Desde que se começou a preparar a aplicação do Regulamento Geral de Proteção de Dados (RGPD na sigla em português, GDPR na sigla em inglês) que o potencial de multas por violação de dados é considerado um dos principais riscos para as empresas e organizações, podendo chegar a 4% da faturação global ou 20 milhões de euros.

Um relatório da DLA Piper contabiliza agora o volume de coimas aplicadas em 2021, que atingiu os 1,1 mil milhões de euros, aumentando 594% face ao ano anterior. O Luxemburgo, a Irlanda e a França lideram a tabela das coimas individuais mais elevadas aplicadas, com uma coima recorde de 746 milhões de euros aplicada pela autoridade do Luxemburgo à Amazon, enquanto a Irlanda multou a WhatsApp em 225 milhões de euros e a França aplicou uma coima de 50 milhões de euros à Google.

Mesmo no último dia do ano a França tirou do bolso três novas coimas, uma de 90 milhões à Google e a que se soma outra de 60 milhões, e uma ao Facebook, também de 60 milhões de euros. Portugal juntou-se à lista com a multa de 1,2 milhões de euros ao Município de Lisboa.

130 mil violações de dados pessoais notificadas

A organização destaca o crescimento das notificações por violação que cresceu 8%, de 331 notificações por dia, para 356 este ano e mais de 130.000 violações de dados pessoais notificadas em conjunto desde 28 de janeiro de 2021.

Considerando a população de cada país, a Holanda lidera a lista de notificação de violações de dados, com 151 notificações por 100 mil pessoas. Seguem-se o Liechtenstein e a Dinamarca, com 136 e 131 notificações por violação por 100.000 pessoas, respetivamente.  A Croácia, a Chéquia e Grécia relataram o menor número de notificações por violação per capita desde 28 de janeiro de 2021.

A DLA Piper alerta porém que o principal desafio de compliance com a proteção de dados está no acórdão do tribunal superior europeu no Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems, em julho de 2020, conhecido como “Schrems II”.

“O aumento em quase sete vezes das coimas pode fazer manchetes, mas o acórdão Schrems II e suas profundas implicações para as transferências de dados constituíram-se como o principal desafio de compliance de proteção de dados para muitas organizações apanhadas pelo RGPD", afirma Ross McKean, presidente do Grupo de Proteção e Segurança de Dados do Reino Unido.

CNPD multa Câmara Municipal de Lisboa em 1,2 milhões de euros por violar RGPD
CNPD multa Câmara Municipal de Lisboa em 1,2 milhões de euros por violar RGPD
Ver artigo

Segundo a informação partilhada, o acórdão e o Capítulo V do RGPD impõem limitações precisas à transferência de dados pessoais da Europa e do Reino Unido para “países terceiros”, ariscando os exportadores de dados ordens de suspensão, coimas e pedidos de indemnização por não cumprirem esses novos requisitos.

O acórdão impõe que as organizações que exportam dados pessoais da Europa e do Reino Unido para países terceiros façam um mapeamento abrangente dessas transferências, bem como avaliações pormenorizadas dos riscos legais e práticos de intercetação por autoridades públicas nos países onde os importadores estão localizados, aumentando consideravelmente o fardo de compliance sobre exportadores e importadores de dados, indica a organização.

O risco está nas coimas e pedidos de indemnização, mas também na ameaça de interrupção do serviço, caso as transferências de dados sejam suspensas, com sérias implicações para a continuidade da atividade das empresas.

“A ameaça de suspensão das transferências de dados é potencialmente muito mais danosa e custosa do que a ameaça de coimas e pedidos de indemnização. O foco nas transferências e o trabalho significativo necessário para alcançar a compliance significa, inevitavelmente, que as organizações têm menos tempo, dinheiro e recursos para se concentrarem noutros riscos de privacidade”, defende Ross McKean.

Comentando os resultados do estudo, Daniel Reis, Sócio e Coordenador do setor de Tecnologia na DLA Piper em Portugal, diz que "Portugal não tem acompanhado o ritmo da maioria dos outros países", mas lembra que a CNPD aplicou agora, já depois da publicação do relatório, uma coima de 1,250 milhões de euros ao Município de Lisboa, o que indica que "pode significar uma alteração de rumo”.