Metade dos serviços públicos não cumpre a lei em resposta a pedidos de acesso a dados

Três em cada 10 empresas não respondem a pedidos de acesso a dados ou respondem com atraso. Estão assim a violar um direito do titular dos dados, previsto no Regulamento Geral de Proteção de Dados (RGPD), que, para este incumprimento, prevê coimas até 20 milhões de euros ou, no caso de uma empresa, até 4% do seu volume de negócios anual, consoante o montante mais elevado. É o resultado de uma análise feita pela Renascença, na investigação "Pegada Digital".

Foram questionadas 72 entidades, públicas e privadas, no último ano. Dos pedidos analisados, 21% das entidades não responderam ou não apresentavam forma de fazer o pedido de acesso aos dados. Já 8% das organizações deram uma resposta, mas demoraram mais do que o prazo previsto no RGPD. Três entidades (4,2%) responderam, mas a resposta não foi de encontro ao pedido.

O objetivo da investigação "Pegada Digital" era perceber se, quase quatro anos depois de o RGPD ter entrado em vigor, a privacidade entra nas prioridades das organizações e se estas dão efetivamente resposta aos direitos dos titulares dos dados.

Na amostra foram incluídas 72 organizações, públicas e privadas, portuguesas e internacionais - desde as mais óbvias, usadas por grande parte da população mundial, como as gigantes tecnológicas, a serviços portugueses, públicos e privados. Seguradoras, retalhistas, empresas de transportes públicos, entre outros. Estão incluídos também “data brokers”, empresas que gerem e vendem dados.

Se olharmos apenas para os serviços públicos, entre os oito pedidos de acesso feitos a entidades públicas, o panorama é particularmente grave, com metade a não cumprir a lei neste processo. Três das oito entidades não responderam ao pedido de acesso ou não ofereciam uma forma de o fazer.

O site das Finanças, que não apresentava uma forma de fazer o pedido, foi entretanto alvo de um processo de averiguações por parte da CNPD. Os Serviços Partilhados do Ministério da Saúde (SPMS), que gerem os dados dos portugueses no portal do SNS24, não responderam ao pedido de acesso. A Comboios de Portugal (CP) respondeu após um total 176 dias (quase seis meses), não tendo cumprido o prazo de 30 dias previsto no RGPD.

Entre as empresas privadas que não responderam ao pedido estão serviços como Rede de Expressos, Tranquilidade, Iberdrola, mas também Glovo, Zomato, Remax e Casa Sapo. A não responder houve ainda empresas de telemarketing, Data Brokers e ainda um site de divulgação de empregos, “jobsOffer”.

Quando questionada sobre os resultados desta investigação, a presidente da Comissão Nacional de Proteção de Dados (CNPD) diz que avalia o panorama encontrado “com muita tristeza”.

“Se me diz que cerca de 30% das organizações não respondem sequer” ou se atrasam na resposta, “se me diz que nas entidades públicas é pior, porque cerca de 50% não está a responder, isso é mesmo muito grave”, considera Filipa Calvão.