Proteção de dados: O que foi 2021 e o que esperar de 2022?

Quando pensei em escrever sobre o que podemos esperar de 2022, logo me ocorreu a ideia de que tal raciocínio apenas poderia ser feito mediante uma análise e um balanço contundente sobre o que foi a agenda da privacidade, da proteção de dados e da segurança da informação durante o ano 2021.

Fazendo uma retrospetiva global ao nível destas matérias de crescente importância no dia a dia de cada um de nós, destaco oito acontecimentos que marcaram o ano:

7. Em 2021, foi atingido o valor mais alto de coimas aplicadas por força da violação dos dados: 1 bilião de euros de coimas aplicadas pelas autoridades de controlo. Os três primeiros lugares do pódio foram ocupados pelas coimas de € 746.000.000, € 225.000.00 e € 50.000.000 à Amazon, Whatsapp e Google
8. A aprovação da Digital Market Act (Lei dos Mercados Digitais), direcionada para a regulação e proibição de certas práticas desleais dos gigantes da tecnologia, garantindo posições equitativas no mercado da concorrência livre e saudável no espaço europeu, oferecendo uma liberdade de inovação nos produtos digitais, preços mais justos, qualidade e capacidade de escolha pelo consumidor, abrindo o mercado e a economia a todos os que dela queiram fazer parte;
9. Foi aprovada a Digital Services Act (Lei dos Serviços Digitais), destinada a assegurar uma melhor proteção dos consumidores, o respeito pelos direitos fundamentais em linha, a implementação de um quadro claro e eficaz em matéria de transparência e responsabilidades das plataformas online garantindo a liberdade e escolha de preços mais baixos, menor exposição a conteúdos ilegais e sobretudo, uma atenuação dos riscos sistemáticos tais como a manipulação ou a desinformação;
10. Por cá, Portugal esteve no epicentro da agenda política da temática da proteção de dados(e não pelas melhores razões). Relembremos o caso Russiagate, relativo à partilha pela Câmara Municipal de Lisboa dos dados pessoais (e sensíveis) dos promotores de manifestações com as embaixadas em Portugal, nomeadamente a embaixada russa, por ocasião de um protesto organizado contra Putin. A CML acabou por ser acusada de mais 100 infrações consubstanciando-se na violação dos princípios e regras do tratamento de dados previstos no RGPD, levando à queda do executivo nas eleições autárquicas;
11. 2021 foi também o ano em que (afinal) os cookies dos sítios webs dos organismos ligados ao Estado estavam em desconformidade com a decisão do Tribunal de Justiça da União Europeia (Acórdão Planet 49), indo contra as regras do consentimento na recolha de cookies pelos responsáveis pelo tratamento e por entidades terceiras com quem os dados eram partilhados.
12. 2021 foi também o ano em que nos apercebemos que os dados pessoais dos representantes legais e contratantes singulares nos contratos celebrados com as entidades públicas estavam expostos no portal BASE, de forma excessiva e desproporcional, em perfeita contradição com o princípio da minimização dos dados pessoais e da necessidade, distorcidos das exigências dos fundamentos de licitude (execução contratual, interesse legítimo e interesse público);
13. Não podemos ainda esquecer o reembolso do IVA através do programa IVAUCHER, o qual indicou como responsáveis pelo tratamento dos dados duas entidades denominadas de SALTPAY (uma inclusive com sede na Islândia), ao invés do Estado, levando uma vez mais, à entrada em campo da autoridade de controlo (a CNPD);
14. Por último, 2021 foi o ano da sentença e da morte da app stayway covid por inaplicabilidade, mas sobretudo pelas diversas falhas de segurança demonstradas, ao mesmo tempo que era apelidada antiética, antidemocrática e até inconstitucional por força da sua hipotética obrigatoriedade.

Com isto, concluímos que em 2021 o Estado (ainda) não está em conformidade com o Regulamento Geral sobre a Proteção de Dados. Não podemos aceitar que o maior beneficiário da bazuca europeia, com fundos e ordens para aplicação na transição e transformação digital ainda se escude na ignorância e desconhecimento das regras, princípios e das medidas técnicas e organizativas impostas pelo RGPD, em vigor há seis anos e aplicável há três.

Os organismos públicos, assim como as empresas privadas, devem nomear Encarregados da Proteção de Dados dotados de competência, conhecimento, sensibilidade e formação na área de modo a zelar, acompanhar, sensibilizar e agir de acordo com as suas funções de garantes do cumprimento da legislação nesta matéria. Devem ainda, se necessário, recorrer a consultoria externa para colaboração e cooperação nas questões mais complexas ou nas dúvidas sem respostas. Contudo, deverá a Comissão Nacional da Proteção de Dados, lançando mão dos parcos recursos e meios que pode e tem, ir fiscalizando e agindo sobre o Estado e as entidades particulares na garantia dessa conformidade. Não podemos deixar que a proteção dos dados e a segurança da informação caiam e sejam geridas por um certo amadorismo, curiosidade e gosto elementar na matéria.

Face a isto, as empresas podem esperar um ano 2022 igualmente interventivo em matéria de regulação do tratamento dos dados pessoais e da segurança da informação, com o foco na prevenção e reação à violação dos dados no seguimento do que foi 2021. As autoridades de controlo continuarão no encalço do desrespeito pelas regras e princípios previstos no RGPD, sobretudo no escrutínio das plataformas e tecnologias com sistemas biométricos, definição de perfis e uso de algoritmos que impactem seriamente os direitos fundamentais dos titulares dos dados.

Assim, faço votos que em 2022:

• As empresas e o próprio Estado continuem e encetem os esforços necessários para a assunção dos compromissos em matéria de respeito pela privacidade, proteção de dados e segurança da informação, seja através da formação e sensibilização dos seus funcionários e das partes envolvidas, seja através do reforço e pedidos de consultoria junto de empresas que ajudem e colaborem na árdua tarefa de colocar o aparelho estadual no campo de visão do RGPD.
• Seja aplicado mais privacy by design, mais respeito pelo princípio da minimização dos dados, pelo princípio finalístico, acesso e transparência sobre quem, quando e como, os dados serão e são tratados;
• Sejam feitas mais avaliações de impacto sobre as novas formas (tecnológicas) e plataformas de tratamento de dados pessoais, de forma a avaliar mitigar, eliminar ou transferir os riscos dos tratamentos sobre os dados.

Em resumo, espero que 2022 continue a dar seguimento ao controlo do tratamento dos dados.

No novo ano, os dados continuarão a ser o “novo petróleo” para as empresas e para o próprio Estado e cabe a cada um a responsabilidade da sua exploração, tendo em conta que a mesma tem regras e que, à mínima falha, o preço a pagar poder ser demasiado alto.