As recomendações resultam da Ação Coordenada de Supervisão da União Europeia, que reuniu 30 Autoridades de Proteção de Dados.
Durante o ano de 2024, a Comissão Nacional de Proteção de Dados (CNPD), participou na Ação Coordenada de Supervisão (CEF – Coordinated Enforcement Framework) da União Europeia, que envolveu trinta Autoridades de Proteção de Dados (APD) de toda a Europa que conduziram investigações coordenadas para avaliar a conformidade dos responsáveis pelo tratamento com o exercício do direito de acesso, ou seja, a resposta dada aos titulares dos dados quando pretendem saber todas as informações sobre o tratamento dos seus dados.
Este esforço envolveu, nalguns casos, a abertura de investigações formais, a avaliação da necessidade de tais investigações e a realização de exercícios de apuramento de factos. No total, 1.185 responsáveis pelo tratamento, incluindo pequenas e médias empresas, grandes empresas de vários setores, e diversas entidades públicas, responderam à ação.
O Relatório, aprovado a janeiro de 2025 pelo Comité Europeu de Proteção de Dados (CEPD), resume os resultados das ações coordenadas, incluindo algumas recomendações destinadas a facilitar a aplicação do direito de acesso. Destaca-se o nível de consciencialização pelos responsáveis pelo tratamento, no que toca às Orientações 01/2022 do CEPD sobre os direitos dos titulares de dados e a prática dessas orientações.
Os resultados sugerem a necessidade de aumentar a sensibilização para as Orientações 01/2022 do CEPD tanto a nível nacional como europeu. Estas orientações são cruciais para ajudar os responsáveis pelo tratamento a aplicarem o direito de acesso, explicam como o exercício deste direito pode ser facilitado e enumeram as exceções e limitações associadas.
A Ação Coordenada de Supervisão (CEF) 2024 identificou sete desafios principais, entre eles a ausência de procedimentos internos documentados para lidar com os pedidos de acesso, interpretações inconsistentes sobre os limites do direito de acesso, obstáculos enfrentados pelas pessoas ao exercerem o seu direito, requisitos formais rigorosos ou a exigência de documentação excessiva. Para cada desafio identificado, o relatório apresenta uma lista de recomendações não vinculativas para serem consideradas pelos responsáveis pelos tratamentos e pelas APD.
Apesar dos desafios, dois terços das APD participantes classificaram o nível de cumprimento do direito de acesso pelos responsáveis pelo tratamento de dados como "médio" a "elevado". Um fator importante que influencia o nível de conformidade é o volume de pedidos de acesso recebidos e a dimensão de cada entidade. Organizações com tratamentos em larga escala ou que recebem um maior número de pedidos tendem a ter um nível de conformidade mais elevado em comparação com pequenas empresas com recursos limitados.
O relatório também destacou práticas positivas em toda a Europa, incluindo a implementação de formulários online de fácil utilização que permitem às pessoas submeter pedidos de acesso de forma simplificada, bem como sistemas de self-service que permitem descarregar autonomamente os dados pessoais a qualquer momento com apenas alguns cliques.
A CEF é uma atividade-chave do Comité Europeu no âmbito da sua Estratégia 2024-2027, com a qual se pretende reforçar a investigação e a cooperação entre Autoridades de proteção de dados.
Em Portugal, a Comissão Nacional de Proteção de Dados (CNPD) participou nesta ação conjunta, através de um questionário pormenorizado sobre os procedimentos e as práticas das organizações no que diz respeito ao direito de acesso, apenas no setor privado, uma vez que em 2022 foi visado exclusivamente o setor público, sobre serviços baseados em computação em nuvem, e em 2023 sobre a posição dos encarregados de proteção de dados, foram ambos os setores abrangidos.
Procurou-se diversificar as áreas económicas, tendo em consideração, nomeadamente, os setores envolvidos nas ações de 2022 e 2023, as queixas ou pedidos de informações recorrentes por parte dos titulares e as categorias de dados abrangidas pelos tratamentos. A CNPD pretende desenvolver no decurso do ano de 2025, inspeções in loco sobre aspetos muito específicos, designadamente no seguimento de respostas aos questionários aplicados, das quais poderão resultar medidas corretivas sancionatórias e/ou a aplicação de coimas no âmbito do apuramento da eventual responsabilidade contraordenacional.