Quais as principais fundamentações para as coimas RGPD?

Analisámos as 50 sanções aplicadas pelas autoridades de controlo europeias e concluímos que o artigo 5º (Princípios relativos ao tratamento de dados pessoais) e o artigo 32º do RGPD (Segurança do tratamento) são as principais fontes de inconformidade. Outra conclusão que podemos retirar é sobre o valor médio das coimas que é relativamente reduzido. Tal parece demonstrar que o RGPD não é uma ação persecutória contra as grandes multinacionais americanas e que as pequenas e médias organizações devem procurar ativamente a conformidade.

A coima de 300 euros aplicada pela autoridade de controlo austríaca a uma pessoa individual por o sistema de videovigilância da sua viatura também apanhar a via pública exemplifica bem a aplicação de coimas de reduzido valor. Ainda que o artigo 2º do RGPD ponto 2, alínea c) refira que o regulamento não se aplica ao tratamento de dados pessoais efetuados por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas, a autoridade de supervisão seguiu a jurisprudência do Tribunal de Justiça da União Europeia (Acordão F. Rynes de 2014) que considera que a vigilância sobre o espaço público não pode ser considerada uma atividade pessoal ou doméstica.

Utilizámos como fonte o “GDPR Enforcement Tracker” (aqui) e expurgámos o caso CNIL/Google (coima de 50 milhões de euros) por ser um caso singular que enviesa a realidade retratada pelos restantes casos.

É importante sublinhar as limitações da nossa fonte de informação (“GDPR Enforcement Tracker”) designadamente devido ao facto de muitas sanções não serem tornadas publicas. Contudo, o “GDPR Enforcement Tracker” é, atualmente, a melhor fonte de informação. Por exemplo, conforme se pode ver aqui, na Alemanha ocorreram 100 coimas e no “GDPR Enforcement Tracker” contam-se 8 coimas alemãs.

Segundo o referido site as coimas alemãs tiveram o seguinte perfil:

Estados Alemães
(Bundesländer)
Valor Médio
da Coima
Número CoimasValor Total
Baden-Württemberg EUR 29.000 7 EUR 203.000
Rheinland-Pfalz EUR 13.778 9 EUR 124.000
Hamburg EUR 8.500 3 EUR 25.500
Berlin EUR 5.867 18 EUR 105.600
Sachsen-Anhalt EUR 2.000 1 EUR 2.000
Nordrhein-Westfalen EUR 433 36 EUR 15.600
Saarland EUR 197 3 EUR 590
Thüringen desconhecido 23 total desconhecido (apenas conhecido o parcial de 32.000 EUR)

Para uma análise numérica das 50 sanções aplicadas pelas autoridades de controlo europeias estabelecemos a regra de, quando as coimas são fundamentadas em diversos artigos do RGPD, considerar de forma muito simplificadora, que os valores das coimas revertem na totalidade e por igual para cada um dos referidos artigos.

Por exemplo, sabemos que a CNPD aplicou coimas no valor global de 400 mil euros ao Centro Hospitalar Barreiro-Montijo, devido a três infrações: violação do princípio da integridade e confidencialidade, violação do princípio da minimização de dados que deveria impedir o acesso indiscriminado a dados clínicos dos doentes, e incapacidade do responsável pelo tratamento dos dados para assegurar a confidencialidade e a integridade dos dados. As duas primeiras infrações foram punidas com coima 150 mil euros cada, enquanto a terceira representou um acréscimo de 100 mil euros. No entanto, no “GDPR Enforcement Tracker” apenas se refere que “investigation revealed that the hospital’s staff, psychologists, dietitians and other professionals had access to patient data through false profiles. The profile management system appeared deficient – the hospital had 985 registered doctor profiles while only having 296 doctors. Moreover, doctors had unrestricted access to all patient files, regardless of the doctor’s specialty” e a violação de ” Art. 5 (1) f) GDPR, Art. 32 GDPR”. Ou seja, erradamente, no quadro abaixo são somados 400.000 euros para o Artigo 5º e para o Artigo 32º, quando o Artigo 32º (segurança do tratamento) devia ser acrescido de 250.000 euros e o Artigo 5º devia ser acrescido de 150.000 euros. Este exemplo ilustra a possibilidade de desvios significativos à realidade, mas parece segura a conclusão que os artigos 5º e 32º são os mais relevantes para a inconformidade.

Seguindo estes pressupostos, que na verdade são muito simplificadores, chegámos à seguinte lista:

FUNDAMENTAÇÃO DAS COIMASCOIMAS (€)
Artigo 5 – Princípios relativos ao tratamento de dados pessoais 1 398 387
Artigo 6 – Licitude do tratamento 112 156
Artigo 7 – Condições aplicáveis ao consentimento 250 000
Artigo 12 – Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dados 3 700
Artigo 13 – Informações a facultar quando os dados pessoais são recolhidos junto do titular 13 400
Artigo 14 – Informações a facultar quando os dados pessoais não são recolhidos junto do titular 219 538
Artigo 15 – Direito de acesso do titular dos dados 10 058
Artigo 17 – Direito ao apagamento dos dados («direito a ser esquecido») 3 200
Artigo 18 – Direito à limitação do tratamento 3 200
Artigo 28 – Subcontratante 5 000
Artigo 32 – Segurança do tratamento 710 005
Artigo 33 – Notificação de uma violação de dados pessoais à autoridade de controlo 115 875
Artigo 34 – Comunicação de uma violação de dados pessoais ao titular dos dados 54 375
Artigo 83 – Condições gerais para a aplicação de coimas 20 000
José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)

Leave a Reply