O General Data Protection Regulation – GDPR, que entrou em vigor na União Europeia no mês de maio de 2018, está com 4 anos de aplicação e permanece tendo como foco de suas atividades a preservação do direito à proteção de dados pessoais dos cidadãos europeus. Uma das medidas previstas na Regulação que visa garantir que as empresas realizem o tratamento de dados pessoais de modo adequado é a sanção de multa, que pode ir até o montante de €20 milhões ou 4% do faturamento anual da organização, a depender do caso concreto. As multas eram pouco aplicadas no período inicial da Regulação, mas hoje assumem importante papel na garantia da conformidade das empresas ao GDPR.
De forma a ilustrar o atual panorama relativo às multas do GDPR e a evolução de sua aplicação com o tempo, observa-se que a soma atual do número de multas aplicadas é de 952[1], sendo apenas 16 correspondentes a todo o ano de 2018 e 570 ao ano de 2021. A escalada no número de aplicações das multas demonstra claramente a atuação mais dinâmica das DPAs – Data Protection Agencies, que à medida que a Regulação foi ganhando maior maturidade e notoriedade passaram a fiscalizar as empresas de forma mais eficiente.
Vale salientar que a atuação das DPAs também sofre com alguns problemas como a falta de recursos humanos e materiais, a fragmentação da competência para aplicação das multas, e o funcionamento do mecanismo de aplicação de multas entre países (one-stop-shop), conforme foi discutido na audiência pública realizada em maio deste ano pelo Civil Liberties, Justice and Home Affairs (‘LIBE’) Committee do parlamento europeu. Quando estas questões forem solucionadas, certamente o grau de efetividade das medidas aplicadas pelas DPAs aumentará e suas atividades serão ainda mais visíveis.
No que diz respeito às razões para a aplicação das multas, o último relatório do GDPR Enforcement Tracker Website[2] observou que no ano de 2021 as principais motivações para as sanções foram, nesta ordem:
Além disso, também foi constatado que os setores econômicos que sofreram maior número de multas aplicadas em 2021 foram Indústria e Comércio, e Telecomunicações e Broadcasting.
Até o presente momento, as três maiores multas aplicadas tendo por base a GDPR foram: contra a Amazon, no valor de €746 milhões, aplicada pela DPA de Luxemburgo em julho de 2021, em razão de uma possível falha no que diz respeito à garantia do livre consentimento dos titulares; a segunda maior multa foi contra o WhatsApp, no valor de €225 milhões, em setembro de 2021, pela DPA da Irlanda, tendo como motivo, em linhas gerais, a falta de informações na política de privacidade referentes aos tratamentos realizados com base no legítimo interesse; e por fim, a terceira maior multa aplicada a partir da GDPR foi contra a Google Irlanda e Google LLC (California), que somadas chegaram ao valor de €150 milhões, tendo ambas como causa a não conformidade da empresa com relação aos mecanismos de consentimento de cookies em suas aplicações.
Por tudo que foi observado, tem-se que com o aumento recente de decisões sancionatórias para a aplicação de multas, torna-se possível a criação de novos mecanismos e procedimentos inteligentes capazes de prever quando a aplicação de multas será cabível nos casos concretos, o que certamente é a tendência para os próximos anos. Assim, tornar-se-á mais padronizado o racional utilizado na aplicação de multas, garantindo certa segurança jurídica às empresas, ao mesmo tempo em que também será possível se criar novos frameworks para a adequação das empresas tendo por base o conhecimento adquirido com a aplicação de multas anteriores[3].
[1] https://www.privacyaffairs.com/gdpr-fines/
[2] https://cms.law/en/deu/publication/gdpr-enforcement-tracker-report
[3] RUOHONEN, Jukka; HJERPPE, Kalle. The GDPR enforcement fines at glance. Information Systems, Vol. 106. Nova Iorque: Elsevier, 2022.
Por Caroline Teófilo e Gabriel Toscano da equipe de Governança de Proteção de Dados, Núcleo DPO e Segurança da Informação do Peck Advogados
I. What is artificial intelligence? Artificial intelligence, according to Professor John McCarthy, ‘is the science and engineering of making intelligent machines, especially intelligent computer programs. […]
Vivemos um momento desafiador, onde nos deparamos com um dilema: a mesma tecnologia que permite o exercício da liberdade de expressão, também pode ser utilizada […]
Reconhecimento da BRALLAW, a maior premiação do mercado jurídico brasileiro, reforça o protagonismo e o vanguardismo do escritório no uso da IA no Direito O […]
Rua Henrique Schaumann, nº 270, 4º andar
Edifício Pinheiros Corporate,
São Paulo – SP | CEP: 05413-909
(11) 2189-0444