O GDPR, legislação europeia que regula o tratamento de dados de empresas que tem operação na União Europeia ou recolhem dados de europeus, entrou em vigor em maio de 2018 e algumas empresas já sentiram o peso de suas sanções.
As multas altas e a publicidade negativa que ser denunciado pelo GDPR gera demonstram o quanto é importante estar em conformidade com as novas regras de proteção de dados.
Um relatório da DLA Piper apontou que mesmo antes de completar 1 ano de vigência, o GDPR já localizou e multou 91 empresas por não cumprirem suas regras. Importante mencionar que a legislação europeia prevê sanções de cerca de 4% sobre o faturamento total da companhia.
Na sequência, veremos os principais casos de empresas multadas pelo GDPR e quais foram as infrações que elas cometeram.
Google – €50 milhões
No ano passado, o Google emitiu um comunicado sobre as mudanças em suas políticas de privacidade e proteção de dados para se adequar ao GDPR e até criou uma página para esclarecer dúvidas sobre a relação com a legislação europeia. Porém, mesmo assim, a companhia acabou descumprindo regras da diretiva e foi severamente punida por isso.
De acordo com as autoridades, a gigante das buscas foi denunciada por coletar dados dos celulares conectados em suas contas sem a autorização dos usuários franceses. A prática acontecia porque o Google não indicava de forma clara que os dados estavam sendo recolhidos nem como desabilitar a captação.
Além disso, o Google já tinha sido denunciado por sete países da União Europeia por recolher dados sobre a localização dos seus usuários mesmo quando o GPS de seus smartphones estava desligado.
Centro Hospitalar Barreiro Montijo – €400 mil
No final do ano passado um hospital português recebeu notificações por utilizar os dados de forma inadequada. As multas totalizaram mais de 400 mil euros.
O que foi reportado é que funcionários que não atuavam na área hospitalar usavam os dados de terceiros para conseguir acesso ao sistema. A suspeita surgiu porque o hospital tinha 985 usuários registrados como médicos, mas apenas 296 médicos realmente trabalhando no local.
Knuddels.de - €200 mil
Uma rede social alemã recebeu uma multa de 200 mil euros por um vazamento que expôs informações de mais de 330 mil pessoas, incluindo seus e‑mails e senhas. Em alguns casos, os nomes reais e endereços de usuários também foram vazados e disponibilizado em serviços de nuvem pública.
A quebra de sigilo mostrou que o site guardava os dados em formatos de texto comum, sem encriptação ou anonimização das informações que pudessem dificultar a identificação dos usuários.
Investir em segurança para manter os dados de seus clientes seguros é uma das responsabilidades que o GDPR impõe para as companhias. Por isso, não implementar políticas e mecanismos de segurança pode ser visto como uma infração à diretiva.
Empreendedor austríaco — €4,8 mil
Um pequeno empresário austríaco foi o primeiro a ser multado pelo GDPR em seu país. Ele alegou ter comprado uma câmera para monitorar a parte da frente do seu estabelecimento. Porém o equipamento estava direcionado para filmar toda a calçada e a vizinhança.
O órgão responsável pela proteção de dados na Áustria entendeu que a possibilidade de monitorar espaços públicos sem que a câmera estivesse devidamente sinalizada configurava uma violação do GDPR.
Esse é um caso bastante interessante porque demonstra como a lei europeia pode cobrir não só a proteção de informações na internet, mas também fora dela.
É importante lembrar que as normas do GDPR valem apenas para empresas que tenham algum tipo de operação na União Europeia ou coletem dados de europeus, mas o Brasil já tem sua própria lei de proteção de dados! A LGPD é a legislação brasileira equivalente ao GDPR e também pode gerar multas altíssimas, que chegam a 50 milhões de reais ou 2% do faturamento.
Ainda que a LGPD só entre em vigor no próximo ano é fundamental começar agora o processo para se adequar a ela. Para isso, conte com os advogados especializados em direito digital e proteção de dados do Assis e Mendes Advogados!