A União Europeia impôs mais de 900 sanções desde que o Regulamento Geral de Protecção de Dados (RGPD) foi introduzido em Maio de 2018, mas a guerra contra os gigantes da tecnologia apenas começou. Se a UE a quiser ganhar, terá de se comprometer com maior investimento e cooperação de todos os seus Estados membros.
Três anos e meio desde que foi promulgado, o RGPD está finalmente a começar a surtir efeito. O número de multas aumentou desde 2020, sobretudo graças à Espanha, embora sejam as suas duas sanções históricas contra a Amazon e o Whatsapp no Verão que mostram os sinais da revolução na protecção de dados que muitos esperavam que a regulamentação desencadeasse.
Ambas as multas equivalem a 75% da punição máxima por violação de um dos direitos fundamentais de protecção de dados na União Europeia, Reino Unido, Liechtenstein e Noruega. Um total de 1.300 milhões de euros foi arrecadado em mais de 900 sanções desde Maio de 2018. Para deleite das instituições da UE, foram as autoridades no Luxemburgo e na Irlanda – fundamentais para a implementação das regras do RGPD sendo a sede para muitas das maiores empresas de tecnologia na Europa e que, até agora, pareciam bastante descontraídas – que estão agora a mostrar os dentes.
A fonte é o Privacy Affairs, um grupo de profissionais de segurança de dados e jornalistas de tecnologia espalhados pelo mundo que estão a monitorizar as sanções do RGPD que os Estados membros tornam públicas.
A imposição de multas não era exactamente um princípio orientador do regulamento, mas fornece uma boa indicação da frequência com que a lei está a ser aplicada. O RGPD conferiu aos seus Estados membros o poder de emitir avisos e, nos casos mais graves, multas se um artigo do regulamento fosse violado. A pena económica final é decidida por cada agência de acordo com a gravidade, a intencionalidade e a cooperação da empresa face à multa, com um valor máximo de 20 milhões de euros ou o equivalente a 4% do rendimento anual, consoante o que for maior.
A falta de multas mostra provavelmente uma aplicação limitada da lei, em vez do seu perfeito cumprimento.
Espanha: a grande defensora dos utilizadores da Internet
Quando este artigo foi escrito, a Espanha aplicou mais coimas do que qualquer outro país, com um terço do total (303), seguida à distância pela Itália (91) e pela Roménia (91). [À data, estavam registados 880 casos, com Portugal a registar apenas quatro, numa situação que se mantém desde 2019.]
Para Juan Fernando López Aguilar, Presidente da Comissão das Liberdades Civis, Justiça e Assuntos Internos, a Espanha “tem uma grande consciência dos direitos digitais” e o Ministério da Justiça e a Agência Espanhola de Protecção de Dados “estavam especialmente bem preparados para implementar a nova lei”.
O eurodeputado socialista explica que “muitos casos foram levados ao conhecimento do poder judicial europeu pela Espanha, como o direito ao esquecimento [o judiciário espanhol reconheceu isso pela primeira vez em 2015 numa disputa legal com a Google que acabou nos tribunais europeus]”.
O bom trabalho da agência de proteção de dados da Espanha não significa, no entanto, que o país tenha recebido a maior parte daqueles que infringem a lei. As receitas mais ricas foram para Luxemburgo e Irlanda, países que, paradoxalmente, aplicaram apenas 11 e 9 multas, respectivamente, embora entre essas multas estejam algumas das maiores da história do RGPD.
Em particular, a Comissão Nacional de Protecção de Dados do Luxemburgo multou a Amazon em 746 milhões de euros em Julho por usar ilegalmente os dados dos seus clientes para criar mais publicidade pessoal. Por sua vez, o Comité Irlandês de Protecção de Dados fez o mesmo com o Whatsapp em Setembro, a quem multou em 226 milhões de euros por não informar correctamente os seus utilizadores europeus sobre a maneira como partilhava dados com o Facebook.
Além destes números recordes – a batalha judicial subsequente iniciada pelas empresas autuadas, com equipas de advogados poderosos, provavelmente levará a uma redução -, ambos os casos marcaram um antes e um depois na aplicação do RGPD e dos seus protagonistas. Isso mudou o jogo tanto para a Big Tech, que se tinha esquivado às regras do RGPD até então, como para o Luxemburgo e a Irlanda, que anteriormente estavam a prejudicar a sua implementação.
Balcão único, uma faca de dois gumes
Para evitar sobreposições, as regras do RGPD determinam que deve ser o país em que a empresa infractora está sediada que eleva o caso ao nível europeu. Este mecanismo, conhecido como “balcão único”, privilegia as empresas sediadas na Irlanda – base europeia da Apple, Facebook, Google, Microsoft e Twitter, entre outras – e no Luxemburgo – sede da Amazon e Paypal. As suas generosas taxas de imposto sobre as sociedades já tinham levado o Parlamento Europeu a concluir em 2019 que tanto o Luxemburgo quanto a Irlanda se assemelhavam a paraísos fiscais e isso tornava-os na base europeia perfeita para as multinacionais americanas.
Aos poucos, as reclamações às Agências de Proteção de Dados sobre os dois países por outros Estados membros da UE foram-se acumulando, principalmente no caso da Irlanda, que recebeu 21% de todas as reclamações, de acordo com dados do Conselho Irlandês das Liberdades Civis. Devido à inércia e à falta de decisões das autoridades irlandesas, o Parlamento Europeu recomendou à Comissão Europeia que iniciasse um processo de infracção contra a Irlanda por não aplicar as leis do RGPD.
É por esta razão que as duas multas aplicadas em Dublin e no Luxemburgo foram saudadas em Bruxelas, porque colocam os dois países no caminho necessário para uma implementação europeia transversal das normas de protecção de dados. É, no entanto, um optimismo cauteloso, dado que a Comissão de Proteção de Dados da Irlanda ainda tem 98% dos casos transnacionais não resolvidos.
Na verdade, quando contactadas sobre essas questões, fontes do Comité mencionaram “duas decisões importantes” que foram tomadas por ambos os países, embora reconheçam que “a colaboração entre as autoridades precisa de melhorar” e que, para o sistema funcionar, “é crucial desenvolver a confiança e fomentar um espírito europeu de cooperação”.
Rumo a uma cultura comum de protecção de dados
O recente lançamento do RGPD também foi resultado de um financiamento muito maior para as agências nacionais de protecção de dados. A agência irlandesa estava sem fundos há duas décadas, o que fornecia aos directores uma desculpa para a sua lentidão.
Mas a realidade é que os órgãos constituintes dessas agências não pararam de crescer nos últimos anos: em 2016, o custo combinado de todas as agências de protecção de dados da UE foi de 162 milhões de euros, enquanto esse valor aumentou para 295 milhões em 2021. Ainda há, no entanto, uma grande disparidade de gastos entre os estados membros: a Alemanha, que tem uma agência federal e 16 regionais, responde por 32% dos gastos europeus nesta área, enquanto nove países, respectivamente, gastam menos de 2 milhões de euros por ano.
A este respeito, o Comité Europeu para a Protecção de Dados, o órgão encarregado de criar uma aplicação uniforme para as leis de protecção de dados e de cooperação entre as autoridades nacionais, afirma que “o julgamento bem-sucedido de casos transnacionais exige muito tempo e recursos”, e é por isso que “é fundamentalmente importante que os governos nacionais financiem adequadamente os seus reguladores”.
A fórmula das agências europeias demonstrou ser a mais eficaz: tempo e recursos. A aplicação do RGPD ainda é assimétrica, descoordenada e frequentemente fraca, mas os alicerces de um esquema de protecção de dados eficaz levarão tempo a serem construídos. Aos poucos, os directores vão harmonizando os seus critérios, criando precedentes que lhes permitem implementar com eficácia algumas das leis de protecção de dados mais ambiciosas e abrangentes do mundo.
* Artigo do El Orden Mundial publicado no EDJNet (CC). . Foto: Jason Dent/Unsplash.
TICtank 