0
0
O mundo corporativo ficou chocado quando o órgão de proteção de dados da Grécia impôs uma multa em uma das participações gregas da Big 4. PwC, “PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS SA”, recebeu uma multa sob o Artigo 83 do GDPR no montante de 150 000 EUR.
Além disso, a DPA helénica também impôs medidas corretivas à organização a serem cumpridas ao abrigo do regulamento europeu.
Por que a PwC foi multada?
O GDPR estabelece claramente as bases legais, sob as quais os dados pessoais podem ser processados pelos controladores. O consentimento é uma dessas bases, mas não é o único. E a escolha do consentimento da PwC como base legal para o processamento de dados pessoais de seus funcionários não era apropriada, segundo a DPA.
Os dados foram processados no decorrer das atividades comerciais da empresa e os funcionários não foram informados sobre isso. Esse tipo de abordagem foi considerado uma violação dos princípios de justiça e transparência do GDPR.
O princípio da responsabilização também não foi cumprido, uma vez que a empresa não conseguiu demonstrar o cumprimento adequado e transferiu os encargos para os titulares dos dados. Como a PwC era, neste caso, um controlador de dados pessoais, essa transferência era inadequada.
A empresa grega foi, portanto, multada e recebeu um prazo de três meses para tomar certas medidas para se tornar compatível.
O que isso significa?
O representante grego da PwC é o primeiro dos “Big 4” a ser multado no âmbito do GDPR. Além disso, é a primeira consultoria que realmente ajudou muitos de seus clientes com a conformidade com o GDPR no último ano. Parece espantoso que uma empresa do tamanho e da reputação da PwC, que está ganhando muito dinheiro dando conselhos sobre o GDPR, tenha sido queimada pelo fogo que eles ajudam os clientes a evitar diariamente.
E, no entanto, serve como um bom lembrete de que nenhuma empresa localizada ou hospedada na UE está isenta de ter que cumprir o GDPR. Como mostra o precedente do Google, mesmo os players mais influentes de um setor não estão imunes. Os 150 mil euros que a PwC deve pagar não correspondem, é claro, à multa de US $ 5 bilhões imposta à gigante de tecnologia.
Por um lado, são menos de 0,5% do volume de negócios anual da empresa grega, o que não está exatamente de acordo com as diretrizes do GDPR. Essa multa era, segundo a DPA, “uma sanção eficaz, proporcional e dissuasiva”. Então, no grande esquema do paradigma em mudança da abordagem à privacidade, não é muito disso.
A decisão do regulador grego não é insignificante, no entanto. A PwC é líder de mercado em suporte a GDPR, principalmente devido à sua rede global. Muitos clientes em toda a Europa confiaram na empresa para trazer suas políticas e abordagens de acordo com a lei no ano passado. Não seria um grande esforço para essas empresas serem abaladas pelo fato de a própria consultoria ter se mostrado vulnerável em relação a seus funcionários e até mesmo perder a confiança no auditor.
Afinal, boa vontade e reputação são ativos inestimáveis em qualquer mercado hoje. E com as violações de GDPR sendo casos altamente divulgados no mundo atual, onde a privacidade e a proteção de dados são problemas muito predominantes, seria esperado que a PwC precisasse fazer muito controle de danos para salvar a face. Com as empresas DPaaS e DRaaS aparecendo em todo o mercado hoje, pode ser o fim do monopólio das Big 4 e dos grandes escritórios de advocacia em questões legais e de conformidade complexas.
Isso não quer dizer, no entanto, que a reputação da PwC no campo de privacidade de dados seja prejudicada para sempre. Se as outras filiais da consultoria tomam nota do que a APD helênica lhes disse e tomam medidas para assegurar a seus clientes que eles aprenderam a lição e estão prontos para usá-la para melhores consultores de negócios, pode muito bem ser uma oportunidade e não um fracasso. .
E, dado o lançamento de seu acelerador legaltech, talvez pudéssemos em breve ver uma parceria entre o auditor e uma empresa iniciante de DPaaS que fornecesse soluções de privacidade que realmente funcionassem e estivessem em conformidade com o GDPR.