Desde que o Regulamento Geral de Proteção de Dados da UE entrou em pleno efeito, as autoridades europeias de proteção de dados receberam mais de 160.900 relatórios de violação de dados, de acordo com o escritório de advocacia DLA Piper.
Desde quando o GDPR entrou em pleno vigor em 25 de maio de 2018, até sexta-feira, as autoridades de proteção de dados da UE também impuseram € 114 milhões (US$ 126 milhões) em multas a regulamentação de privacidade por uma ampla variedade de infrações, nem todas envolvendo violações de dados.
“França, Alemanha e Áustria lideraram o ranking pelo valor total das multas do GDPR impostas com pouco mais de € 51 milhões [US$ 57 milhões], € 24,5 milhões [US$ 27 milhões] e € 18 milhões [US$ 20 milhões] respectivamente”, diz dla Piper. “Os Países Baixos, a Alemanha e o Reino Unido lideraram a tabela pelo número de violações de dados notificadas aos reguladores com 40.647, 37.636 e 22.181 notificações cada.”
O relatório não conta o Gabinete do Comissário de Informações do Reino Unido afirmando que pretende multar a Marriott International em US$ 130 milhões e multar a British Airways em US$ 239,5 milhões por violações de dados que ocorreram após o GDPR entrar em pleno efeito, uma vez que essas penalidades ainda não foram finalizadas.
GDPR: As penalidades máximas são sérias
Claramente, no entanto, o GDPR vem remodelando a violação de dados e a discussão sobre privacidade na Europa, diz Ross McKean, sócio da DLA Piper, especializado em proteção cibernética e de dados, embora os reguladores ainda não tenham usado seu poder de fining total.
“O montante total de multas de € 114 milhões impostas até o momento é relativamente baixo em comparação com as multas máximas potenciais que podem ser impostas pelo GDPR, indicando que ainda estamos nos primeiros dias de execução”, diz ele. Mas ele prevê que multas multimilionárias se tornarão mais comuns no próximo ano, à medida que os reguladores se baseiam nos esforços de execução passadas e encontrarão seu pé.
Qualquer organização em todo o mundo que viole a regulamentação de privacidade enfrenta multas de até 4% de sua receita global anual ou 20 milhões de euros (US$ 22 milhões) – o que for maior – bem como outras sanções potenciais, como perder sua capacidade de processar dados pessoais. Separadamente, as organizações que não cumprem os requisitos de relatórios do GDPR também enfrentam multas de até 10 milhões de euros (US$ 11 milhões) ou 2% da receita global anual.
Além disso, as organizações enfrentam um prazo de 72 horas para alertar as autoridades sempre que souberem de uma violação que pode ter exposto os dados pessoais dos europeus. Alguns reguladores, por exemplo, no Reino Unido, disseram que, com tal notificação, esperam ver detalhes sólidos sobre o que aconteceu e o provável impacto sobre as vítimas.
Mas nem todos os reguladores emitiram tal orientação. “É provável que leve mais alguns anos para a prática de orientação e fiscalização em toda a Europa para facilitar a informação quando uma violação é – ou não – notificável, embora o teste provavelmente continue a variar de país para país”, diz McKean.
Extrapolando dados
A nova pesquisa sobre notificações e multas de violação de dados atualiza um estudo anterior da DLA Piper, que analisou os primeiros oito meses do GDPR. Esse estudo constatou que as notificações de violação de dados na Europa tiveram uma média de 247 por dia, que o novo estudo descobriu ter aumentado em 13%, para 278 notificações por dia no último ano (ver: Relatórios de violação de dados na Europa o PIBR excedem 59.000).
Fonte: DLA Piper
Assim como no relatório anterior, o novo relatório vem com algumas ressalvas.
O último relatório da DLA Piper reúne dados da maioria – mas não de todos – países da Área Econômica Europeia, que inclui todos os 28 Estados-membros da UE, bem como islândia, Liechtenstein e Noruega, que também cumprem com o GDPR.
Mas nem todos os países compartilharam informações de ação de execução do GDPR. “Bulgária, Croácia, Portugal, Eslováquia não forneceram nenhum dado sobre notificações de violação”, diz DLA Piper, e a Croácia não forneceu nenhuma informação sobre quaisquer multas do GDPR que tenha cobrado. “Muitos dos outros países pesquisados apenas forneceram dados durante parte do período coberto pelo relatório, então – como observado no relatório – tivemos que extrapolar”, o que também explica por que a contagem de notificações de violação de dados do relatório cobre o período de tempo que se passa a partir de 25 de maio , 2018, até 27 de janeiro de 2020.
A Alemanha, por exemplo, possui 16 autoridades estaduais de supervisão de proteção de dados, bem como uma autoridade federal de supervisão. Mas quatro dos estatais “forneceram dados incompletos ou sem dados, por isso extrapolamos dados para esses estados com base nos dados fornecidos por outras autoridades supervisoras estaduais”, diz dla Piper.
Violações relatadas per capita: grande variação
Fonte: DLA Piper
Uma descoberta notável no relatório é que há uma grande variação nas notificações de violação de dados per capita. Os Países Baixos, por exemplo, no último ano relataram 147,2 violações de dados por 100.000 residentes, enquanto a Alemanha reportou 31,2, o Reino Unido 17,8 e a Grécia apenas 1,5.
Vários fatores parecem explicar essa variação, diz McKean, da DLA Piper, ao Information Security Media Group.
“O GDPR é interpretado de forma bem diferente em toda a Europa. Embora seja o mesmo texto legal, pois é baseado em princípios e aberto à interpretação, é exatamente isso que aconteceu na prática”, diz. “Alguns reguladores interpretaram o gatilho para notificação em um nível mais baixo do que outros reguladores. No Reino Unido, o Comissário de Informações – recebendo mais de 1.000 notificações de violação por mês – está encorajando os controladores a considerar se uma violação de segurança realmente cumpre o limite para notificação, ou não. Essa abordagem parece ter suprimido o número de notificações no Reino Unido, em relação a outros países.”
De fato, alguns países têm relatado o que parecem ser um número relativamente baixo de violações, com base em sua população. “Em terceiro lugar na parte inferior das notificações ponderadas por tabela capita está a Itália, um país com uma população de mais de 62 milhões, que relatou apenas 1.886 notificações de violação de dados”, diz ele.
Como isso demonstra, o GDPR ainda está em sua infância, e os reguladores continuam a aprimorar sua abordagem.
Patrick Van Eecke, presidente da prática internacional de proteção de dados da DLA Piper, diz que as organizações que devem cumprir o GDPR estão esperando para ver maior consistência das autoridades de proteção de dados de diferentes países, mas que pode levar muito tempo.
“As primeiras multas do GDPR levantam muitas questões. Pergunte a dois reguladores diferentes como as multas do GDPR devem ser calculadas e você terá duas respostas diferentes”, diz ele. “Estamos a anos de ter segurança jurídica sobre essa questão crucial, mas uma coisa é certa, podemos esperar ver muito mais multas e recursos nos próximos anos.”
FONTE: BANKINFO SECURITY