Depois de dois anos de pouca atividade, em 2021 assistimos a um reforço do enforcement da legislação e regulamentação sobre proteção de dados em toda a UE e à aplicação de coimas elevadas a organizações como a Amazon, Facebook e WhatsApp. Em 2022, as organizações devem esperar um maior e mais rigoroso controlo por parte das autoridades competentes.

Atualmente, as autoridades de controlo já não se limitam a investigar a ocorrência de violações de dados e cumprimento das medidas de segurança, estando cada vez mais focadas em alargar o escopo da sua análise a outras questões como: a verificação do fundamento de licitude para o tratamento de dados invocado pelas organizações, os fluxos e as transferências internacionais de dados, as iniciativas de marketing eletrónico, a utilização de cookies, a utilização de informação de saúde e informação financeira, ou a realização de avaliações de impacto sobre a proteção de dados (DPIA).

Com efeito, na sua resolução de 25 de março de 2021, o Parlamento Europeu (PE) veio expressamente apelar às autoridades de proteção de dados que não se coibissem de reforçar a aplicação dos mecanismos existentes no RGPD e demais regulamentação aplicável, bem como de aplicar as coimas e medidas corretivas adequadas ao incumprimento das obrigações por parte das organizações.

Em linha com a orientação do PE, a Comissão Nacional de Proteção de Dados (CNPD), determinou, ainda este mês de janeiro, a aplicação de uma coima no valor de 1,25 milhões de euros ao Município de Lisboa por divulgação ilícita de informação a terceiros.

Além disso, a intersecção de práticas de supervisão será ainda mais comum à medida que outras autoridades de controlo (como, por exemplo, as dos setores do consumo, financeiro e concorrência) encontrem razões para intervir de forma criativa nas investigações e processos em curso, devido ao potencial de criação de conflitos de competência que a nova legislação acarreta.

 

 Desafios:

  • As organizações deverão estar preparadas para lidar com o aumento da pressão por parte das autoridades de controlo: as condições na UE para as entidades que tratam dados pessoais (na qualidade de responsáveis pelo tratamento ou subcontratantes) vão tornar-se cada vez mais desafiantes a cada ano que passa, com a aplicação de sanções severas pelas autoridades de controlo a ser cada vez mais frequente.

Ações:

  • Revisão do nível de conformidade com a legislação de proteção de dados e identificação das potenciais vulnerabilidades e oportunidades de melhoria (por exemplo, no que toca à realização de avaliações de impacto sobre a proteção de dados/DPIAs, à celebração de contratos com entidades terceiras e à realização de auditorias).