No ano passado, foram registadas 332 violações de dados pessoais em Portugal, o que equivale a quase uma por dia, de acordo com os dados da Comissão Nacional de Proteção de Dados (CNPD). Estas violações de segurança resultam na destruição, perda, alteração, divulgação ou acesso não autorizado a informações pessoais, na maioria das vezes armazenadas em bases de dados.
No entanto, este número pode ser ainda maior, uma vez que muitas situações não são comunicadas à CNPD. Um exemplo recente é o caso do Instituto da Segurança Social (ISS), que arrisca uma multa milionária por não ter notificado uma violação de dados ocorrida em junho de 2019.
Na altura, um inspector superior estagiário da Segurança Social acedeu a dados pessoais de centenas de pessoas, incluindo figuras públicas como o presidente do instituto, o director da Polícia Judiciária e a ex-procuradora-geral da República, utilizando as credenciais de acesso de uma colega.
Estes dados foram posteriormente utilizados numa tentativa de extorsão, com o funcionário a exigir 500 mil euros sob a ameaça de divulgar as identidades de inspetores da Polícia Judiciária, agentes dos serviços secretos e outras pessoas nas redes sociais.
Apesar da gravidade da situação, o ISS não reportou o caso à CNPD, conforme confirmado pela própria comissão ao PÚBLICO.
Em 2023, foram comunicadas 409 violações de dados pessoais, das quais 106 ocorreram no sector público e 303 no sector privado. Os sectores mais afetados foram o comércio e serviços, a banca e seguros, a saúde e o turismo e restauração.
Desde 2019, as comunicações de violações de dados têm vindo a aumentar, embora o ano passado tenha sido a primeira vez que se registou uma inversão desta tendência.
Estas comunicações podem levar a recomendações da CNPD para melhorar a segurança dos dados, mas também podem resultar em multas por falta de notificação ou atraso na comunicação, que deve ocorrer no prazo de 72 horas após a entidade ter conhecimento da violação.
No ano passado, a CNPD aplicou um total de 138 mil euros em coimas, um valor inferior ao registado em 2023. Nos anos anteriores, as sanções aplicadas ultrapassaram o milhão de euros.
Uma figura importante na proteção de dados é o Encarregado de Proteção de Dados (DPO), responsável por garantir o cumprimento do regulamento e aconselhar funcionários e órgãos de gestão. O número de DPO tem crescido todos os anos, atingindo 5563 no final do ano passado.
Recorde-se que, em setembro de 2022, ocorreu uma das violações de dados mais graves em Portugal, quando um grupo de hackers publicou na Internet dados pessoais de dezenas de milhares de clientes da TAP.
Em outubro do ano passado, a Agência para a Modernização Administrativa (AMA) foi alvo de um ciberataque que afetou diversas plataformas e serviços digitais do Estado, levantando preocupações sobre a segurança dos dados dos cidadãos. No entanto, o Governo não confirmou se houve ou não comprometimento de dados pessoais.
