Um início de verão marcado por sanções recordes e novas medidas de apoio.

Legal Watch – julho-agosto de 2019.

O início do verão traz temperaturas mais altas, mas também aumenta a quantidade de multas por violação das regras de privacidade.

Em particular, o ICO, a autoridade supervisora britânica, anunciou sua intenção de impor duas sanções ('notificação de intenção de multa') totalizando mais de 280 milhões de libras, contra o grupo hoteleiro Marriot International, pelo equivalente a 111 milhões de euros, e a British Airways, por um valor superior a 200 milhões de euros.

Em ambos os casos, as violações do GDPR envolveram invasões possibilitadas por falhas de segurança de dados que expuseram os dados de centenas de milhares de clientes.

O ICO também multou um corretor imobiliário de Londres em £ 80 milhões em 19 de julho por não garantir mais de 18.000 registros de clientes por dois anos.

Vale ressaltar que as sanções mais recentes se concentram em violações de segurança e acesso ilegal dentro e fora das empresas.

Do outro lado do Atlântico, a Comissão Federal de Comércio dos Estados Unidos negociou uma indenização de cinco bilhões de dólares com o Facebook por violação da privacidade dos usuários da Internet.

Essa multa não tem precedentes na história da FTC e continua sendo uma das mais altas já impostas pelo estado americano.

No entanto, permanece relativo em comparação com a receita anual do Facebook, de US$ 55,8 bilhões. Em seu comunicado à imprensa de 24 de julho, a FTC detalha os motivos de sua ação, que se relacionam ao descumprimento de suas liminares de proteção de dados de 2012.

Além dessa multa, a empresa está sendo forçada a reestruturar seu modelo de proteção de dados, incluindo um comitê de supervisão mais independente de seu CEO e regras mais rígidas para gerenciamento de aplicativos de terceiros e dados de usuários, especialmente no que diz respeito ao reconhecimento facial, gerenciamento de senhas e criptografia de dados.

Ao mesmo tempo em que as autoridades de supervisão fazem uso cada vez maior de seus poderes de controle, elas também garantem que as práticas das empresas sejam orientadas pela estrutura legal.

A CNIL comunicou assim, no dia 18 de julho, as regras aplicáveis aos cookies, estes rastreadores instalados nos terminais dos utilizadores e que permitem nomeadamente a segmentação publicitária.

A CNIL está atualizando os requisitos necessários para obter o consentimento dos usuários da Internet: esse consentimento não pode mais ser implícito e deve resultar de uma ação clara do indivíduo.

Paredes de cookies, que impedem o acesso a um site se você não aceitar cookies, são proibidas.

Esta interpretação da validade do consentimento já havia sido esclarecida pelo Comitê Europeu de Proteção de Dados em um comunicado à imprensa de maio de 2018.

Isso é confirmado pela redação do RGPD e deve ser explicado com mais detalhes no futuro regulamento “privacidade e comunicações eletrônicas”, que substituirá a Diretiva 2002/58/CE “ePrivacy”.

Uma nova recomendação da CNIL esclarecerá os arranjos práticos para obter consentimento, e um período de adaptação de seis meses será dado às empresas para que elas possam cumprir a lei.

E também:

Na Europa:

Em 24 de julho, a Comissão Europeia publicou um relatório fazendo um balanço, um ano depois, da implementação do GDPR.

Ele identifica as ações implementadas pelas autoridades de supervisão, o fortalecimento de sua cooperação, bem como os esforços de conformidade do setor privado.

A Comissão anuncia sua intenção de apoiar esses esforços com várias ferramentas, como cláusulas contratuais padrão, códigos de conduta e mecanismos de certificação, com atenção especial às PMEs.

Do ponto de vista internacional, a Coreia do Sul pode ser o próximo país a se beneficiar de um nível adequado de proteção que facilite a transferência de dados. A Comissão está considerando outros tipos de acordos multilaterais para facilitar o intercâmbio internacional de dados.

No mundo:

• ESTADOS UNIDOS:

Há apelos no Senado dos EUA para a adoção de uma lei federal de proteção de dados.

Uma legislação nesse sentido foi apresentada pelo senador Ron Wyden em novembro de 2018.

Em nível estadual, a Califórnia é pioneira: a CCPA, Lei de Privacidade do Consumidor da Califórnia, entrará em vigor em 1º de janeiro de 2020, mas atualmente está sujeita a alterações pelo Senado dos EUA. Frequentemente comparada ao GDPR, especialmente no que diz respeito aos direitos dos titulares dos dados à informação e à objeção, ela difere em particular em seu escopo, que se concentra na proteção do consumidor.

Ásia:

Uma série de eventos relacionados à proteção de dados pessoais ocorreu em Cingapura durante a primeira quinzena de julho, reunindo profissionais do setor em diferentes locais.

 As discussões no Fórum Ásia-Pacífico foram resumidas pelo IAPP.

Eles enfatizam a responsabilidade corporativa e a supervisão por autoridades reguladoras.