Resposta

O Regulamento Geral sobre a Proteção de Dados (RGPD) disponibiliza diferentes opções às autoridades de proteção de dados em caso de incumprimento das regras de proteção de dados:

  • infração provável – pode ser emitida uma advertência;
  • infração – podem ser aplicadas as sanções de repreensão, proibição temporária ou definitiva do tratamento e uma coima máxima de 20 milhões de euros ou 4 % do volume de negócios total anual da empresa a nível mundial.

Importa notar que, no caso de uma infração, a APD pode impor uma coima monetária ao invés, ou além, da repreensão e/ou da proibição do tratamento.

A autoridade deve garantir que as coimas impostas em cada caso são eficazes, proporcionadas e dissuasivas. Terá em conta vários fatores, como a natureza, a gravidade e a duração da infração, o seu caráter intencional ou negligente, eventuais ações tomadas para atenuar os danos sofridos pelas pessoas, o grau de cooperação da organização, etc.

Exemplo

Uma empresa vende equipamentos para o lar através da internet. Através do seu sítio web, os consumidores podem comprar eletrodomésticos, mesas, cadeiras e outros artigos para o lar, mediante a introdução dos seus dados bancários. O sítio web sofreu um ciberataque que levou à disponibilização dos dados pessoais ao atacante. Neste caso, a falta de medidas técnicas adequadas por parte da empresa parece ter sido a causa da perda dos dados.

Neste caso, a autoridade de controlo terá em conta vários fatores antes de decidir qual o instrumento corretivo a utilizar. Fatores como: quão grave era a deficiência do sistema informático? Durante quanto tempo a infraestrutura informática esteve exposta ao risco? Foram realizados testes no passado para prevenir este tipo de ataque? Foram roubados/divulgados dados de quantos clientes? Que tipo de dados pessoais foram afetados – incluíam dados sensíveis? Estes e outros aspetos serão tidos em conta pela autoridade de controlo.

Referências

  • Artigos 58.º, 60.º, 83.º e 84.º e considerandos 129, 148, 150 e 151 do RGPD.
  • Grupo do Artigo 29.º para a Proteção de Dados, Orientações relativas à aplicação e à definição de coimas administrativas para efeitos do Regulamento 2016/679, 3 de outubro de 2017.