O volume de infrações à General Data Protection Regulation (GDPR) e o valor das multas aplicadas por órgãos reguladores da União Europeia tiveram aumento de dois dígitos no ano passado, de acordo com uma nova análise da DLA Piper. O escritório de advocacia internacional disse que foram aplicados € 158,5 milhões (o equivalente a US$ 192 milhões) em multas no bloco europeu desde 28 de janeiro de 2020, o que representa um aumento de 39% em relação aos 20 meses anteriores, quando a lei entrou em vigor, em maio de 2018.
As notificações de violação aumentaram 19%, o segundo aumento consecutivo de dois dígitos, para 121.165 no ano passado. No total, € 272,5 milhões (US$ 332 milhões) em multas foram aplicados desde o início do novo regime regulatório, com a Itália (€ 69 milhões) impondo o maior número de multas, seguida pela Alemanha e França.
O volume total de notificações de violação atingiu 281 mil, com a Alemanha (77.747), Holanda (66.527) e o Reino Unido (30.536) no topo da tabela. No entanto, quando ponderada com as populações nacionais, a Dinamarca está em primeiro lugar, seguida pela Holanda e a Irlanda.
Embora a trajetória ascendente de multas e notificações sugira que o GDPR está forçando as organizações a serem mais transparentes sobre os incidentes e fornecendo aos reguladores um poderoso instrumento legal para punir os principais transgressores, a verdade é mais matizada.
No Reino Unido, por exemplo, agência reguladora de informações e privacidade (ICO)reduziu significativamente as multas para British Airways e a rede de hotéis Marriot International, de um total de 282 milhões de libras esterlinas para 38 milhões de libras esterlinas no ano passado. Acredita-se que a pandemia de covid-19 pode ter sido um fator para essa redução.
No ano passado, surgiram preocupações de que os órgãos reguladores nacionais simplesmente não têm recursos suficientes para realizar investigações importantes contra as maiores empresas do mundo, especialmente gigantes de tecnologia.
Veja isso
Carrefour é multado em US$ 3,7 milhões por várias violações à GDPR
Oracle e Salesforce são alvo de processo por suposta infração à GDPR
No entanto, é provável que no próximo ano haja um aumento da pressão regulatória, alertou Ross McKean, presidente do Grupo de Proteção e Segurança de Dados da DLA Piper no Reino Unido, em entrevista à Infosecurity. “Os reguladores adotaram algumas interpretações extremamente rígidas da GDPR, criando o cenário para acirradas batalhas jurídicas nos próximos anos. No entanto, também vimos os reguladores mostrarem um grau de leniência este ano em resposta à pandemia em curso, com várias multas de alto perfil sendo reduzidas devido a dificuldades financeiras”, explicou ele.
“Durante o próximo ano, prevemos as primeiras ações de execução relacionadas às restrições da GDPR à transferência de dados pessoais para os EUA e outros países, já que os tremores secundários da decisão da mais alta corte da Europa no caso Schrems II continuam a ser sentidos.”
O caso Schrems II teve origem em uma reclamação ajuizada pelo ativista austríaco Maximillian Schrems perante a autoridade de proteção de dados irlandesa, na qual ele requeria a proibição da transferência de seus dados pessoais do Facebook na Irlanda para o datacenter da empresa localizado nos Estados Unidos. Ele alegou que as leis e práticas norte-americanas não ofereciam nível de proteção adequado contra o acesso a dados pessoais por autoridades públicas.
Assim, o Tribunal de Justiça da União Europeia (TJUE) alterou o entendimento da Comissão de Proteção de Dados da União Europeia (Comissão Europeia) sobre o compartilhamento internacional de dados entre os Estados Unidos e a União Europeia, impondo um série de regras para o acesso e o uso de dados pessoais importados da União Europeia.