Europa registra 59 mil queixas com base na lei de proteção de dados

Um levantamento feito por um renomado escritório de advocacia britânico mostra que o impacto da lei de proteção de dados europeia (GDPR) entre os dias 25 de maio – início de validade da norma no Velho Continente – e 29 de janeiro deste ano – dia mundial da proteção de dados. Em linhas gerais, a grande maioria das multas aplicadas até o momento está distante do assustador teto de 2% sobre o faturamento anual da empresa, limitado ao valor de € 10 milhões.

Para quem não se habituou a sigla, a GPDR é uma legislação que protege os dados de pessoas ou empresas e, mais do que isso, confere direitos e responsabilidades no tratamento de informações de terceiros. A lei europeia de dados foi aprovada em 1995 e, desde então, foi submetida a algumas atualizações. A última ocorreu em maio do ano passado e deu início a uma discussão global sobre o tema e até a nossa Lei Geral de Proteção de Dados (LGPD) do Brasil.

O estudo, no entanto, mostra que o impacto da lei atual ainda é tímido no Velho Continente. Segundo o levantamento “GDPR Data Breach Survey: February 2019”, feito pelo escritório britânico DLA Piper, os órgãos de proteção de dados dos países europeus receberam 59.430 notificações de violações entre maio de 2018 e janeiro deste ano. Em linhas gerais, essas notificações se referem ao endereçamento errado de um e-mail, vazamento de informações pessoais, ciberataques, entre outros motivos.

No entanto, esses números não necessariamente refletem o texto atual da GDPR. Na verdade, segundo o estudo, a esmagadora maioria das notificações está baseada em trechos que já existiam e antecedem a última atualização da lei. Ou seja, eles seriam “pré-GDPR”. Já as punições com base no texto atual somam ínfimos 91 casos. No entanto, um dos poucos casos é considerado em emblemático para a lei até agora: a multa de € 50 milhões aplicados ao Google por problemas no tratamento sem autorização de dados para fins publicitários. A decisão partiu da autoridade de dados da França, a CNIL.

Campeões

O estudo da DLA Piper também apontou os países campeões em notificações, sejam elas pré ou pós GDPR. Holanda, Alemanha e o Reino Unido tiveram mais violações notificadas às autoridade de supervisão, com cerca de 15.400, 12.600 e 10.600, respectivamente.
Já os países com o menor número de violações notificados foram Liechtenstein, Islândia e Chipre com 15, 25 e 35 violações, respectivamente.

Multas na Europa

Por fim, o estudo ainda apontou exemplos de multas aplicadas com base na GDPR e concluiu: a maioria têm valores relativamente baixos e bem distantes aos de 2% sobre o faturamento anual da empresa e limitado ao valor de € 10 milhões, segundo a lei europeia.

O estudo menciona, sem citar o nome da empresa, uma multa de € 20.000 imposta a partir de uma falha humana de segurança cibernética. Em janeiro deste ano, a mesma autoridade alemã de proteção de dados impôs ainda uma multa de € 80.000 após o vazamento de dados de saúde de usuários na internet. Autoridades alemãs têm também relatado 62 outras multas, sendo todas abaixo dos valores citados anteriormente.

O escritório ainda elencou uma multa de € 4.800 na Áustria para uma empresa de segurança por supostamente ter cometido excesso no monitoramento de uma câmera instalada do lado de fora de um estabelecimento comercial. Detalhes desses e outros casos não foram disponibilizados pelo estudo.