Dizemos quem os reguladores puniram, como e o que isso pode afetar.
/ foto Marco Verch CC BYO GDPR entrou em vigor há mais de um ano. Durante esse período, a Comissão Europeia
emitiu quase cem multas - o valor total excedeu dezenas de milhões de euros. Conversamos sobre alguns deles da
última vez .
Hoje continuamos o tópico - estamos falando de novas “cartas de felicidade” e estamos discutindo o impacto que o Regulamento Geral de Proteção de Dados tem sobre a regulamentação em outros países.
Novas multas
Curiosamente, uma das mais recentes foi escrita pela IDdesign, uma empresa que vende móveis. A organização violou o requisito do
quinto artigo do GDPR . Ele afirma que é possível armazenar os dados pessoais dos usuários não mais do que os objetivos de processamento exigem. A IDdesign não excluiu oportunamente 385 mil clientes. Esse recurso não foi implementado no novo sistema de CRM da empresa. Como resultado, a loja de móveis
recebeu a maior multa que o regulador dinamarquês escreveu desde a entrada em vigor do RGPD - 200 mil euros.
O serviço de pagamento MisterTango foi punido por uma violação semelhante na Lituânia. A empresa não excluiu os dados pessoais dos clientes quando a necessidade de seu processamento desapareceu. Além disso, os funcionários da empresa não informaram o órgão regulador sobre o incidente do ano passado, quando informações sobre 9 mil transações de pagamento apareceram acidentalmente em domínio público. MisterTango
condenado a pagar 61 mil euros.
Na Alemanha, a empresa de transporte Kolibri Image recebeu uma multa. Ela foi
condenada a pagar 5 mil euros por uma violação associada a um erro na preparação da documentação. Outra multa de 2 mil euros
foi aplicada a uma pessoa particular. O usuário enviou um email para um grande número de destinatários, definindo seu tipo como CC (cópia), e não BCC (cópia oculta). Como resultado, outros destinatários viram o endereço de email. Esta situação foi considerada como um vazamento de dados pessoais.
A propósito, uma violação semelhante foi
registrada no Reino Unido alguns anos antes. Somente neste caso, uma multa (no valor de 180 mil libras) foi recebida pela clínica para pacientes com HIV. Em seguida, a multa foi emitida de acordo com a Diretiva de proteção de dados, que foi substituída pelo GDPR. Acredita-
se que, com uma organização GDPR, seria necessário preencher um cheque por uma quantia muito maior.
O GDPR é eficaz
Representantes da Comissão Europeia acreditam que, no ano passado, o GDPR provou sua eficácia. Segundo eles, os regulamentos ajudaram a chamar a atenção dos usuários para o problema da segurança dos dados. Por exemplo, o número de pedidos registrados pelo regulador britânico quase dobrou no ano passado - de 21 mil para 41 mil.
Mas no setor de TI, há uma opinião de que o GDPR acabou de criar outro mercado para escritórios de advocacia e consultores. Segundo Bjørn Stormorken, CFO da plataforma social sueca Idka AB, o principal objetivo que as empresas estão buscando no novo ambiente não é a segurança de dados. Esse é o desejo de atender aos requisitos do RGPD com um custo mínimo.
Alguns reguladores não têm pressa em punir os infratores. Cerca de dez países da União Europeia não escreveram uma única multa no RGPD. Entre eles estão: Bélgica, Croácia, República Tcheca, Finlândia, Espanha etc. Alguns dos estados se limitaram a sanções relativamente pequenas. Na Letônia, a recuperação máxima até o momento é de 2 mil euros e na Bulgária - 5 mil.
Embora os especialistas digam que, no futuro, podemos esperar um aumento acentuado no número de multas e em seus tamanhos. A Irlanda já está estudando os assuntos de várias grandes empresas americanas de TI. Provavelmente, serão tomadas decisões positivas sobre eles.
Impacto do RGPD fora da UE
Muitos estados seguiram os passos do GDPR, tendo elaborado suas leis de proteção de dados. No ano passado, um projeto de lei foi introduzido na Índia. Os autores dizem que o documento foi preparado levando em consideração as peculiaridades da regulamentação de TI no país, mas também foi introduzida experiência estrangeira. Outro exemplo é o CCPA, que foi aprovado na Califórnia. Conversamos sobre essas duas contas em nosso blog -
aqui e
aqui .
/ foto Alexander Gerst CC BY-SAUma lei semelhante ao RGPD decidiu introduzir a China - sua versão final foi
apresentada no início deste ano. Os próprios autores da lei
dizem que ela foi criada "com base no" GDPR. Seu objetivo é dar ao povo da China mais controle sobre seus dados pessoais.
Os reguladores chineses já começaram a avaliar a "extensão do problema". Desde janeiro, eles vêm verificando aplicativos populares de smartphones e ver se coletam informações em excesso do usuário. Verifica os serviços de entrega de alimentos, táxis e navegadores.
Alguns acreditam que a nova lei levará a um denominador comum de outras 200 regulamentações relacionadas à segurança cibernética. No entanto, o professor Qi Aimic, da Universidade de Chongqing, no entanto,
observou que o novo projeto de lei não deve copiar o GDPR, já que a China tem mais usuários da Internet e uma das economias digitais mais desenvolvidas do mundo.
O tempo dirá como a lei chinesa se manifestará e que impacto terá sobre a comunidade mundial. Uma lei muito semelhante à chinesa já foi preparada no Vietnã. E na Tanzânia, eles trabalham em estreita colaboração com os legisladores chineses encarregados do ciberespaço.
Sobre o que estamos escrevendo em nosso canal Telegram:
Outros materiais sobre regulamentação de DP em nosso blog: