O General Data Protection Regulation – GDPR, que entrou em vigor na União Europeia no mês de maio de 2018, está com 4 anos de aplicação e permanece tendo como foco de suas atividades a preservação do direito à proteção de dados pessoais dos cidadãos europeus. Uma das medidas previstas na Regulação que visa garantir que as empresas realizem o tratamento de dados pessoais de modo adequado é a sanção de multa, que pode ir até o montante de €20 milhões ou 4% do faturamento anual da organização, a depender do caso concreto. As multas eram pouco aplicadas no período inicial da Regulação, mas hoje assumem importante papel na garantia da conformidade das empresas ao GDPR.
De forma a ilustrar o atual panorama relativo às multas do GDPR e a evolução de sua aplicação com o tempo, observa-se que a soma atual do número de multas aplicadas é de 952[1], sendo apenas 16 correspondentes a todo o ano de 2018 e 570 ao ano de 2021. A escalada no número de aplicações das multas demonstra claramente a atuação mais dinâmica das DPAs – Data Protection Agencies, que à medida que a Regulação foi ganhando maior maturidade e notoriedade passaram a fiscalizar as empresas de forma mais eficiente.
Vale salientar que a atuação das DPAs também sofre com alguns problemas como a falta de recursos humanos e materiais, a fragmentação da competência para aplicação das multas, e o funcionamento do mecanismo de aplicação de multas entre países (one-stop-shop), conforme foi discutido na audiência pública realizada em maio deste ano pelo Civil Liberties, Justice and Home Affairs (‘LIBE’) Committee do parlamento europeu. Quando estas questões forem solucionadas, certamente o grau de efetividade das medidas aplicadas pelas DPAs aumentará e suas atividades serão ainda mais visíveis.
No que diz respeito às razões para a aplicação das multas, o último relatório do GDPR Enforcement Tracker Website[2] observou que no ano de 2021 as principais motivações para as sanções foram, nesta ordem:
- Insuficiência de base legal;
- Insuficiência de medidas técnicas e organizacionais;
- Desconsideração dos princípios gerais de processamento, e;
- Cumprimento insuficiente dos direitos dos titulares de dados.
Além disso, também foi constatado que os setores econômicos que sofreram maior número de multas aplicadas em 2021 foram Indústria e Comércio, e Telecomunicações e Broadcasting.
Até o presente momento, as três maiores multas aplicadas tendo por base a GDPR foram: contra a Amazon, no valor de €746 milhões, aplicada pela DPA de Luxemburgo em julho de 2021, em razão de uma possível falha no que diz respeito à garantia do livre consentimento dos titulares; a segunda maior multa foi contra o WhatsApp, no valor de €225 milhões, em setembro de 2021, pela DPA da Irlanda, tendo como motivo, em linhas gerais, a falta de informações na política de privacidade referentes aos tratamentos realizados com base no legítimo interesse; e por fim, a terceira maior multa aplicada a partir da GDPR foi contra a Google Irlanda e Google LLC (California), que somadas chegaram ao valor de €150 milhões, tendo ambas como causa a não conformidade da empresa com relação aos mecanismos de consentimento de cookies em suas aplicações.
Por tudo que foi observado, tem-se que com o aumento recente de decisões sancionatórias para a aplicação de multas, torna-se possível a criação de novos mecanismos e procedimentos inteligentes capazes de prever quando a aplicação de multas será cabível nos casos concretos, o que certamente é a tendência para os próximos anos. Assim, tornar-se-á mais padronizado o racional utilizado na aplicação de multas, garantindo certa segurança jurídica às empresas, ao mesmo tempo em que também será possível se criar novos frameworks para a adequação das empresas tendo por base o conhecimento adquirido com a aplicação de multas anteriores[3].
[1] https://www.privacyaffairs.com/gdpr-fines/
[2] https://cms.law/en/deu/publication/gdpr-enforcement-tracker-report
[3] RUOHONEN, Jukka; HJERPPE, Kalle. The GDPR enforcement fines at glance. Information Systems, Vol. 106. Nova Iorque: Elsevier, 2022.
Por Caroline Teófilo e Gabriel Toscano da equipe de Governança de Proteção de Dados, Núcleo DPO e Segurança da Informação do Peck Advogados