Tempo
|

Maior coima de proteção de dados em Portugal perdoada ao Hospital do Barreiro, devido à pandemia

26 mai, 2021 - 08:28 • Inês Rocha

Comissão Nacional decidiu aceitar o pedido de dispensa da aplicação de coima do Hospital do Barreiro-Montijo, devido à situação pandémica. Era a coima mais elevada aplicada pela CNPD, no âmbito do RGPD, no valor de 380 mil euros. Em vez de mais de 410 mil euros, o balanço de coimas ao abrigo do RGPD é de cerca de 30 mil euros, nos últimos três anos.

A+ / A-

Três anos depois da entrada em vigor do Regulamento Geral de Proteção de Dados foram aplicadas, em Portugal, oito coimas ao abrigo da nova legislação. Sete foram aplicadas em 2019, no valor de 410 mil euros, e apenas uma em 2020, segundo o relatório de atividades 2019-2020 da Comissão Nacional de Proteção de Dados (CNPD).

A comissão aplicou outras 14 coimas no último ano, mas ao abrigo da legislação sobre a privacidade nas comunicações eletrónicas, uma legislação prévia ao RGPD.

A coima mais alta, até agora, tinha sido aplicada ao Centro Hospitalar do Barreiro-Montijo, no valor de 400 mil euros. Em causa, estavam as políticas de acesso às bases de dados, que permitiam a profissionais da área dos serviços sociais acederem aos dados clínicos dos doentes, que deviam ser de acesso exclusivo dos médicos.

As três coimas aplicadas, duas de 150 mil e uma de 100 mil euros, foram entretanto transformadas numa coima única de 380 mil euros. Mas depois de um longo processo que chegou também aos tribunais, a CNPD acabou por aceitar o pedido de dispensa da aplicação de coima, devido à situação pandémica e à "conhecida situação deficitária das contas" do centro hospitalar.

A deliberação, enviada à Renascença pela CNPD, data de 14 de julho de 2020.

Após a aplicação da coima de 380 mil euros, o Centro Hospitalar do Barreiro-Montijo submeteu à CNPD um pedido de dispensa de aplicação de coima, por ser uma entidade pública. O pedido foi rejeitado em março de 2020. A CNPD considerou que a situação económica do hospital não legitimava a dispensa do pagamento da coima, justificando que "existem diversos mecanismos legais ao seu dispor que permitem diluir, no tempo, a sua liquidação".

No entanto, em julho de 2020, a CNPD reapreciou a situação, admitindo que, em contexto pandémico, "a situação específica do infrator e do interesse público em concreto afetado com a aplicação da coima prevalece, nestas circunstâncias excecionais, sobre o interesse público de punição do infrator".

Em entrevista à Renascença, Clara Guerra, consultora coordenadora da CNPD, diz que esta foi a contribuição da CNPD para o combate à pandemia. "Não faria muito sentido estar a persistir na aplicação de uma coima naquelas circunstâncias particulares em que todos os recursos estavam a ser necessários", explica.

Mais do que a aplicação de um valor, o importante para a CNPD é a "censura do comportamento do agente, que ficou clara".

Subtraído, então, o valor da coima ao Hospital do Barreiro, as multas aplicadas pela CNPD ao abrigo do RGPD equivalem a 30 mil euros. No caso da multa aplicada em 2020, o valor está "seguramente abaixo dos 10 mil euros", diz Clara Guerra.

Uma decisão "perigosa" pela mensagem que poderá passar, considera advogado

Para o advogado João Leitão Figueiredo, da CMS Rui Pena & Arnaut, a decisão da CNPD em relação ao hospital do Barreiro, apesar de compreensível, é "perigosa".

"A CNPD não altera a valoração jurídica que faz da conduta do Centro Hospitalar do Barreiro-Montijo", ressalva.

No entanto, aquilo que preocupa o advogado nesta decisão é a mensagem que poderá passar para outras entidades.

"Há aqui um risco significativo, na medida em que esta era a decisão mais impactante no ordenamento jurídico português e, para todos os efeitos, ela vai desaparecer", considera João Leitão Figueiredo.

"Admito que possa passar a mensagem de que, como estamos num contexto pandémico, a privacidade fica para segundo plano e os riscos que as entidades correm ao desrespeitar a legislação possam ser aqui vistas como um pensamento secundário ou uma obrigação menor", explica.

A CNPD rejeita que haja algum perigo do género na decisão de retirar a coima. "As entidades públicas sabem que a CNPD é rigorosa, e se achar que a coima é a medida de correção mais adequada, será essa que vai aplicar", diz Clara Guerra.

A responsável da CNPD considera que está claro o facto de as entidades públicas não estarem isentas de coimas e de que o regulador avalia sempre caso a caso. "A situação é de exceção, não é a regra", afirma.

"O 'enforcement' em Portugal é bastante frágil"

Se olharmos para o "tracker" de aplicação do RGPD em toda a Europa, criado pela CMS Rui Pena & Arnaut, que junta todas as sanções aplicadas pelos reguladores nos vários países europeus (aquelas que são divulgadas), é possível verificar duas coisas: em primeiro lugar, Portugal é um dos países com menos coimas aplicadas nos últimos três anos. Só a Croácia e a Islândia têm menos decisões publicadas do que Portugal. Espanha, o país com mais sanções aplicadas, só em 2020 aplicou 134 coimas.

Por outro lado, verifica-se que a CNPD não divulga as deliberações de todas as coimas que aplica. A ferramenta mostra apenas quatro sanções aplicadas em Portugal, metade das que foram aplicadas, sendo que a única identidade identificada é a do Hospital do Barreiro.

A Comissão Nacional de Proteção de Dados argumenta que não divulga a identidade das outras entidades porque considera essa divulgação uma "sanção acessória".

"A nossa lei tem uma norma que diz que é possível, em coimas superiores a 100 mil euros, dar publicidade específica a essa sanção. Portanto, considera - e bem - que a divulgação do nome dos infratores é uma sanção acessória. Portanto nós não fazemos essa divulgação", explica Clara Guerra.

No caso do Hospital do Barreiro, o único nome revelado, não foi a CNPD a revelar a identidade do alvo da sanção.

A explicação para o facto de apenas quatro deliberações de coimas estarem no site da CNPD está relacionada com isto: uma vez que não pode revelar a identidade do infrator, é necessário anonimizar todos os processos antes de os publicar - um trabalho que a comissão diz "não ter possibilidade de fazer" em tempo útil, com os poucos recursos que tem.

João Leitão Figueiredo não concorda com o entendimento do regulador sobre a identificação dos sancionados. Para o advogado, esta "é absolutamente crucial". Admite que haja anonimização de processos "quando estamos a falar de pessoas individuais ou pequenos negócios". Mas no caso de grandes empresas, "não haver conhecimento público contribui negativamente para que o mercado continue algo indisciplinado e afastado destas matérias em termos de conformidade", considera o advogado, que lembra que a divulgação é "o padrão a nível europeu".

"Se nós atentarmos àquilo que se passa em Espanha, por exemplo, aquilo que se passa no Reino Unido, mesmo em França, existe um conhecimento de quem são as entidades que são alvo da aplicação de uma coima."

No que toca ao valor das coimas aplicadas, segundo um relatório do escritório de advogados DLA Piper, com dados até ao final de 2020, Portugal estava a meio de uma tabela de 28 países.

Com a retirada da coima ao hospital do Barreiro, Portugal passa diretamente para o final da tabela, ficando apenas acima da Estónia, Liechenstein e Islândia.

Uma situação de exceção constante

Questionada sobre o baixo nível de "enforcement" do regulador português, quando comparado com outros países, Clara Guerra começa por dizer que não é possível fazer comparações com países cujos recursos estão muito longe da realidade portuguesa.

Espanha, por exemplo, o país com mais coimas aplicadas, "tem 200 e tal pessoas a trabalhar", dez vezes mais do que a CNPD, que conta com apenas 25 funcionários.

Por outro lado, considera que, nos últimos três anos, ainda não foi possível ver uma verdadeira aplicação do RGPD em Portugal, já que não houve nenhum período de normalidade nos últimos tempos.

"Os primeiros tempos foram de adaptação para toda a gente. Nós estivemos um ano à espera de uma lei nacional de execução do RGPD. O RGPD começou a ser aplicado em 25 de Maio [de 2018] e a lei nacional de execução só saiu em Agosto de 2019", lembra a responsável.

A lei nacional significou alterar a lei orgânica da CNPD, reestruturar coisas. "Já estamos a chegar ao fim de 2019 e, entretanto, vem uma pandemia".

A pandemia veio suspender os prazos dos procedimentos de natureza contraordenacional, de março a junho de 2020, algo que voltou a acontecer no início de 2021. Por outro lado, o facto de a maior parte das empresas estarem em teletrabalho dificultou a realização de inspeções (que passaram de 284 em 2019 para 162 em 2020).

Clara Guerra garante que é isso que explica as estatísticas muito mais baixas relativamente a coimas aplicadas e lembra que a CNPD não parou, tendo aumentado o número de pareceres emitidos (de 93 em 2019 para 150 em 2020) e de abertura de processos (936 em 2019 para 1108 em 2020).

Por tudo isto, a responsável considera que "é muito difícil olhar para trás e dizer, 'vamos fazer um balanço do que foi a aplicação do RGPD em Portugal'". No entanto, Clara Guerra revela que a CNPD "tem muitos processos iniciados" e só quando eles chegarem ao fim poderá ser possível ver o nível de aplicação de medidas corretivas em Portugal.

Para o advogado João Leitão Figueiredo, o principal problema em Portugal é mesmo a falta de recursos do regulador e não tanto a pandemia.

"Parece-nos que é mais uma falta de músculo, de recursos humanos e financeiros do que propriamente a pandemia. Até porque a pandemia afetou todos os Estados membros por igual, ou de forma relativamente semelhante, e não foi por esse facto que outras autoridades deixaram de prosseguir a sua atividade e, inclusivamente, proceder à aplicação de coimas, em número recorde, em alguns dos casos", diz o advogado.

Ainda assim, o especialista lembra que não é falta de qualidade do regulador. A CNPD, na sua opinião, "continua a produzir orientações bastante válidas, com elevada qualidade, que eu diria que está ao nível das melhores na Europa".

Comentários
Tem 1500 caracteres disponíveis
Todos os campos são de preenchimento obrigatório.

Termos e Condições Todos os comentários são mediados, pelo que a sua publicação pode demorar algum tempo. Os comentários enviados devem cumprir os critérios de publicação estabelecidos pela direcção de Informação da Renascença: não violar os princípios fundamentais dos Direitos do Homem; não ofender o bom nome de terceiros; não conter acusações sobre a vida privada de terceiros; não conter linguagem imprópria. Os comentários que desrespeitarem estes pontos não serão publicados.

Destaques V+