O GDRP entrou em vigor há mais de seis meses, mas os reguladores começaram a escrever as primeiras “cartas de felicidade” apenas recentemente. O material é sobre as empresas que já os receberam.
/ foto Kiefer CC BY-SASoft Start GDPR
O GDPR
entrou em vigor em 25 de maio de 2018 . Naquela época, todas as organizações que armazenam e processam os dados pessoais dos residentes da União Europeia tinham que atualizar os contratos dos usuários e trazer todos os processos de trabalho de acordo com os requisitos do regulamento. Por não cumprimento dos requisitos, foi aplicada uma multa no valor de vinte milhões de euros ou quatro por cento da receita anual da empresa infratora.
Mas nem todas as empresas trataram os regulamentos com a devida atenção. De acordo com um estudo realizado por analistas do Ponemon Institute, mais da metade das organizações européias e americanas
não cumpriram todos os requisitos de prazo do GDPR. Portanto, muitas grandes publicações, incluindo
The Verge , sugeriram que os reguladores europeus conduzam um "lançamento suave" da nova lei. Ou seja, por algum tempo eles não multarão os infratores, considerando as penalidades financeiras como último recurso.
No geral, isso aconteceu; mesmo grandes empresas como o Facebook e o Google não foram punidas. As reclamações foram registradas no primeiro dia das regras. Em seguida, a ação
movida por um advogado e lutador australiano para proteção de dados Max Schrems (Max Schrems). Shrems alegou que as empresas estão forçando os usuários a consentir no processamento de dados pessoais sob a ameaça de restringir o acesso aos serviços. E, embora os casos
ainda estejam
sendo considerados ,
existe a possibilidade de que as cobranças sejam canceladas no final.
Quem, no entanto, recebeu multas
Alguns meses após a entrada em vigor do RGPD, os reguladores europeus reforçaram sua abordagem às empresas. Em novembro, o regulador da região alemã de Baden-Württemberg (LfDI) impôs uma multa no aplicativo Chat por namorar Knuddels. Este caso foi o primeiro castigo para o RGPD na Alemanha.
Em setembro, o serviço descobriu uma “lacuna” através da qual
vazamentos e senhas de 330 mil usuários
vazavam para a rede . Aconteceu que todos os dados pessoais foram armazenados na forma de arquivos de texto não criptografados. O regulador alemão impôs uma multa de 20 mil euros à empresa. A quantia
era relativamente pequena , porque Knuddles relatou prontamente o vazamento e concordou em introduzir medidas de segurança adicionais.
/ foto Catálogo de ações CC BYOutra penalidade ao GDPR, que ficou conhecida em setembro, foi
imposta pela Comissão Portuguesa de Proteção de Dados (CNPD). Ele recebeu um dos hospitais em Portugal. Uma vulnerabilidade foi descoberta em seu sistema de armazenamento de registros médicos que lhe permitia acessar dados de pacientes usando perfis falsos de funcionários. Foram encontradas 985 contas registradas no sistema, embora apenas 296 médicos trabalhem no hospital. A instituição médica teve que pagar 400 mil euros.
A primeira multa máxima foi aplicada por violar os requisitos do RGPD. O regulador britânico
ordenou que a empresa de consultoria canadense AggregateIQ pagasse vinte milhões de euros pela coleta e processamento ilegal de dados de usuários de redes sociais para realizar campanhas direcionadas. Agora, o AggregateIQ está tentando contestar a multa, mas provavelmente a empresa ainda terá que se desfazer de seu dinheiro.
Quem mais pode obter uma multa
Até o momento, as multas impostas por violar os requisitos do RGPD permanecem muito pequenas (com exceção da situação com o AggregateIQ), em comparação com a penalidade máxima pelo não cumprimento dos requisitos do RGPD. No entanto, o especialista em proteção de dados e autor de livros sobre segurança da informação, Guy Bunker, acredita que a lei "ainda mostrará seus dentes". Os vazamentos de dados ocorrem quase diariamente, portanto, Bunker
acredita que as multas aumentarão significativamente em um futuro próximo.
Benjamin Ellis, consultor de segurança da informação, concorda com ele. Segundo ele, enquanto os órgãos reguladores estavam dispostos a ajudar as empresas a “corrigir lacunas” na segurança e praticamente não aplicavam multas. Mas Ellis acredita que em 2019, os infratores das regras serão tratados com mais severidade.
Uma das primeiras "vítimas da RGPD" do ano que vem
pode ser a Microsoft . O gigante de TI foi acusado de violar o armazenamento de dados do usuário - endereços IP e cabeçalhos de e-mails encaminhados - aplicativos do Office. Ao mesmo tempo, alguns desses dados caíram em servidores localizados nos EUA (e não na Europa, conforme exigido pelo GDPR), e os usuários não foram avisados sobre a coleta de qualquer telemetria.
Outra grande multa no futuro próximo
ameaça o Facebook. Em setembro, a rede social foi invadida - os atacantes roubaram os dados pessoais de 50 milhões de usuários. Agora, os reguladores europeus estão investigando e tentando determinar se a negligência no Facebook levou ao vazamento e quanto os cidadãos da UE foram afetados pelo roubo de dados. Pode ser necessário que o Facebook pague até quatro bilhões de dólares.
Pode-se supor que no próximo ano haverá cada vez mais multas por violações no processamento de dados pessoais de usuários na Europa. O “óleo no fogo” adicionará o Regulamento ePrivacy, que deve começar a operar em 2019.
Isso reforçará ainda mais as regras de trabalho com cookies e causará dor de cabeça às empresas de TI. E as multas por não conformidade com seus requisitos também são altas: de dois a quatro por cento da receita anual da empresa culpada ou dez milhões de euros.
Conteúdo relacionado ao PS do primeiro blog corporativo de IaaS:
PPS Nosso canal Telegram sobre tecnologias IaaS: