Coimas milionárias por violação das regras de proteção de dados

 

No dia 16 de Outubro de 2020, o Gabinete da Comissária para a Informação do Reino Unido condenou a British Airways no pagamento de uma coima de 20 milhões de libras. Parece elevado, mas talvez mude de ideias se souber que a proposta inicial era de 183.39 milhões de libras!

Sucedeu que a British Airways não tinha tomado todas as medidas necessárias para mitigar a possibilidade de um ataque à sua base de dados, ataque este que acabou por ocorrer a 22 de Junho de 2018 e do qual a empresa só tomou conhecimento a 6 de Setembro de 2018, e, pior, apenas porque foi alertada por terceiro.

Esta falha na segurança comprometeu os dados pessoais de cerca de 500 mil clientes e trabalhadores da empresa e incluiu informação relativa a nomes, endereços de e-mail e detalhes de cartões de crédito utilizados no âmbito da marcação de voos.

No entanto, a British Airways tentou redimir-se. Assim que soube do sucedido contactou as entidades competentes a fim de cooperar com as mesmas e os titulares dos dados. Ofereceu também soluções para tentar minimizar o impacto desta quebra de segurança, como por exemplo, a monitorização gratuita dos cartões de crédito.

Em Portugal, temos o exemplo da Deco Proteste que, em 2019, foi condenada pela CNPD no pagamento de uma coima de 107 mil euros por violação das regras de proteção de dados.

Um dos consumidores denunciou a situação que teve lugar entre Outubro de 2011 e Junho de 2013, período em que recebeu dezenas de e-mails publicitários. A pessoa em causa fez notar que nunca tinha sido cliente da arguida nem tinha dado a sua autorização para receber tais e-mails.

Apesar de os e-mails terem sido enviados por uma empresa subcontratada pela Deco Proteste, a CNPD veio dizer que esse facto não põe em causa a sua responsabilidade no que toca a garantir o cumprimento das regras de proteção de dados, uma vez que foi esta que decidiu realizar a campanha de marketing, os fins e os meios da mesma.

Como vimos com os exemplos supra citados, as coimas, especialmente em matéria de proteção de dados, são cada vez mais frequentes. Neste sentido, hoje explicamos-lhe o que é uma coima, quais os critérios aplicáveis na determinação do valor da mesma e como as empresas se devem prevenir e reagir.

  1. O que é uma coima?

 A coima, tal como a multa, é uma sanção pecuniária. No entanto, enquanto a multa pune crimes e é aplicada por tribunais, a coima pune contraordenações, ou seja, violações de deveres de natureza administrativa e é aplicada por entidades administrativas, embora possa posteriormente ser impugnada judicialmente.

  1. Quais são os valores máximos e mínimos das coimas em Portugal?

O Regime Geral das Contraordenações vem dizer que as coimas podem ir desde €3,74 a 44.891,81€, sendo que é necessário saber se se trata de pessoas singulares, coletivas e se houve dolo ou mera negligência.

No entanto, estes limites são suscetíveis de ser alterados por lei e é que sucede em matéria de proteção de dados. Nesta temática, os tetos mínimos e máximos, em Portugal, são os estipulados pela Lei n.º 58/2019, de 8 de agosto.

Vejamos:

a) Para as grandes empresas de 2.500 Euros a 20.000.000 Euros ou 4% do volume de negócios anual, consoante o que for mais elevado;

b) Para as PME de 1.000 Euros a 2.000.000 Euros ou 4% do volume de negócios anual, consoante o que for mais elevado;

c) Para as pessoas singulares de 500 Euros a 500.000 Euros.

  1. Que valores e interesses tutelam as regras de proteção de dados, que ditam coimas tão avultadas caso as não sejam cumpridas?

 As regras de proteção de dados que decorrem da Lei n.º 58/2019, de 8 de Agosto e do Regulamento Geral da Proteção de Dados visam a proteção de dois valores fundamentais de um Estado de direito democrático: a reserva da intimidade da vida privada e a proteção de dados pessoais.

Estes valores são de extrema importância uma vez que o seu núcleo comporta informação sensível, suscetível de gerar comportamentos discriminatórios face à pessoa a quem os respetivos dados pertencem.

São estes valores constitucionais que ditam que eu não posso, por exemplo, ser obrigado a partilhar com o meu empregador informação sobre as minhas origens raciais, a minha orientação sexual e os meu problemas de saúde, pois é de conhecimento geral que, infelizmente, hoje em dias estes fatores continuam a ser fonte de descriminação. Assim, eu só devo partilhar esta informação se me sentir seguro para o fazer.

O desenvolvimento informático e a inteligência artificial, fatores que marcam a sociedade contemporânea, têm vindo a permitir monitorizar em detalhe a vida, os hábitos, gostos e, praticamente, todos os passos dos cidadãos. Estas circunstância fazem com que seja imperioso proteger os dados pessoais e, consequente, a vida privada das pessoas.

 

  1. Quais são os critérios de determinação da coima, num caso concreto?

 A Lei n.º 58/2019, de 8 de Agosto e o Regulamento Geral da Proteção de Dados estabelecem vários critérios, entre os quais se destacam os seguintes:

  • A situação económica do agente ou volume de negócios consoante se trate de pessoa singular ou coletiva;
  • Dimensão da entidade;
  • Gravidade da infração;
  • Duração da infração;
  • Objetivo do tratamento dos dados pessoais;
  • Número de titulares afetados;
  • Caráter intencional ou negligente da infração;
  • A iniciativa tomada pela entidade para atenuar os danos sofridos pelos titulares dos dados;
  • Infrações anteriormente cometidas;
  • A forma como a autoridade de controlo tomou conhecimento da infração;
  • Grau de cooperação com a entidade de controlo;
  • Benefícios obtidos.
  1. Coimas no valor de 20 milhões de libras e 107 mil euros – não é demais?

Analisemos as circunstâncias em que estas coimas foram aplicadas, à luz dos critérios supra referidas.

 5.1 A coima de 20 milhões de libras

 Tratou-se de uma contraordenação de elevada gravidades pelos seguintes motivos:

  • Foram comprometidos dados pessoais relativos a um elevado número de clientes – cerca de 500 mil;
  • Estes dados pessoais compreendiam informação bancária sensível, utilizada na marcação de voos como, por exemplo, dados relativos aos cartões de crédito;
  • Esta infração prolongou-se durante cerca de 3 meses;
  • A empresa em causa podia ter tomado, previamente, medidas para tornar o sistema mais seguro e não as tomou;
  • A empresa só tomou conhecimento da situação porque foi alertada por um terceiro.

No entanto, conforme já fora dito anteriormente, a proposta inicial era de 183.39 milhões de libras! O que motivou esta redução drástica do valor a pagar pela empresa?

  • O comportamento da empresa foi negligente mas não intencional;
  • A empresa não obteve qualquer benefício com esta falha de segurança;
  • A empresa notificou as autoridades competentes e os titulares dos dados pessoais assim que teve conhecimento deste cybercrime;
  • Mostrou-se extremamente cooperante durante as investigações;
  • Tomou imediatas medidas no sentido de colmatar as falhas do sistema que permitiram este acesso ilegítimo aos dados pessoais;
  • Tomou medidas para minimizar os prejuízos sofridos pelos titulares dos direitos, como por exemplo, reembolsar perdas financeiras e oferecer monitorização gratuita dos cartões de crédito;
  • O efeitos sócio-económico negativos da pandemia de Covid-19 na empresa e em geral.

 5.2 A coima de 107 mil euros

  • Estava em causa a utilização de dados pessoais sem o consentimento dos titulares, que é considerado, pela Lei º 58/2019, de 8 de agosto, como uma contraordenação muito grave;
  • Esta infração foi bastante duradoura, tendo em conta que se prolongou durante quase 2 anos;
  • O tratamento indevido dos dados pessoais teve como fim a publicidade;
  • Segundo o Acórdão do Tribunal da Relação do Porto de 01/04/2009, o facto de alguém conhecer o enquadramento legal aplicável devido, por exemplo, às suas funções, pode ser suficiente para considerar que houve dolo – é aquilo que se chama prova indireta. Tendo em conta o objeto social da entidade em causa, parece ser de concordar que esta está à partida familiarizada com estas matérias, pelo que tal parece suficiente para ponderar a existência de dolo;
  • A CNPD apenas teve conhecimento desta infração mediante a queixa de um consumidor;
  • Não houve especial cooperação com a CNPD;
  • Não houve uma atuação no sentido de minorar os prejuízos causados;
  • Por fim, é possível que a entidade em causa tenha obtido benefícios económicos decorrentes da adesão de novos clientes na sequência destas comunicações.

Ponderando todas as circunstâncias, somos da opinião de que estas coimas se afiguram proporcionais às infrações praticadas, sendo também relevante ter em conta o tamanho das entidades em causa e os seus rendimentos anuais.

Além destes fatores, há também que ter em conta as necessidades de prevenção geral positiva, nomeadamente, no que toca à necessidade de reafirmar a ordem jurídica e as novas regras de proteção de dados que, na era digital em que vivemos e que se tem vindo a intensificar com a pandemia, se mostram cada vez mais de máxima importância.

  1. Quais são os principais comportamentos, praticados pelas empresas, suscetíveis de gerar contraordenações nesta matéria?

Sem prejuízo de existirem outros, segue-se uma lista das contraordenações mais comuns no mundo das empresas.

  • Tratamento de dados pessoais sem o consentimento do titular ou outra condição de legitimidade que decorra da lei ou do RGPD;
  • Tratamento de dados pessoais sem a indicação da finalidade específica a que os mesmos se destinam;
  • Tratamento de dados pessoais para fins distintos dos indicados ao titular;
  • Violação do princípio da minimização dos dados que dita que a recolha e tratamento dos dados pessoais se limite ao estritamente necessário para cumprir as finalidades a que se destinam;
  • Não permitir ou dificultar o acesso do titular aos seus dados pessoais;
  • Não proceder ao apagamento dos dados depois de tal ser solicitado pelo titular – é o chamado direito a ser esquecido;
  • Incumprimento das decisões da autoridade de controlo e a recusa em colaborar com a mesma – em Portugal, a autoridade de controlo em matéria de dados pessoais é a CNPD.
  1. Posto isto, como se podem as empresas precaver?

7.1  Mais vale prevenir do que remediar

 É obrigatório designar um encarregado de proteção de dados sempre que estejam em causa empresas cuja atividade, a título principal, implique operações de tratamento:

– que exijam um controlo regular e sistemáticos dos titulares dos dados em grande escala ou ou operações de tratamentos;

– em grande escala de dados sensíveis como, por exemplo, dados relativos à religião, orientação sexual, dados biométricos, filiação política, sindical ou condenações penais e contraordenacionais.

 Fora destas situações, as empresas não são obrigadas a designar um encarregado de proteção de dados. No entanto, é sempre recomendável consultar um advogado a fim de garantir que todas as regras em matéria de proteção de dados, nacionais e europeias,  estão a ser cumpridas.

7.2 Como devo reagir se a minha empresa, acidentalmente, não cumprir alguma das regras de proteção de dados?

Em primeiro lugar, é fundamental refletir sobre a situação e agir de forma estratégica e ponderada com a ajuda de um especialista na matéria. Como vimos no caso da British Airways, o seu papel neste momento será decisivo para o montante da coima a aplicar.

Assim, deixamos algumas das nossas sugestões baseadas nos casos que temos vindo a analisar:

  • Comunique de imediato a situação à CNPD e aos titulares dos dados;
  • Prontifique-se a colaborar com a CNPD;
  • Tente minimizar os prejuízos causados pela infração, por exemplo, a British Airways predispôs-se a monitorizar, gratuitamente, os cartões de créditos dos seus clientes.

 Em síntese

Na época digital em que vivemos, que cada vez mais se tem vindo a acentuar com a pandemia de Covid-19, a proteção de dados tem um papel de destaque no quotidiano das empresas.

Com os exemplos de coimas aplicadas nesta matéria que acima explicámos, as empresas devem absorver os seguintes pontos:

  • É melhor prevenir do que remediar: há que começar já a adaptar os sistemas informáticos e a garantir que todas as regras estão a ser cumpridas.
  • Se no seu caso não for obrigatório ter um encarregado de proteção de dados, consulte um advogado. É essencial procurar especialistas que conheçam de facto toda a legislação aplicável.
  • Ninguém está livre de ser vítima um cybercrime. Se for o seu caso, não desespere! Informe as autoridades competentes e consulte um advogado para o ajudar a minimizar os danos sofridos pelos titulares dos dados. O seu comportamento nesta fase será fundamental para a determinação do montante da coima.

Um artigo da SGP Team

Se tiver dúvidas sobre estas ou outras matérias relativas a dados pessoais, podemos dar-lhe o nosso conselho profissional. Envie as suas questões para geral@liderancanofeminino.org ou sgp@sandragomespinto.com

ESTAMOS JUNTAS NA LIDERANÇA!