas na UE chegou aos 59.000. Mas a distribuição não é homogénea.
Na Holanda, foram reportadas 89,8 brechas por cada 100.000 habitantes. Na Alemanha, onde foram registadas mais multas ao abrigo do RGPD, o número foi de 15,6. Esta discrepância é um indício de que o RGPD está a ser encarado de forma diferente entre os vários países. Até porque Itália, um país com mais de 60,5 milhões de habitantes, teve menos de uma brecha reportada por cada 100.000 habitantes.
Portugal está quase no fim do ranking, ligeiramente acima de Espanha, com 1,6 incidentes reportados por cada 100.000 habitantes. Mas vale a pena contextualizar. A autoridade responsável pela supervisão do regulamento, a Comissão Nacional de Proteção de Dados (CNPD), vê-se a braços com recursos e um orçamento limitado e o tecido empresarial, composto em 99% por pequenas e médias empresas (PME), igualmente limitado ao nível financeiro, ainda resiste à implementação das novas regras.
“Por um lado, as PME não viam como relevante esta temática. Por outro, quando se começaram a inteirar do tema, depararam-se com constrangimentos orçamentais. E há muitas resistências”, confirmou ao ECO Cláudia Martins, advogada de Direito Societário e Comercial da Macedo Vitorino & Associados.
Na opinião da especialista, “não houve alterações significativas” desde há um ano em matéria de RGPD. Até porque o regulamento, apesar de ter aplicação direta em todos os Estados-membros da UE, prevê que cada país estabeleça algumas normas e exceções próprias, um trabalho que o Parlamento português ainda não concluiu. O grupo de trabalho, coordenado pela deputada do PSD Andreia Neto, ainda se encontra a fechar os textos finais que, depois, terão de ser aprovados no plenário.
Por isso, o cenário é de incerteza para as empresas portuguesas, o que tem levado a “interpretações abusivas e erróneas” de alguns aspetos da legislação. “A própria CNPD tem tido um papel muito pouco proativo. Esperava-se não só a publicação de um conjunto de orientações, mas também de acompanhamento das entidades, com formação e esclarecimento das questões, que são muitas”, sublinha Cláudia Martins.
Em dezembro, a advogada publicou um relatório no qual faz referência a “práticas ilegais” nos sites de algumas empresas à luz do RGPD e refere que há “um longo caminho a percorrer no âmbito da implementação” do regulamento europeu. Ao ECO, a especialista remata que é tudo uma questão de tempo: as empresas “adormeceram” depois da primeira vaga de euforia em torno da implementação das regras. Só quando surgirem as primeiras multas expressivas é que vão “começar a acordar”.
“Não vai surgir uma onda astronómica. Vão surgir ao longo do ano pequenos avisos que, depois, irão culminar numa coima exemplar a alguma empresa que tenha impacto”, refere a advogada.
Será o RGPD verdadeiramente inconsequente? “Não é inconsequente. A aplicação que, neste momento, ainda está a ser feita é que poderá estar a ser inconsequente”, explica Cláudia Martins. Sem excluir a hipótese de uma eventual revisão ao RGPD dentro de um par de anos, a especialista termina com um alerta: “No médio e longo prazo, a situação vai mudar. A verdade é que o que se passou durante este ano não vai continuar”, garante.
Como avançou a presidente da CNPD ao ECO, já foram aplicadas quatro coimas em Portugal ao abrigo do RGPD. De acordo com Filipa Calvão, três foram a empresas privadas e uma esteve relacionada com uma empresa pública: no final do ano passado, o Hospital do Barreiro foi alvo de uma coima de 400.000 euros, à luz do RGPD, por acesso irregular aos dados pessoais dos doentes. Só que a administração recorreu aos tribunais para contestar a medida e o processo ainda não está fechado.
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
Grandes tecnológicas escapam à nova lei da proteção de dados. Nas PME, reina a incerteza
{{ noCommentsLabel }}