No primeiro ano de aplicação da GDPR, somente algumas multas pesadas foram emitidas, sendo que duas delas, ambas no Reino Unido, impressionam.
A ameaça de grandes multas fez com que empresas passassem a levar a sério o Regulamento Geral sobre a Proteção de Dados (GDPR), dois anos atrás. Mas será que as multas realmente viriam? Agora, aqueles grandes julgamentos estão se espalhando pela Europa como uma avalanche.
Na segunda-feira, a agência de privacidade do governo britânico anunciou* uma multa de 230 milhões de dólares para a British Airways. A medida foi uma resposta à violação dos dados de um cliente, ocorrida em setembro de 2018. Na terça-feira, o Gabinete do Comissariado de Informação do Reino Unido (ICO, da sigla em inglês), autoridade independente criada para defender os direitos de informação de interesse público no país, anunciou* uma multa de 123 milhões de dólares contra a rede de hotéis Marriott. O motivo também foi uma violação de dados, desta vez ocorrida em novembro do ano passado.
Ambos os casos citaram a transgressão do Regulamento Geral sobre a Proteção de Dados (GDPR). A União Europeia aprovou a lei de privacidade no segundo trimestre de 2016, promulgando-a dois anos depois. O mundo dos negócios anotou cuidadosamente as ameaças de penalizações do GDPR, que poderiam chegar a até 25 milhões de dólares ou a 4% da receita anual de uma empresa.
Somente algumas grandes multas foram emitidas no primeiro ano de implementação do regulamento. (Se bem que a França já havia multado o Google em 57 milhões de dólares, depois que a empresa usou informações dos usuário em sua publicidade.)
Desde então, o governo da Grã-Bretanha já ordenou, no mínimo, o mesmo valor em grandes multas. E a agência britânica por trás das penalizações dessa semana parece estar correndo à solta.
A Alemanha multou um policial em 1,5 mil dólares por usar, para fins pessoais, o número da placa de um carro para pesquisar o número de telefone do seu dono.
As multas desse ano incluem os mais de 400 milhões de dólares na França – o país penalizou uma imobiliária por uso indevido de dados de uma câmera de vigilância – e os 280 mil dólares na Espanha, onde a competição futebolística La Liga recebeu uma multa por seu aplicativo ter usado indevidamente o microfone dos smartphones. (O ICO diz que as pessoas também precisam ser responsabilizadas.)
As multas mais recentes seguem as do vazamento de dados – que já são extremamente custosas para as empresas – e cita falhas específicas em relação ao GDPR com a cobrança de penalidades correspondentes a elas. “A investigação do ICO descobriu que uma variedade de informações foi comprometida por conta de medidas fracas de segurança por parte da British Airways. Entre os dados comprometidos, estão: credenciais de acesso, número de cartão e detalhes das reservas de viagens, assim como o nome e o endereço da vítima”, disse a agência. A companhia aérea está colaborando com o ICO e terá a chance de resolver os problemas e diminuir o valor da multa.
Com relação à rede de hotéis Marriott, a agência de vigilância britânica culpou a segurança fraca ligada a uma aquisição da empresa. “A investigação do ICO descobriu que a Marriott não tomou os cuidados devidos e que a rede de hotéis também deveria fazer mais para proteger seus sistemas”, declarou a agência.
O blog da Avast perguntou ao ICO britânico se as duas multas aplicadas na semana servem como alerta para as empresas que se prepararam para o GDPR e depois deixaram de priorizar a segurança para voltar aos negócios normalmente. A resposta sugere que a agência britânica está completamente ligada no modo de “prestação de contas".
“O foco para o segundo ano do GDPR deve ir além da base de conformidade legal. As organizações precisam focar em uma conformidade com entendimento claro dos riscos às pessoas na forma como os dados são processados”, respondeu o escritório, citando a Comissária de Informação Elizabeth Denham.
Apesar do valor das multas apresentadas a algumas grandes empresas que entraram em conflito com o ICO, a Avast acredita que o GDPR apresenta medidas interessantes a serem adotadas, e não uma ameaça a ser temida. Clique aqui para saber mais sobre como atender as exigências de privacidade*.
* Original em inglês.