GDPR: US$ 126 milhões em multas e crescendo. Mais de 160.000 violações de dados comunicadas aos reguladores da UE desde sua promulgação.
Desde que o Regulamento Geral de Proteção de Dados da UE entrou em vigor, as autoridades europeias de proteção de dados receberam mais de 160.900 relatórios de violação de dados, de acordo com o escritório de advocacia DLA Piper.
Desde o momento em que o GDPR entrou em vigor em 25 de maio de 2018 até a sexta-feira do dia 17 de janeiro de 2020, as autoridades de proteção de dados da UE também impuseram € 114 milhões (US$ 126 milhões) em multas sob o regulamento de privacidade por uma ampla variedade de infrações, nem todas envolvendo violações de dados.
“França, Alemanha e Áustria lideraram o ranking do valor total das multas do GDPR impostas com pouco mais de 51 milhões de euros [57 milhões de dólares], 24,5 milhões de dólares [27 milhões de dólares] e 18 milhões de dólares [20 milhões de dólares], respectivamente“, diz DLA Piper. “A Holanda, a Alemanha e o Reino Unido lideraram a tabela para o número de violações de dados notificadas aos reguladores com 40.647, 37.636 e 22.181 notificações cada.“
O relatório não conta com o Gabinete do Comissário de Informação do Reino Unido afirmando que pretende multar a Marriott International em US $ 130 milhões e multar a British Airways em US $ 239,5 milhões por violações de dados ocorridas após o GDPR entrar em vigor, uma vez que essas sanções ainda não foram finalizadas.
GDPR: As penalidades máximas são graves
Claramente, no entanto, o GDPR vem reformulando a discussão sobre violação de dados e privacidade na Europa, diz Ross McKean, parceiro da DLA Piper, especializado em proteção cibernética e de dados, embora os reguladores ainda não usem todo o seu poder de multar.
“O montante total de multas de € 114 milhões impostas até a data é relativamente baixo em comparação com as possíveis multas máximas que podem ser impostas pelo GDPR, indicando que ainda estamos nos primeiros dias de execução“, diz ele. Mas ele prevê que multas de vários milhões de euros se tornarão mais comuns no próximo ano, à medida que os reguladores se basearem nos esforços passados de aplicação da lei e encontrarem suas bases.
Qualquer organização em todo o mundo que viole a regulamentação de privacidade enfrenta multas de até 4% de sua receita anual global ou 20 milhões de euros (US $ 22 milhões) – o que for maior -, além de outras sanções em potencial, como a perda da capacidade de processar dados pessoais . Separadamente, as organizações que não cumprem os requisitos de relatórios do GDPR também enfrentam multas de até € 10 milhões (US $ 11 milhões) ou 2% da receita global anual.
No Brasil, com a LGPD, os valores podem ir de até 2% do faturamento da empresa, limitados a R$ 50 milhões por infração.
Além disso, na GDPR as organizações têm um prazo de 72 horas para alertar as autoridades sempre que souberem de uma violação que possa ter exposto os dados pessoais dos europeus. Alguns reguladores, por exemplo, no Reino Unido, disseram que, com essa notificação, esperam ver detalhes sólidos sobre o que aconteceu e o provável impacto nas vítimas.
No Brasil, a LGPD – Lei geral de Proteção de Dados, não define o prazo de comunicação dos incidentes, espera-se que pontos obscuros como este sejam definidos pela ANPD – Agência Nacionald e Proteção de Dados, que ainda será criada pelo governo.
Mas nem todos os reguladores emitiram essa orientação. “É provável que demore mais alguns anos para que as práticas de orientação e fiscalização em toda a Europa tornem mais fácil saber quando uma violação é – ou não é – notificável, embora o teste provavelmente continue a variar de país para país“, McKean diz.
Extrapolando dados
A nova pesquisa sobre notificações e multas por violação de dados atualiza um estudo anterior do DLA Piper, que analisou os primeiros oito meses do GDPR. Esse estudo constatou que as notificações de violação de dados na Europa atingiram uma média de 247 por dia, o que o novo estudo constatou que aumentou 13%, para 278 notificações por dia no ano passado
Como no relatório anterior, o novo relatório vem com algumas ressalvas.
O último relatório do DLA Piper reúne dados da maioria – mas não de todos – países do Espaço Econômico Europeu, que inclui todos os 28 estados membros da UE, além da Islândia, Liechtenstein e Noruega, que também estão em conformidade com o RGPD.
Mas nem todos os países compartilharam informações sobre ações de aplicação da GDPR. “A Bulgária, Croácia, Portugal, Eslováquia não forneceu dados sobre as notificações de violação“, diz o DLA Piper, e a Croácia não forneceu informações sobre multas do RGPD aplicadas. “Muitos dos outros países pesquisados forneceram apenas dados para parte do período coberto pelo relatório, portanto, como observado no relatório, tivemos que extrapolar“, o que também explica por que a contagem de notificações de violação de dados do relatório abrange o período decorrido entre 25 de maio de 2018 a 27 de janeiro de 2020.
A Alemanha, por exemplo, possui 16 autoridades supervisoras estaduais de proteção de dados, além de uma autoridade supervisor federal. Mas quatro dos de nível estadual “forneceram dados incompletos ou nenhum dado; portanto, extrapolamos dados para esses estados com base nos dados fornecidos por outras autoridades de supervisão do estado“, diz o DLA Piper.
Violações relatadas per capita: ampla variação
Uma constatação notável no relatório é que há uma grande variação nas notificações de violação de dados per capita. A Holanda, por exemplo, no ano passado registrou 147,2 violações de dados por 100.000 habitantes, enquanto a Alemanha registrou 31,2, o Reino Unido 17,8 e a Grécia apenas 1,5.
Vários fatores parecem explicar essa variação, disse McKean do DLA Piper ao Information Security Media Group.
“O RGPD é interpretado de maneira bastante diferente na Europa. Embora seja o mesmo texto jurídico, baseado em princípios e aberto à interpretação, foi exatamente o que aconteceu na prática”, diz ele. “Alguns reguladores interpretaram o gatilho da notificação em um nível inferior ao de outros reguladores. No Reino Unido, o Information Commissioner – recebendo mais de 1.000 notificações de violação por mês – está incentivando os controladores a considerar se uma violação de segurança realmente atende ao limite de notificação, ou não. Essa abordagem parece ter suprimido o número de notificações no Reino Unido, em relação a outros países“
De fato, alguns países têm relatado o que parece ser um número relativamente baixo de violações, com base em sua população. “Terceiro da parte inferior da tabela de notificações ponderadas per capita, está a Itália, um país com uma população de mais de 62 milhões de habitantes, que registrou apenas 1.886 notificações de violação de dados“, diz ele.
Como isso demonstra, o GDPR ainda está engatinhando, e os reguladores continuam aprimorando sua abordagem.
Patrick Van Eecke, presidente da prática internacional de proteção de dados do DLA Piper, diz que as organizações que precisam estar em conformidade com o GDPR aguardam uma maior consistência das autoridades de proteção de dados dos diferentes países, mas que isso pode demorar muito.
“As multas antecipadas do GDPR levantam muitas perguntas. Pergunte a dois reguladores diferentes como as multas do GDPR devem ser calculadas e você obterá duas respostas diferentes”, diz ele. “Estamos a anos de segurança jurídica nessa questão crucial, mas uma coisa é certa: podemos esperar muitas multas e recursos nos próximos anos“.