Porque falha em Portugal a protecção de dados pessoais

Uma das grandes promessas da reforma europeia do regime jurídico da protecção de dados pessoais, centrou-se no direito à protecção de dados pessoais, na supressão da assimetria legislativa existente entre os Estados-membros da União Europeia (UE) e na criação de uma resposta eficaz e adequada aos desafios  das novas tecnologias. 

A reforma fez-se através do Regulamento Geral sobre a Protecção de Dados (RGPD) trazendo várias novidades:  o alargamento do catálogo de direitos e das vias de recurso dos titulares de dados; o robustecimento do quadro de obrigações jurídicas aplicável às pessoas singulares e colectivas que processem dados pessoais; e o reforço dos poderes e competências das autoridades de controlo, a quem compete fiscalizar e assegurar a aplicação coerente do Regulamento.

O equilíbrio alcançado entre o direito à proteção de dados pessoais e a livre circulação desses dados no mercado interno da UE permitiu a afirmação do RGPD como instrumento jurídico pioneiro que influenciou muitos outros países a fazerem reformas legislativas. A UE tornou-se, assim, o primeiro espaço económico a levar a cabo uma reforma legislativa que haveria de alterar substancialmente a forma como os dados pessoais são percepcionados, concedendo-lhes uma protecção sem paralelo em todo o mundo.

DEPENDEMOS DE QUEM NOS LÊ. CONTRIBUI AQUI.

Ciente do esforço exigido às  entidades públicas e privadas, o RGPD estabeleceu um hiato temporal de dois anos para que estas se pudessem adaptar ao novo quadro legislativo. Em vigor desde Abril de 2016, o RGPD apenas entrou em vigor em Maio de 2018, ocasião pela qual as caixas de correio electrónico transbordaram de súbito com mensagens de novas actualizações às políticas de privacidade das entidades. À parte desta cosmética jurídica, decorridos praticamente seis anos sobre a sua entrada em vigor, permanece a ideia de que o RGPD se tratou de uma promessa frustrada.

Com efeito, o sector privado apresenta ainda um baixo nível de maturidade em termos de conformidade com o Regulamento, porquanto o sector público permanece, na sua larga maioria, profundamente deficitário naquilo que respeita à adaptação ao RGPD. Mostrou o tempo que as avultadas coimas que tanto ensurdeceram a temática da protecção de dados – e que motivaram uma corrida desenfreada aos escritórios de advogados e às empresas de consultoria – somente veio corporizar a afamada expressão: A montanha pariu um rato. Porque falha, então, a aplicação do RGPD em Portugal?

O papel das autoridades de controlo

Apesar de  múltiplos factores terem contribuído para a lacuna identificada, vale a pena  evidenciar os aspectos mais críticos da exígua aplicação do RGPD em Portugal. Neste sentido, e porque supérfluo seria prender a nossa atenção em demasia ao ímpeto voluntário das entidades para quem esta é uma de tantas outras burocracias legais, procuraremos focar os nossos esforços em quem tem por missão garantir a aplicação do Regulamento.

Neste sentido, importa observar que o cumprimento do quadro jurídico vertido no RGPD exige que sejam atribuídas competências legais e poderes de facto às autoridades de controlo, e que estas possam actuar com elevado grau de autonomia. É com base neste pressuposto, transversal a tantos outros domínios, que o RGPD, atento aos desafios suscitados pelo acréscimo das obrigações legais impostas às entidades, reafirmou o papel das autoridades de controlo. Concedeu-lhes uma posição central no que diz respeito  à fiscalização e aplicação coerente das normas jurídicas nele contidas. 

Ainda que os aspectos técnico-jurídicos não constituam o objeto principal do presente texto, observe-se que o RGPD não só alargou o âmbito da competência, atribuições e poderes das autoridades de controlo, como encetou também novos modelos de atuação conjunta entre autoridades de controlo ao ter erigido os mecanismos de cooperação e consistência, do qual o Balcão Único (one-stop-shop) se destaca pelo seu carácter inovador.  

Considerando que a efectiva aplicação do RGPD exige uma efectividade de meios, o legislador europeu incrementou a responsabilidade dos Estados-membros nesta matéria. O Regulamento é claro nesta premissa, estabelecendo a obrigatoriedade de os Estados-Membros porem à disposição das autoridades de controlo os recursos humanos, técnicos e financeiros, instalações e infraestruturas necessários à execução eficaz das suas atribuições e ao exercício dos seus poderes. Naturalmente, estas são emanações evidentes do estatuto de independência de que as autoridades de controlo gozam, sem que com isto se afaste a sua sujeição aos normais procedimentos de controlo ou monitorização das suas despesas, nem à fiscalização judicial, tal como adverte o preâmbulo do Regulamento.

É a única Lei de Execução que ao nível da protecção de dados pessoais viola o próprio RGPD, ao consagrar soluções jurídicas que atentam contra o princípio do primado do Direito da União Europeia.

 

No que diz respeito aos poderes atribuídos às autoridades de controlo, e no âmbito da sua ação correctiva, destacou-se, num primeiro momento, o poder de aplicar as coimas previstas no RGPD. Não sendo esta uma originalidade do Regulamento, a sua particularidade reside no facto de as elevadas coimas nele previstas – coimas que atingem o valor de 20 milhões de euros ou até 4% do volume de negócios anual a nível mundial de uma entidade – concederem às autoridades de controlo uma influência proeminente na economia das empresas e no mercado interno dos Estados-Membros de que até então não dispunham. A afirmação das autoridades de controlo como autoridades administrativas com poderes musculados não passou indiferente aos Governos nacionais. Além da sujeição de praticamente toda a Administração Pública ao exercício dos poderes das autoridades de controlo, estas conquistaram o estatuto de potencial interveniente económico.

Embora se tenha  assistido a um reforço quantitativo e qualitativo dos poderes associados às autoridades de controlo no plano legal, verifica-se existir, no plano prático, uma lacuna persistente naquilo que se reporta às atribuições de meios e de recursos humanos a estas autoridades para que possam desempenhar as funções que lhes são cometidas. 

No relatório “Europe’s governments are failing the GDPR”, dirigido e elaborado por Johnny Ryan e publicado pela Brave Software Inc. em 2020, evidencia-se subsistir um tendencial subfinanciamento das autoridades de controlo em toda a UE. No entanto,  existe um largo número de Estados-membros que reforçou os montantes dos orçamentos anuais das suas autoridades. O gráfico 1 reflecte o alargamento dos orçamentos das autoridades de controlo europeias entre o período que decorre da entrada em aplicação do RGPD (25 de maio de 2018) e o período em que foi publicado o presente relatório (Abril de 2020).

Image

Ainda que qualifique de genericamente insuficiente, o relatório supra mencionado conclui que o acréscimo orçamental das autoridades de controlo atingiu um pico de 24% no ano de 2019, tendo sido posteriormente reduzido para 15%. Em sentido contrário à tendência europeia destaca-se o caso português, no qual se verifica existir uma redução de 203 mil euros no orçamento anualmente atribuído à Comissão Nacional de Protecção de Dados (CNPD).

Além de operar com um dos mais reduzidos orçamentos em toda a UE, a CNPD é a quarta menor autoridade de controlo, pese embora o facto de, notavelmente, apresentar um rácio bastante positivo em termos de especialistas em tecnologia (tech specialists). Neste sentido, os recursos humanos da autoridade de controlo portuguesa somente superam os casos de Malta, Letónia, Estónia e Chipre, conforme demonstrado no gráfico 2.

Image

Da conjugação destes factores, a que poderíamos adicionar o baixo nível remuneratório atribuído aos seus trabalhadores, assume-se como óbvia a conclusão de que a actividade desenvolvida pela CNPD está bastante  condicionada. Fica ainda mais condicionada se considerarmos as suas competências e poderes e o manancial de casos que tem em mãos. 

Não sendo a aplicação de coimas, per se, um indicador de resultado que permita ajuizar, com suficiência, o nível de produtividade e eficácia de uma qualquer autoridade de controlo, este é certamente um dos elementos mais importantes no que respeita à capacidade de execução do RGPD e que, externamente, maior relevo adquirem. Nesse sentido, a conclusão que facilmente se antecipa é confirmada através do “Relatório de Atividades – 2019/2020” da CNPD: no período em referência somente foram aplicadas 49 coimas, sendo que apenas sete correspondem a infrações do RGPD. Por contraste, e numa síntese comparativa, a autoridade de controlo espanhola aplicou, em igual período (2019 e 2020), cerca de 284 coimas sobre o mesmo leque de matérias.

A resposta da Lei

Além dos condicionalismos anteriormente evidenciados, o legislador nacional, ao executar as cláusulas abertas presentes no RGPD através da Lei de Execução, optou por três  caminhos que, directa ou indirectamente, impuseram maiores restrições à actividade da CNPD.

A primeira opção, e talvez a menos gravosa para a actividade da autoridade de controlo, foi a consagração da possibilidade de as entidades públicas requererem a dispensa de aplicação de coimas por um período de três anos. Sob este âmbito são devidas duas observações. A primeira é a possibilidade de dispensa de coimas durante o período de três  anos, ainda que sujeita à apreciação da CNPD, conferindo às entidades públicas uma prorrogativa de que as entidades privadas não gozam. Com efeito, além do período de dois anos que o RGPD conferiu transversalmente a todas as entidades para efeitos de adaptação às novas regras, as entidades públicas portuguesas beneficiarão de um período adicional de quatro anos para assegurar a sua adaptação ao novo quadro jurídico.

A segunda observação tem em perspectiva o alargamento desta prerrogativa por um período indeterminado, uma vez que a Lei de Execução (artigo 59.º)  abre a porta para que o legislador nacional designe um novo período – porventura até mais alargado que o anterior – no qual as entidades públicas poderão requerer a dispensa da aplicação de coima. A opção do legislador nacional vem, no aspecto prático, criar um incentivo perverso à não implementação das obrigações jurídicas estabelecidas no RGPD por parte das entidades públicas. Não surpreende, por isso, que seja precisamente nas entidades públicas que se regista um maior atraso em termos de maturidade e conformidade com o RGPD, o que é publicamente reconhecido pelo  Governo desde 2018.

Além de criticável pelo seu caracter extemporâneo, a Lei de Execução apresenta uma particularidade sem eco em toda a UE: é a única Lei de Execução que ao nível da protecção de dados pessoais viola o próprio RGPD, ao consagrar soluções jurídicas que atentam contra o princípio do primado do Direito da União Europeia. 

Nunca antes em toda a Europa se havia assistido a uma deliberação de conteúdo idêntico, no qual uma autoridade de controlo decide perentoriamente não aplicar parte de uma lei de execução. 

Em particular, percebe-se que o legislador nacional procurou, com uma criatividade jurídica que se desagrega da sua competência, introduzir alterações substanciais ao quadro sancionatório previsto no RGPD. Neste sentido, foram criados tectos mínimos e máximos para os valores das coimas previstas no RGPD. Ademais, foi estabelecida uma graduação desses tectos em função do tipo de pessoa jurídica, sendo que no caso das pessoas colectivas está igualmente disposta em função da sua dimensão. 

Para lá das críticas que justamente poderiam ser feitas a esta solução – caso a mesma fosse legalmente possível – afigura-se pertinente notar que o caso português tem uma outra particularidade inédita em toda a UE. Tendo sido confrontada com as vicissitudes apresentadas pela Lei de Execução, a CNPD deliberou pela não aplicação de algumas das suas normas, de onde se incluem, a título exemplificativo, as referentes à alteração do quadro sancionatório previsto no RGPD. 

Nunca antes em toda a Europa se havia assistido a uma deliberação de conteúdo idêntico, no qual uma autoridade de controlo decide perentoriamente não aplicar parte de uma lei de execução. Irrepreensivelmente fundamentada, a deliberação da CNPD põe em evidência, uma vez mais, a fútil tentativa de restringir os seus poderes enquanto autoridade de controlo, nomeadamente no que à aplicação de coimas diz respeito.

A terceira opção encetada pelo legislador português, de certa forma também ela inédita, procurou estabelecer uma correspondência entre as sanções administrativas previstas para os vários tipos de violações de dados – nomeadamente quanto à dimensão da confidencialidade, integridade e disponibilidade dos dados – e o regime penal relativo à proteção de dados. Acresce que o legislador português acrescentou à Lei de Execução uma norma referente ao concurso de infrações, a qual refere que sempre que se verifique existir um concurso de crime e contraordenação, o processamento da contraordenação cabe às autoridades competentes para o processo criminal. 

Na prática, significa que grande parte das competências atribuídas à CNPD são materialmente transferidas, por meio da correspondência entre o regime contraordenacional e o regime penal, para o Ministério Público. Além das óbvias consequências jurídicas que esta opção impõe – desde logo, com a problemática que circunda o dever de notificação à autoridade de controlo perante uma violação de dados e o direito à não autoincriminação –, a mesma é criticável por esvaziar a autoridade de controlo portuguesa das competências que o RGPD expressamente lhe atribui.  

Assim, à sonegação de recursos humanos e materiais, soma-se a sonegação de competências, ardilosamente engendrada pela Lei de Execução. As vicissitudes formais e materiais que mitigam a capacidade de atuação da CNPD e que contrastam com o musculado papel que o RGPD reservou para as autoridades de controlo nacionais explica, em parte, porque falha a aplicação do RGPD em Portugal. 

E, embora se atribua ao RGPD o valor de uma burocracia legal, o certo é que a correcta e adequada implementação das obrigações nele contidas tem uma estreita correlação com a inovação e a competitividade existente no mercado interno europeu, sobretudo no mercado único digital. Isto é especialmente visível nos mercados nacionais fortemente regulados, onde o recurso a um subcontratante que não tenha  implementado adequadamente as obrigações jurídicas estabelecidas no RGPD representa um risco que, talvez, muitas empresas europeias não estão dispostas a assumir no momento de recorrer aos serviços das empresas portuguesas.

Além da perda de competitividade, o esvaziamento de competências da CNPD e a escassez dos seus recursos têm levado a que se abra no quadro jurídico nacional uma espécie de sistema de controlo globalmente favorável. Esta consequência  equipara-se à lógica dos denominados paraísos fiscais.  A consequência é a quebra da harmonia jurídica que o RGPD procura assegurar e, mais grave ainda, uma menor e efectiva proteção dos dados pessoais e dos demais direitos e liberdades fundamentais.

Os problemas internos

Não se pense, porém, que somente os factores externos justificam a falha do RGPD na sua aplicação efetiva. Também no plano interno existem diversos problemas que, com maior ou menor amplitude, impactam negativamente a capacidade de actuação da CNPD. Neste sentido, há que salientar que a longa permanência nos cargos de vogais da CNPD contribui indubitavelmente para a sua incapacidade de renovação institucional – própria e desejável em qualquer sistema democrático. O próprio website da CNPD revela existir quem, por entre os vários vogais da CNPD, permaneça nesse mesmo cargo desde 1994. Este facto apenas pode ser encarado com óbvia estranheza  à luz da limitação de mandatos fixada desde 2004 através da Lei n.º 43/2004, de 18 de Agosto.

Há ainda um outro factor condicionante, relacionado com o que está disposto no artigo 53.º do RGPD, o qual estabelece como requisitos relevantes para a nomeação dos membros das autoridades de controlo as suas habilitações, experiência e conhecimentos técnicos necessários ao desempenho das suas funções e ao exercício dos seus poderes. Há, por entre os vogais da CNPD, membros que, não obstante da sua notoriedade, prestígio e reconhecido mérito noutras áreas do Direito, apresentam no domínio específico da protecção de dados uma experiência académica ou profissional que pode ser considerada pouco significativa ou relevante.

Grande parte das competências atribuídas à CNPD são materialmente transferidas, por meio da correspondência entre o regime contra-ordenacional e o regime penal, para o Ministério Público. 

Por último, importa referir que a dignificação do trabalho desenvolvido pela CNPD é incompatível com a existência de potenciais situações de conflito de interesses entre os seus membros. Isto acontece sobretudo entre aqueles que, tendo a sua actividade profissional afecta a esta autoridade, prosseguem com uma actividade económica e comercial relacionada com a prestação de serviços no domínio da protecção de dados pessoais junto das entidades públicas e privadas sujeitas aos poderes de controlo. A incompatibilidade de funções que podem surgir impõe à actividade da CNPD um conjunto de inquietações indesejáveis de ordem moral e ética.

A perspetiva europeia

Apesar de as razões subjacentes à lacunar aplicação do RGPD em Portugal se possam ancorar em factores adicionais - como a diminuta cultura de privacidades das organizações, a insuficiência de profissionais especializados ou simplesmente na passividade das entidades públicas e privadas -, é a acção ou inacção do Estado, quer no âmbito orçamental quer no plano legislativo, que se destaca como a principal causa deste obstáculo.

Segundo apurou a Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos do Parlamento Europeu, 21 autoridades de controlo – dos 31 Estados que aplicam o RGPD, incluindo os Estados o Espaço Económico Europeu –, declaram não dispor de recursos humanos, técnicos e financeiros, de instalações e de infraestruturas suficientes para desempenharem as suas funções. A referida Comissão acrescenta ainda que a falta de técnicos especializados na maioria das autoridades de supervisão da União Europeia dificulta as investigações e o controlo do cumprimento do RGPD. 

Além disso,  verifica-se que as autoridades de controlo estão sob pressão por causa do aumento do desfasamento entre as suas responsabilidades e os recursos de que dispõem para as cumprir. Por outro lado, a  Comissão das Liberdades Cívicas constata existir uma fragmentação do RGPD, permitida quer pela amplitude das suas cláusulas abertas quer pelas medidas, ações e decisões dos Estados-membros que introduziram desvios ao espírito, ao objetivo e ao texto do Regulamento.

Uma autoridade de controlo que se encontra despojada dos meios e recursos para desempenhar eficazmente as competências que lhe são atribuídas é uma autoridade de controlo que somente pode existir no plano formal e teórico.

Não surpreende, por isso, que numa recente proposta de resolução, o eurodeputado Juan Fernando López Aguilar tenha, em nome Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos do Parlamento Europeu, instado à Comissão Europeia que inicie com a maior brevidade possível os processos por infracção contra os Estados-Membros que não cumpriram as suas obrigações ao abrigo do RGPD, nomeadamente que assegurem à autoridade de controlo os recursos humanos, técnicos e financeiros, instalações e infraestruturas necessários à prossecução eficaz das suas atribuições e ao exercício dos seus poderes.

Além dos procedimentos por infracção, a Comissão das Liberdades Cívicas instou a Comissão Europeia a utilizar os seus poderes para intervir nos Estados-membros que apresentam desvios ao espírito e aos objectivos consagrados no RGPD, com vista a prevenir desigualdades ao nível do regime da protecção de dados e às distorções que dá azo no mercado interno europeu. 

Caso esta proposta seja acolhida pela Comissão Europeia, é inevitável não considerar que Portugal será um dos casos que mais se destacará no processo de infracção. Com efeito, as conclusões da Comissão das Liberdades Cívicas cruzam-se com a perspectiva de que a ausência da aplicação coerente e eficaz do RGPD é resultado da acção dos Estados-Membros, ainda que a um nível superficial se possam elencar  algumas das fragilidades que são passíveis de serem apontadas directamente às autoridades de controlo.

Perspectivas sobre a aplicação eficaz do RGPD

É certo ser necessária uma solução holística que, nas suas múltiplas facetas, permita mitigar eficazmente os muitos obstáculos existentes à eficaz aplicação do RGPD. E, portanto, surge a constatação óbvia de que, genericamente, os problemas mais óbvios apresentam em igual medida as soluções mais óbvias. Qualquer ímpeto reformista que pretenda melhorar o quadro jurídico nacional aplicável à proteção de dados não pode, formal e materialmente, ser indiferente  às seguintes três dimensões.

Em primeiro lugar, afigura-se primordial assegurar a libertação da CNPD em termos dos constrangimentos orçamentais que limitam determinantemente a sua actividade. Uma autoridade de controlo que se encontra despojada dos meios e recursos para desempenhar eficazmente as competências que lhe são atribuídas é uma autoridade de controlo que somente pode existir no plano formal e teórico, limitando-se a ser uma espécie de adereço cosmético do sistema democrático a que pertence. 

Ainda que à lógica orçamental presida a premissa de contenção da despesa pública, impõe-se a necessidade de se encontrar um equilíbrio que materialmente possibilite à CNPD exercer as competências de que está investida e os poderes que lhe são atribuídos. O alargamento do seu orçamento deverá ter em consideração, necessariamente, o imperativo de reforço dos seus meios humanos, seja através da contratação de especialistas seja através da sua integração, na qualidade de trabalhadores da função pública na orgânica da CNPD.

Em segundo plano, o legislador nacional deve tomar o impulso de proceder a uma reforma da Lei de Execução que possa expurgar as normas jurídicas que atentam contra o princípio do primado do Direito da União Europeia, e muito em particular, as normas relativas ao quadro sancionatório desenhado à revelia do próprio RGPD. 

Por outro lado, ainda que a prerrogativa da possibilidade de dispensa da aplicação de coimas concedida às entidades públicas se possa justificar razoavelmente na necessidade de repartir o esforço financeiro do Estado ao longo de vários anos, o certo é que esse esforço não foi eficaz ao longo dos últimos cinco anos -  pouco ou nenhum fundamento parece existir para que se afirme que, realisticamente, a Administração Pública pretenda proceder ao longo deste ano à implementação das obrigações jurídicas a que está adstrita por via do RGPD. 

Nesse sentido, e considerando que seis anos é um prazo orçamentalmente razoável para adaptar a actividade da Administração Pública às novas regras, o legislador deverá considerar a supressão de tal prerrogativa, uma vez que é nociva e potenciadora da assimetria entre o sector público e o sector privado. 

No referente à reforma legislativa, importa ainda considerar o (re)desenho do quadro sancionatório aplicável às violações de dados, distinguindo com propriedade e com um grau de amplitude substantivo aquilo que ao quadro contraordenacional pertence daquilo que dispõe de relevância penal, evitando uma confluência de competências que na prática torneia e frusta os objectivos do RGPD. 

Um terceiro ponto, este relativo  à dinâmica interna da CNPD, centra-se na importância de se adoptar uma política clara e de tolerância zero relativamente à existência de potenciais conflitos de interesses. Com efeito, pouco dignifica o prestígio institucional da CNPD – sobretudo face ao crescendo da sua importância para efeitos do progresso tecnológico, económico e social – fazer tábula rasa aos casos, mais ou menos evidentes, de incompatibilidade de funções no seu seio. Em particular, seria importante que se clarificasse o estatuto de alguns prestadores de serviços, tal como seria importante assegurar que nenhum trabalhador ou colaborador da autoridade de controlo possa vir a exercer, em simultâneo, uma actividade comercial e económica junto das entidades sujeitas aos poderes da CNPD. 

O desempenho de funções enquanto supervisor e supervisionado é uma nódoa na vida democrática das instituições que importa não admitir nem tolerar. Ainda a este respeito, afigura-se desejável que os princípios democráticos possam penetrar nas estruturas institucionais, assegurando – tal como é democraticamente natural – que a ocupações dos cargos de direcção não se prolonguem ad eternum. Neste aspecto, urge estabelecer uma estrita correspondência entre o plano jurídico e teórico da limitação de mandatos e o plano material e concreto.

Com efeito, pouco dignifica o prestígio institucional da CNPD fazer tábula rasa aos casos, mais ou menos evidentes, de incompatibilidade de funções no seu seio.

Por fim, e se desejássemos colocar este exercício num plano mais amplo, seria de considerar a oportunidade de encetar uma reforma legislativa ao próprio RGPD, particularmente no que diz respeito às autoridades de controlo. Consequentemente coloca-se a questão  de colmatar as lacunas evidenciadas pela prática, em relação às quais seria oportuno garantir uma mais intensa harmonia jurídica que contribuísse para a implementação de práticas comuns e de um quadro de supervisão coerente e simétrico. 

Não sendo  possível desincorporar a efectividade do direito à protecção de dados pessoais da imprescindível actuação das autoridades de controlo, revelar-se-ia igualmente oportuno assegurar o alargamento das vias de recursos postas à disposição dos titulares de dados.  A possibilidade de interpor uma ação judicial contra uma autoridade de controlo, o principal mecanismo de sindicância relativamente aos actos e omissões destas  autoridades, torna-se indissociável da ideia de que a efectivação do direito à protecção de dados está materialmente dependente da condição socioeconómica dos titulares de dados. 

Neste âmbito, e no campo das competências do Comité Europeu para a Protecção de Dados (CEPD), perspectiva-se ser de equacionar a criação de um outro mecanismo de resolução de conflitos que dirimisse as quezílias entre os responsáveis pelo tratamento, os subcontratantes, os titulares de dados e outros intervenientes, e as autoridades de controlo nacionais. 

Sendo certo que um tal mecanismo não está isento de críticas, sobretudo por sonegar ao direito administrativo a sindicância dos actos e omissões das autoridades de controlo, não é de somenos considerar os benefícios que esta solução encerra. Isto ao nível da harmonização das práticas das autoridades de controlo, quer em termos da efectiva aplicação do RGPD. Ou ainda na perspectiva dos titulares de dados que passariam a ter a seu dispor um mecanismo supranacional de sindicar a actividade das autoridades de controlo nacionais.

O autor escreve segundo o antigo acordo ortográfico.