Aplicação do RGPD em 2025: Quais as violações mais caras - e como evitá-las

A aplicação do RGPD continuou a intensificar-se ao longo de 2025, com as autoridades de controlo de todo o EEE a emitirem mais de 2.100 decisões de aplicação e coimas totais superiores a 2,1 mil milhões de euros no ano civil. A tendência é inconfundível: os reguladores não estão a abrandar. Para as PME, compreender quais as infracções que atraem as sanções mais pesadas é essencial para dar prioridade aos investimentos em conformidade.

2025 Controlo da aplicação da lei num relance

Várias estatísticas importantes moldaram o panorama da aplicação da lei em 2025:

• Total de coimas aplicadas: Cerca de 2,1 mil milhões de euros em todas as autoridades de proteção de dados do EEE
• Número de decisões de execução: Mais de 2.100, um aumento de aproximadamente 18% a partir de 2024
• A maior coima individual: 1,2 mil milhões de euros impostos pela Comissão de Proteção de Dados irlandesa (DPC)
• As APD mais activas por volume de decisões: AEPD espanhola, Garante italiana, ANSPDCP romena e NAIH húngara
• APD mais activas por valor da coima: DPC irlandesa, CNIL francesa, Garante italiana e CNPD luxemburguesa

Um desenvolvimento notável em 2025 foi o aumento da atividade das APD mais pequenas. As autoridades da Áustria (DSB), da Finlândia (Tietosuojavaltuutettu) e da Croácia (AZOP) aplicaram as coimas mais elevadas de sempre, o que assinala uma maturação da capacidade de execução em toda a UE.

As 3 principais categorias de infracções

1. Base jurídica insuficiente para o tratamento (artigo 6.º)

O tratamento de dados pessoais sem uma base jurídica válida continuou a ser a infração mais frequentemente citada e mais severamente penalizada em 2025. Esta categoria inclui organizações que se basearam num consentimento que não cumpria a norma do artigo 7.º, que alegaram interesses legítimos sem efetuar um teste de equilíbrio adequado ou que trataram dados para fins incompatíveis com a finalidade original da recolha (violação do princípio da limitação da finalidade nos termos da alínea b) do n.º 1 do artigo 5.

A CNIL impôs várias coimas significativas nesta categoria, incluindo sanções contra organizações que seguiam os utilizadores através de sítios Web sem consentimento válido. A CNIL tem defendido sistematicamente que os mecanismos de consentimento de cookies que utilizam padrões obscuros, opções pré-selecionadas ou tornam a rejeição desnecessariamente difícil não constituem um consentimento válido nos termos dos artigos 6.

Lição para as PME: Audite todas as actividades de processamento para obter uma base jurídica documentada e defensável. Quando se baseia no consentimento, certifique-se de que os seus mecanismos de consentimento cumprem a norma de consentimento livre, específico, informado e inequívoco. Quando se basear em interesses legítimos, documente o seu teste de equilíbrio.

2. Medidas técnicas e organizativas de segurança inadequadas (artigo 32.º)

As violações do artigo 32.º representaram uma proporção substancial das acções de execução em 2025. As autoridades de supervisão penalizaram as organizações por falhas que incluem: dados pessoais não encriptados, palavras-passe fracas ou predefinidas, controlos de acesso inadequados, não aplicação atempada de correcções de segurança e monitorização e registo insuficientes.

A Garante italiana esteve particularmente ativa neste domínio, aplicando várias multas a prestadores de cuidados de saúde por medidas de segurança inadequadas que resultaram no acesso não autorizado a registos de pacientes. A AEPD espanhola prosseguiu o seu padrão estabelecido de penalizar as pequenas e médias organizações por falhas básicas de segurança, incluindo casos em que as bases de dados dos clientes foram expostas devido a uma má configuração do armazenamento na nuvem.

O Comissário Federal Alemão para a Proteção de Dados (BfDI) centrou-se nas deficiências sistémicas de segurança, sublinhando que o artigo 32.º exige não só medidas técnicas adequadas, mas também controlos organizacionais, incluindo políticas de segurança, procedimentos de gestão do acesso e testes regulares da eficácia da segurança.

Lição para as PME: A higiene básica de segurança não é negociável. Implemente a encriptação, aplique uma autenticação forte, aplique correcções rapidamente e restrinja o acesso com base no princípio do menor privilégio. Documente as suas medidas de segurança e a justificação para as escolher.

3. Incumprimento dos direitos das pessoas em causa (artigos 15.º a 22.º)

O facto de não responder aos pedidos das pessoas em causa dentro do prazo legal de um mês, ou de fornecer respostas incompletas, gerou um volume significativo de acções de execução em 2025. As violações mais comuns envolveram:

• Não resposta aos pedidos de acesso (artigo 15.º) no prazo de um mês
• Recusa de apagar os dados quando solicitado nos termos do artigo 17º sem motivos válidos para continuar o tratamento
• Exigências excessivas de verificação da identidade que obstruíram efetivamente o exercício dos direitos
• Não fornecimento de dados num formato portátil quando solicitado nos termos do artigo 20.

A Garante italiana aplicou várias coimas por atrasos ou respostas inadequadas a pedidos de acesso de titulares de dados, incluindo casos em que as organizações demoraram vários meses a responder sem justificação. A APD polaca (UODO) também emitiu decisões notáveis neste domínio, nomeadamente no que se refere ao direito ao apagamento.

Lição para as PME: Implemente um sistema de acompanhamento dos pedidos dos titulares dos dados com alertas automáticos de prazos. Forme o pessoal de atendimento ao cliente para reconhecer os pedidos dos titulares dos dados, mesmo que não estejam explicitamente enquadrados na linguagem do RGPD. Um cliente que diga "apagar a minha conta" está a exercer o seu direito previsto no artigo 17.

Acções de execução notáveis

DPC irlandês: Execução das transferências transfronteiriças

O CPD irlandês continuou a desempenhar o seu papel de autoridade de controlo principal para muitas grandes empresas tecnológicas. As suas decisões de execução em 2025 centraram-se nas transferências transfronteiriças de dados (Capítulo V) e na adequação das garantias para as transferências para países terceiros. A coima recorde de 1,2 mil milhões de euros sublinhou que os mecanismos de transferência exigem salvaguardas genuínas e avaliadas, e não apenas formalidades contratuais.

CNIL: Aplicação de cookies e de rastreio

A CNIL manteve o seu enfoque no rastreio e consentimento em linha. Em 2025, alargou a aplicação da legislação para além das grandes plataformas, abrangendo o comércio eletrónico de média dimensão e os meios de comunicação social. A CNIL deu especial ênfase aos mecanismos de retirada do consentimento: tornar a retirada do consentimento mais difícil do que a sua concessão viola o requisito do n.º 3 do artigo 7.

BfDI: Tratamento de dados dos trabalhadores por conta de outrem

A BfDI alemã aumentou o controlo do tratamento de dados dos trabalhadores, em especial no que diz respeito à vigilância do local de trabalho, ao software de monitorização dos trabalhadores e à utilização de dados biométricos para controlo do acesso. Foram aplicadas várias coimas pelo tratamento de dados dos trabalhadores sem uma base jurídica adequada ou sem a devida transparência (artigos 13.º e 14.º).

Garante: Cuidados de saúde e sector público

O Garante italiano prosseguiu a sua aplicação ativa no sector dos cuidados de saúde, penalizando hospitais e autoridades de saúde por violações de segurança, acesso não autorizado a registos de doentes e não realização de AIPD para tratamentos de alto risco. Também emitiu decisões relativas à utilização pelo sector público do reconhecimento facial e à tomada de decisões baseada em IA.

O que isto significa para as PME

Os dados de aplicação da lei de 2025 confirmam várias tendências que as PME devem seguir:

1. A conformidade básica não é negociável. As coimas mais frequentes são aplicadas por falhas fundamentais: sem base jurídica, sem medidas de segurança, sem resposta aos pedidos dos titulares dos dados. Não se trata de desafios regulamentares complexos, mas sim de obrigações fundamentais.
2. A dimensão não lhe confere imunidade. A AEPD espanhola e outras APD aplicam regularmente coimas a pequenas organizações. Uma coima de 50 000 euros pode ser pequena no contexto da aplicação total do RGPD, mas é importante para uma PME.
3. A documentação é a sua defesa. As autoridades de controlo avaliam a conformidade com base no que pode demonstrar. Uma conformidade não documentada é, do ponto de vista regulamentar, uma não conformidade.
4. A conformidade proactiva é mais barata do que a aplicação reactiva. O custo da implementação de documentação adequada sobre a base jurídica, medidas de segurança e procedimentos relativos aos direitos dos titulares dos dados é uma fração do custo de uma multa, das taxas legais associadas e dos danos à reputação.

A trajetória de aplicação do RGPD não mostra sinais de inversão. As organizações que investirem na conformidade agora são as que evitarão as manchetes de aplicação em 2026.