Balanço anual destaca subida do n.º de processos, reforço da cooperação internacional e necessidade de modernização na proteção de dados em Portugal
A Comissão Nacional de Proteção de Dados (CNPD) divulga o seu Relatório de Atividades referente ao ano de 2024, um marco duplo que assinala três décadas da sua missão de interesse público em defesa do direito fundamental à proteção de dados e direitos humanos fundamentais conexos, e respondeu a um contexto de crescente complexidade face à digitalização acelerada da sociedade.
O Relatório de Atividades de 2024 revela uma evolução expressiva na atividade da CNPD: foram abertos 19 processos de consulta prévia (ao abrigo do disposto no artigo 36.º do RGPD), um aumento de 216,7% em relação a 2023, triplicando os pedidos do ano anterior. Estes processos surgem na sequência da realização de avaliações de impacto sobre a proteção dos dados, através das quais o responsável concluiu que o tratamento de dados pessoais apresenta riscos elevados para os direitos, liberdades e garantias dos titulares. O aumento exponencial dos pedidos de consulta prévia evidencia a cada vez maior relevância da atividade de regulação ex ante da CNPD, que se mantém, apesar da mudança de paradigma operada pelo RGPD, que passou a basear-se na autorregulação.
Ainda no âmbito da sua função consultiva, a CNPD emitiu, em 2024, um total de 80 Pareceres sobre propostas de legislação e regulamentação, dos quais 22 respeitam ao procedimento legislativo, 48 a procedimentos normativos, e 10 a procedimentos para atos administrativos. Destaca-se que a maioria dos pedidos de Parecer continuam a incidir sobretudo sobre projetos de regulamentos e de protocolos administrativos, sendo de salientar que, neste último caso, o número de pareceres triplicou face ao ano anterior.
Foram abertos 2.879 processos ao longo do ano – um incremento perto de 10% face a 2023 – dos quais a maioria corresponde a averiguações motivadas por queixas de cidadãos ou seus representantes, além dos que o são na sequência de participações de outras autoridades (tais como a ACT – Autoridade das Condições de Trabalho, a ASAE, a Segurança Social, o Ministério Público, a PSP, a GNR) ou por iniciativa própria da CNPD. Entre estes, sobressaem 332 processos relacionados com violações de dados pessoais (data breach), incidindo essencialmente sobre o setor privado (256 casos) e o setor público (75 casos). As principais causas destas violações continuam a ser falhas humanas, seguidas por esquemas de engenharia social como o phishing e exploração de outras vulnerabilidades.
No domínio da ação sancionatória, destacou-se a aplicação de 23 coimas, num total de 138.375€, dirigidas sobretudo a infrações ao Regulamento Geral sobre a Proteção de Dados (RGPD) e spam. Adicionalmente, foi aplicada uma medida corretiva de limitação temporária do tratamento de dados à Worldcoin Foundation, bem como 152 advertências e quatro admoestações.
Em 2024, para comemorar o seu 30.º aniversário, a CNPD promoveu um vasto conjunto de iniciativas, destacando-se a realização de Conferências e um Ciclo de Cinema, em especial, a Conferência Internacional realizada a 24 de junho, na Sala do Senado da Assembleia da República, sob o tema “Proteção de dados pessoais: Que futuro estamos a construir?”. Este evento reuniu algumas das mais destacadas figuras do panorama internacional da proteção de dados, como Anu Talus, Presidente do Comité Europeu para a Proteção de Dados (CEPD), Mar España Martí, Diretora da Agência Espanhola de Proteção de Dados (AEPD), Faustino Varela Monteiro, Presidente da Comissão Nacional de Proteção de Dados de Cabo Verde, Wojciech Wiewiórowski, da Autoridade Europeia para a Proteção de Dados (AEPD), e Ana Brian Nougrères, Relatora Especial das Nações Unidas para o direito à privacidade, entre outros especialistas de relevo. Estas iniciativas reforçaram a posição da CNPD como entidade de referência no debate sobre o futuro e os desafios da proteção de dados pessoais, sublinhando o seu papel estratégico tanto a nível nacional como internacional.
E no dia 25 de junho de 2025, foi lançada a Rede Lusófona de Proteção de Dados (RLPD) através da assinatura da Declaração de Lisboa, pelas Autoridades de Proteção de Dados de Angola, Brasil, Cabo Verde, Portugal e São Tomé e Príncipe, na sede da CNPD, em Lisboa, reforçando o compromisso de cooperação entre os países de língua portuguesa em matéria de proteção de dados pessoais.
O aprofundamento da cooperação internacional destacou-se ainda através do trabalho conjunto com o Comité Europeu para a Proteção de Dados (CEPD), incluindo a participação em reuniões mensais, grupos de peritos e de trabalho diversos, com especial destaque para o grupo recentemente criado sobre inteligência artificial generativa, da participação da CNPD na Assembleia Mundial da Privacidade (GPA), tanto na conferência anual como nos grupos de trabalho que decorrem ao longo do ano, e bem assim na Rede Ibero-americana de Proteção de Dados (RIPD), da a CNPD qual é membro fundador.
O Relatório de Atividades de 2024 enfatiza ainda a concretização dos Objetivos e Ações Estratégicas do Plano Plurianual 2024-2026, centrado na proteção dos dados pessoais, na capacidade de antecipar riscos e oportunidades tecnológicas, e no fortalecimento da cooperação nacional e internacional. Em paralelo, a CNPD lança um apelo à urgente modernização interna e ao reforço dos seus recursos humanos e tecnológicos, sublinhando a necessidade de alteração legislativa para adequar a sua estrutura organizativa (cuja Lei tem mais de 20 anos), aos desafios cada vez mais sofisticados que marcam a atual sociedade digital.
Para mais informação consulte aqui o Relatório de Atividades da CNPD de 2024.