Por Vanessa Patrocínio e Teresa Rebelo (*)

O mais recente relatório da DLA Piper, intitulado “DLA Piper GDPR Fines and Data Breach Survey”, oferece uma análise detalhada das coimas e violações de dados em 2024, além de revisar os valores desde 25 de maio de 2018, data da entrada em vigor do Regulamento Geral da Proteção de Dados (RGPD). O relatório destaca a tendência continua de multas consideráveis impostas pelas autoridades reguladoras que, no último ano, totalizaram 1.2 biliões de euros. Embora este valor represente uma redução considerável em comparação com 2023 – devido, sobretudo, à multa avultada que foi imposta à Meta pela Autoridade de Proteção de Dados da Irlanda– os números ainda revelam um esforço consistente e eficaz na aplicação do RGPD.

A autoridade irlandesa permanece no topo como a mais ativa na aplicação de coimas, responsável por 60% do valor acumulado desde a entrada em vigor do RGPD, com um total de aproximadamente 3 biliões de euros aplicados em multas. Em segundo lugar está a autoridade do Luxemburgo, que já aplicou cerca de 600 mil euros em multas. Portugal, por sua vez, contabiliza até ao momento um valor de 6 milhões de euros aplicados em coimas. Estes números confirmam a tendência observada no ano anterior, reforçando o papel dominante da autoridade irlandesa no panorama europeu da fiscalização do RGPD.

As coimas aplicadas mostram um padrão claro: os principais alvos continuam a ser as empresas de redes sociais e as Big Techs. Contudo, outros setores começam a sentir cada vez mais o impacto da aplicação do RGPD. Setores como o financeiro e o energético têm sido alvos de penalizações significativas tais como, a título de exemplo, a coima de 6.2 milhões de euros a um banco espanhol pela autoridade local devido à falta de medidas de segurança adequadas, e a multa de 5 milhões de euros aplicada pela autoridade italiana a uma empresa do setor energético.

A crescente adoção de tecnologias baseadas em inteligência artificial (IA) também trouxe novos desafios para a aplicação do RGPD, algo já previsto no relatório anterior, especificamente no que diz respeito ao controlo e legalidade da utilização de dados pessoais para o desenvolvimento e treinamento de ferramentas de IA. Esta previsão concretizou-se, com a mais recente coima de 30.5 milhões de euros aplicada à empresa Clearview AI, pela autoridade alemã. Tal deveu-se ao facto de a empresa recolher, ilegalmente, dados pessoais, incluindo dados pessoais sensíveis, sem o devido consentimento e transparência para os utilizadores.

Atualmente, a autoridade alemã ordenou a aplicação de coimas adicionais até 5.1 milhões de euros à empresa, por continuar a incumprir com o RGPD. Declarou também que está a investigar a possibilidade de responsabilizar diretamente os membros de direção da empresa, dado que são eles os principais responsáveis por estas violações.

Este facto assinala uma potencial mudança de abordagem por parte das autoridades europeias de proteção de dados, com um foco crescente na responsabilização direta dos membros de direção das empresas.  Embora o RGPD não preveja explicitamente medidas para atribuir responsabilidade individual, a introdução de novas leis e regulamentos no âmbito da estratégia digital da União Europeia – como a NIS 2, cuja transposição em Portugal esteve em consulta pública até dia 31 de dezembro de 2024, e o regulamento DORA – poderá representar um avanço para a implementação desta responsabilização.  – Tal como referido por Ross McKean, sócio da DLA Piper UK, “2024 is the year when GDPR enforcement got personal”.

No que diz respeito aos fundamentos invocados pelas autoridades de controle para a aplicação de coimas, a tendência mantém-se, destacando-se, entre eles, a violação do princípio da legalidade, equidade e transparência. Neste contexto, destaca-se a coima mais elevada aplicada em 2024 de 310 milhões de euros que foi atribuída, sem surpresa, pela Autoridade de Proteção de Dados da Irlanda.

Esta penalização à LinkedIn foi motivada por uma série de infrações ao RGPD, como por exemplo a violação dos requisitos de transparência estabelecidos no diploma. Também a obtenção de consentimento para tratamento de dados de terceiros para fins publicitários por parte da empresa foi considerada inválida, uma vez que não foi dado de forma livre, suficientemente informado, específico e inequívoco, tendo a empresa dado prevalência aos seus próprios interesses em detrimento dos direitos e liberdades fundamentais dos titulares de dados.

Observa-se também um amadurecimento constante nas empresas que demonstram uma maior consciência nas possíveis consequências do incumprimento das normas de proteção de dados, bem como da não comunicação de violações às autoridades competentes. Este progresso é refletido no aumento do número de notificações diárias de violações reportadas às entidades reguladoras, conforme destacado no relatório, evidenciando um maior compromisso com a conformidade, privacidade e segurança.

Em Portugal, estima-se que, entre 28 de janeiro de 2024 e 27 de janeiro de 2025, tenham sido notificadas cerca de 320 violações de dados pessoais às autoridades nacionais, um dado que sublinha a crescente atenção das organizações à importância da transparência e da rápida comunicação em situações de incumprimento.

Quanto às previsões feitas pela DLA Piper para 2025, o modelo controverso de “Consent or Pay” - onde os utilizadores, para usufruírem de certas plataformas gratuitamente, têm de consentir no tratamento dos seus dados – deverá continuar a ser alvo de especial atenção. O Comité Europeu para a Proteção de Dados (EDPB) emitiu uma opinião onde concluiu que, na maioria dos casos – embora não exclua por completo a possibilidade de legalidade deste modelo – o “Consent or Pay” não cumpre os requisitos estabelecidos no RGPD para a obtenção de consentimento válido.  Assim, e juntamente com as decisões da autoridade irlandesa sobre este modelo, fechou se efetivamente a porta para se fundamentar tal tratamento em necessidade contratual ou interesses legítimos.

Não obstante, tais conclusões estão a ser desafiadas pela empresa Meta, que apresentou uma ação judicial contra o parecer, alegando a violação da liberdade de empresa, protegida pelo artigo 16 da Carta dos Direitos Fundamentais da União Europeia. Este caso, a ser analisado pelo Tribunal de Justiça da União Europeia, promete ser um dos pontos de interesse a acompanhar este ano.

Por fim, a questão da responsabilização pessoal dos diretores de empresas está a emergir como um dos temas centrais para 2025. Embora a imposição de responsabilidade individual varie conforme a legislação nacional de cada Estado-Membro, o precedente estabelecido pela autoridade alemã, mencionado anteriormente, poderá abrir caminho para uma aplicação mais ampla desta abordagem. A responsabilização individual é, sem dúvida, um incentivo para um maior e mais correto cumprimento do RGPD.

Para uma análise mais detalhada dos temas abordados, recomenda-se a consulta do relatório integral, que pode ser acedido aqui.

(*) Vanessa Patrocínio  é Associada Sénior e Teresa Rebelo é Associada Júnior da DLA Piper