A CNPD não tem falta de meios. Tem falta de memória institucional

Nos últimos dias, multiplicaram-se os comentários sobre a atividade da Comissão Nacional de Proteção de Dados. O diagnóstico que circula é sempre o mesmo: faltam recursos humanos, falta financiamento, falta lei nova. É um argumento cómodo, mas profundamente inexato. Os números contradizem-no de forma inequívoca.

Em 2021, a CNPD registou os melhores resultados desde a entrada em vigor do RGPD: 60 coimas aplicadas, 1232 processos de averiguações abertos – um até aí máximo histórico –, e 318 notificações de violação de dados. Em 2022, os resultados foram ainda mais expressivos: 71 coimas e foram abertos 1785 processos de averiguação – mais 500 do que no ano anterior. A CNPD aplicou ao INE a maior coima de sempre em Portugal em matéria de proteção de dados: 4,3 milhões de euros. Nesses mesmos anos, a coima à Câmara Municipal de Lisboa – 1,25 milhões de euros por envio de dados de manifestantes a embaixadas estrangeiras - foi a terceira maior sanção aplicada a uma entidade pública em toda a Europa no âmbito do RGPD.

Estes não são resultados de uma instituição sem meios. São resultados de uma instituição com vontade de agir.

Vi de perto como se construíram esses processos – a exigência técnica, a cadência de trabalho, o esforço para transformar queixas em deliberações sólidas e juridicamente sustentadas. Não era fácil. Nunca foi. Mas era possível, e fazia-se.

O que aconteceu depois está à vista de todos, embora ninguém o diga com clareza: nos últimos três anos, a instituição perdeu, de forma sistemática, quem havia construído essa capacidade operacional. Não saíram por acaso. Não foram substituídos por outros com perfis equivalentes. O conhecimento acumulado, os métodos de trabalho, as redes de colaboração, a cultura de rigor sancionatório. Tudo isso foi-se com eles.

Quando uma organização que produzia 71 coimas por ano passa a aplicar apenas 2 em 2025, a explicação não está na lei, nem no orçamento. Estará na gestão e nos modelos de liderança.

A narrativa da falta de meios é, em certa medida, uma inversão da realidade: não é que os meios sejam insuficientes para produzir resultados – é que os resultados deixaram de ser uma prioridade visível para quem os devia garantir. Os meios que existiam foram desperdiçados, quando não afastados.

Tudo isto acontece num momento em que a proteção de dados nunca foi tão relevante. A digitalização acelerada da sociedade – dos serviços públicos ao comércio, da saúde à educação, da comunicação ao trabalho – significa que os dados pessoais dos cidadãos estão hoje em mais lugares, em mais mãos, sujeitos a mais riscos do que em qualquer momento anterior. A Inteligência Artificial, a proliferação de plataformas e a crescente sofisticação dos ataques informáticos tornaram a proteção de dados uma questão de cidadania fundamental, não uma preocupação técnica de especialistas e auditores.

Uma autoridade de controlo atuante é, neste contexto, indispensável – e não apenas pela via coerciva. A função sancionatória é essencial para que as regras tenham peso real, mas é inseparável da função pedagógica: orientar empresas e entidades públicas, promover boas-práticas, esclarecer dúvidas de interpretação, educar os próprios cidadãos sobre os seus direitos. Uma CNPD efetiva não se mede apenas pelas coimas que aplica, mas pela cultura de conformidade que é capaz de gerar à sua volta.

É precisamente por isso que o declínio da sua atividade não é um problema interno da instituição. É um problema de todos. Quanto mais digital for a nossa vida, mais necessária se torna uma autoridade que a proteja –com rigor, com continuidade, e com a memória institucional que lhe permita estar à altura do desafio.