Se eu tivesse de identificar um teste crítico ao estado da regulação em Portugal, começaria por aqui: uma autoridade, a Comissão Nacional de Proteção de Dados (CNPD), com poderes legais para aplicar coimas de vinte milhões de euros que, num ano, 2025, aplicou menos de cinquenta mil. Qual a justificação oficial para este estado de coisas? Falta de meios. No último fim de semana, a própria CNPD apelou publicamente à modernização interna e à alteração da lei que regula a sua organização, já com mais de vinte anos. Tudo isto até pode ser verdade. Mas, como tentarei explicar, está muito longe de ser toda a verdade.

Comecemos pelo problema institucional. Ao contrário da tese oficial, o problema da CNPD não começa nos recursos humanos. Na realidade, começa bem antes disso: no nome. A CNPD é uma comissão administrativa. As comissões, na tradição administrativa portuguesa, são órgãos de composição plural, pensados para deliberar e aconselhar, não para fiscalizar e sancionar. Foi assim, em 1994, que nasceu a CNPD, com vogais eleitos pela Assembleia da República, designados pelo Conselho Superior de Magistratura, pelo Ministério Público e pelo Governo.  Essa composição plural pode em tese proteger a independência e a distância face ao poder político. Porém, se não for acompanhada por uma estrutura executiva forte, fica presa a lógicas internas, incapaz de desempenhar uma verdadeira função de supervisão pública.

A comparação com outros reguladores portugueses torna este ponto mais visível. A ANACOM tem um conselho de administração composto por um presidente e dois a quatro vogais; a Autoridade da Concorrência tem uma estrutura semelhante: um órgão executivo pequeno, escolhido entre pessoas com competência técnica e experiência profissional verificadas de acordo com um processo formal de seleção. A CNPD tem sete membros, com origens institucionais diversas – da Assembleia da República e do Governo aos órgãos de governo das magistraturas -, assentando, por isso, em fontes de legitimidade também diferentes. Sete membros com mandatos e origens heterogéneas tendem a deliberar por consenso mínimo, em vez de partilharem uma mesma visão estratégica.

Em segundo lugar vem o problema funcional.  A visão subjacente às declarações públicas recentes por parte de responsáveis da CNPD parece refletir uma lógica de volume. Dir-se-ia que o objetivo da regulação da proteção de dados pessoais se mede pelo número de processos abertos, de coimas aplicadas e de participações recebidas. Como se o regulador de dados fosse uma espécie de EMEL dos dados pessoais. E, no entanto, não é assim que funciona um regulador maduro. A Autoridade da Concorrência não se define pelo número de processos que instaurou, mas pela capacidade de identificar estruturas e comportamentos que prejudicam sistematicamente a concorrência. As decisões mais acertadas de aplicação da lei são seletivas, viradas para o futuro e orientadas por uma visão clara dos problemas. Daí que as decisões com maior impacto regulatório não sejam necessariamente as coimas mais altas, mas as que estabelecem uma certa visão sobre os equilíbrios de poder entre empresas e utilizadores, e sobre as consequências da falta de proteção. Isso exige algo que tem faltado visivelmente na CNPD: pensamento económico e social sobre a regulação dos dados, muito para além do mero tratamento jurídico de queixas. O resultado é um órgão que, mais do que aplicar poucas coimas, parece relativamente ausente da definição das grandes práticas digitais que afetam cidadãos e empresas.

Por fim, os dois problemas anteriores ajudam a explicar um terceiro: o problema dos perfis. Uma instituição originariamente concebida como órgão deliberativo e consultivo tende a escolher para a sua liderança perfis de autoridade jurídica ou de representação externa, isto quando a função exige também competências executivas e reguladoras. Os primeiros são obviamente perfis valiosos. Mas dirigir um regulador exige outras competências: gerir organizações, negociar recursos, construir carreiras técnicas, liderar equipas de inspeção e, acima de tudo, ter uma visão económica e social sobre o setor que se está a supervisionar.

Estes três problemas em conjunto explicam aquilo a que se pode chamar a crise da aplicação pública da lei em matéria de proteção de dados em Portugal. Só que este vazio não fica desocupado. É bom lembrar que o RGPD permite que qualquer pessoa lesada por uma violação de dados recorra diretamente ao tribunal, sem ter de passar pela CNPD. A frequência dessas ações individuais e coletivas está a aumentar de forma consistente em toda a Europa – e Portugal não é ou será exceção. É uma via explorada que pode, em certos casos, funcionar como meio de pressão pública. Mas raramente substitui, por si só, a função disciplinadora de um regulador persuasivo e presente.

Em Portugal, a tentação imediata passa sempre por pedir mais recursos, dinheiro e funcionários. Mas, no atual quadro europeu da regulação digital, a CNPD precisa de deixar de ser a comissão de consensos interadministrativos que tem sido desde os anos 90. Como se dizia a respeito de outras coisas, a CNPD não precisa de ser reformada. Precisa, em suma, de ser formada.