Le RGPD un an après : quels enseignements, et quelles perspectives ?

GDPR um ano depois: que lições e que perspectivas?

Legal Watch – Junho de 2019.

Em 25 de maio de 2018, o Regulamento Geral de Proteção de Dados entrou em vigor.

Este novo texto trouxe inúmeras mudanças nas práticas empresariais, seja no nível de sua organização interna ou nos contatos com seus clientes.

Embora a proteção de dados esteja consagrada no ordenamento jurídico desde 1978 na França e 1995 em nível europeu, este Regulamento deu um novo impulso ao que representa tanto um direito humano quanto uma questão econômica. E as sanções pecuniárias previstas no novo texto não são alheias a isso.

Qual é a situação prática em relação à conformidade e às ações da CNIL e de suas contrapartes europeias?

Na França, houve um aumento drástico nas reclamações, notificações de segurança e solicitações de informações à CNIL. No final de maio, a autoridade supervisora publicou um relatório estatístico sobre este primeiro ano, que registrou mais de 11.900 reclamações (+30 %) e 2.044 notificações de violação de dados. A CNIL também continua investigando inúmeros casos, alguns dos quais em cooperação com seus vizinhos europeus. Assim, está envolvida em 800 processos transnacionais.

Ao mesmo tempo em que apoia as empresas em seus esforços de conformidade, a CNIL também impôs inúmeras sanções. Vamos analisar algumas delas com mais detalhes:

  • A sanção mais espetacular é, sem dúvida, a imposta ao Google, num valor recorde de cinquenta milhões de euros.
  • Duas outras sanções, muito mais modestas, merecem, no entanto, particular interesse, porque foram apresentadas ao Conselho de Estado, que examinou sua proporcionalidade.
  • Em um dos casos, datado de 17 de abril de 2019, o Conselho de Estado manteve a multa de € 75.000: após uma notificação formal e vários pedidos reiterados da CNIL, a Adef (Associação para o Desenvolvimento da Habitação) ainda não havia corrigido uma falha de segurança que permitia o acesso online aos documentos dos candidatos à habitação. O tempo que a associação levou para implementar as medidas corretivas necessárias foi um dos fatores determinantes para o Conselho de Estado.
  • No segundo caso, também datado de 17 de abril de 2019, o Conselho de Estado reduziu o valor da multa imposta pela CNIL à Optical Center: a empresa havia, de fato, corrigido uma falha de segurança em até dois dias após a notificação da CNIL, que permitia o acesso às faturas dos clientes por meio de seu site. A multa foi reduzida de 250.000 para 200.000 euros.
  • Concluiremos este breve inventário com a sanção mais recente, de 13 de junho de 2019, significativa desta vez porque diz respeito a uma empresa muito pequena: a Uniontrad Company havia instalado um sistema de vigilância por vídeo que colocava seus funcionários sob vigilância constante.

Neste caso, a CNIL também alertou a empresa duas vezes antes de ordenar formalmente que ela alterasse suas práticas, sem que as medidas necessárias fossem tomadas dentro do prazo estipulado. Em 18 de junho, a CNIL aplicou uma multa administrativa de € 20.000, levando em consideração o porte e a situação financeira da empresa.

A conclusão tirada desses diversos casos é que tanto multinacionais quanto pequenas empresas ou associações estão sujeitas a sanções. Além disso, todas as decisões destacam a importância da capacidade de resposta do controlador de dados quando uma violação é descoberta e o impacto que essa capacidade de resposta tem no valor de qualquer sanção potencial.

E os nossos vizinhos europeus?

Todos os indicadores mostram um aumento nas reclamações e investigações por parte das autoridades de proteção de dados, bem como na quantidade de sanções.

Há pouco mais de 280.000 casos envolvendo todas as autoridades de proteção de dados do Espaço Econômico Europeu, incluindo aproximadamente 144.000 reclamações e 89 violações de segurança. No final de maio, 371 autoridades de proteção de dados estavam sob investigação.

Uma iniciativa para listar as diversas sanções a nível europeu, atualizada por uma empresa de consultoria alemã, fornece uma visão global das ações das autoridades de supervisão: https://www.enforcementtracker.com.

As penalidades mais severas, além da adotada pela CNIL em relação ao Google, foram impostas por Portugal, que impôs uma multa de € 400.000 a um hospital por não proteger os dados dos pacientes; pela CNIL, novamente, uma multa de € 400.000 a uma imobiliária; e pela Espanha, em relação a um aplicativo para smartphone que usa secretamente os microfones dos celulares de pessoas. A liga profissional de futebol espanhola foi multada em € 250.000 por essa violação e recorreu da decisão.

Rumo à coordenação das autoridades públicas para além do RGPD?

Um novo desenvolvimento notável diz respeito à cooperação entre autoridades públicas com o objetivo de aumentar sua coerência e eficácia. Essas iniciativas dizem respeito, em particular, às autoridades de proteção de dados, às autoridades responsáveis por questões de concorrência e às autoridades responsáveis pela proteção do consumidor.

As discussões, iniciadas em 2016 pela Autoridade Europeia para a Proteção de Dados como parte do projeto "câmara de compensação digital", agora estão sendo orquestradas pelo setor acadêmico e são apoiadas por uma resolução do Parlamento Europeu.

O projeto reúne agora autoridades da Europa e de outros continentes. As sinergias desenvolvidas concentram-se na proteção de indivíduos no contexto da economia digital e do "big data". A reunião de 5 de junho de 2019 reuniu 25 autoridades de supervisão da União Europeia e de outros países. Duas questões importantes foram discutidas, relativas ao Facebook e à Microsoft. As autoridades também estão concentrando suas discussões no desenvolvimento de serviços com compensação não monetária. Em outras palavras, até que ponto podemos aceitar que indivíduos paguem com seus dados em troca de um serviço digital?

Orientações concretas sobre esta questão são esperadas para o outono, após a próxima reunião das autoridades de supervisão. Este pode ser um avanço significativo à luz dos desafios da economia digital.

E também:

• Na França: A CNIL está disponibilizando online uma nova versão de sua ferramenta destinada a auxiliar o responsável pelo tratamento de dados em suas análises de impacto (AIPD).

• na Europa : Rumo a uma interpretação mais rigorosa das regras de prospecção eletrônica? Diversas autoridades de supervisão anunciaram que estão revisando sua interpretação no que diz respeito à obtenção do consentimento dos titulares dos dados e aos cookies. Entre elas, estão Bélgica, França, Reino Unido e Holanda. Vale ressaltar que o Conselho Europeu para a Proteção de Dados já havia se pronunciado explicitamente, em um comunicado à imprensa de maio de 2018, contra o uso de "paredes de cookies", que condicionam o acesso a um site ao consentimento dos visitantes.

• no mundo: Para avaliar a necessidade de uma lei que regule os algoritmos, a Comissão de Comércio do Senado dos EUA examinou, durante uma audiência em 25 de junho, como empresas como Google, YouTube e Facebook usam inteligência artificial para influenciar

Descubra Viqtor®
pt_PTPT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL pt_PTPT