GDPR Enforcement Tracker – O Regulamento Geral sobre a Proteção de Dados[1] (RGPD ou GDPR) é o Regulamento 2016/679 do Parlamento Europeu e do Conselho, que visa proteger a privacidade e proteção dos dados pessoais das pessoas singulares em relação ao tratamento de dados pessoais, bem como a transferência desses dados pessoais para fora da União Europeia (UE) e do Espaço Econômico Europeu (EEE). A legislação foi proposta em 2012, sendo aprovada pela União Europeia em 27 de abril de 2016, entrando em vigor no dia 25 de maio de 2018. O RGPD serviu como nítida inspiração para a Lei Geral de Proteção de Dados Pessoais[2] (LGPD) que entrou em vigor no Brasil em 14 de agosto de 2020, porém, os artigos 52, 53 e 54 da lei, referentes às sanções administrativas, em função da Lei n. 14.010/2020, só tiveram sua entrada em vigor[3] em 1^o de agosto de 2021.

Uma das formas de buscar prever os futuros riscos dos impactos das sanções da LGPD no Brasil reside em analisar cautelosamente a atuação das autoridades de proteção de dados[4] (APD) na Europa, eis que esta legislação está há alguns anos à nossa frente. Inclusive, o RGPD serviu (e ainda serve) de inspiração para a criação de legislações sobre privacidade e proteção de dados pessoais em diversos países do mundo. Inegável é o fato de que a quantidade de dados pessoais que muitas empresas têm de seus clientes é gigantesca e isso pode faltamente gerar graves incidentes ao caírem em mãos erradas, especialmente, diante da proliferação de ataques de engenharia social / phishing[5] ou ransomware[6]. Assim, as empresas terão que aprender a lidar com os dados pessoais de maneira segura e ética, aplicando as medidas técnicas e organizativas adequadas para assegurar um nível de segurança que proteja a confidencialidade, a integridade e a disponibilidade desses dados pessoais.

GDPR Enforcement Tracker

Neste cenário, o GDPR Enforcement Tracker[7] é uma ferramenta de extrema importância, que registra, detalha e contabiliza as penalidades aplicadas com base no GDPR, em decorrência de descumprimentos aos termos da lei. Atualmente, até a data de elaboração deste artigo, foram aplicadas 873 penalidades. Importante destacar que até o mês de dezembro de 2018 tinham sido aplicadas apenas 9 multas, com valores inferiores a 500 euros. No ano de 2019, a fiscalização das autoridades na UE se tornou mais atuante e muitas empresas foram autuadas com multas de até 72.000 euros, de modo que até o mês de dezembro de 2019 tinham sido aplicadas 151 multas (sendo 142 multas em 2019). Por fim, até dezembro de 2020 foram aplicadas 491 multas, de modo que 340 foram aplicadas em 2020. De janeiro de 2021 a 14 de outubro de 2021 foram aplicadas 372 multas. Neste ritmo, até dezembro de 2021, o total de multas aplicadas poderá atingir a marca de mais de 1.000 multas, sendo a Autoridade Espanhola a mais atuante neste cenário, com aproximadamente 35% do total de multas aplicadas.

A título de curiosidade, até setembro de 2021, as três autoridades que mais autuaram foram: Autoridade da Espanha com 294 multas (€ 32.927,610 como valor total de multas), Autoridade da Itália com 92 multas (€ 86,138,770 como valor total de multas) e a Autoridade da Romênia com 62 multas (€ 703,050 como valor total de multas).

Porém, mais importante do que a quantidade de multas ou o valor total das multas aplicadas é justamente o motivo da violação que exigiu a autuação pela autoridade de proteção de dados de cada país. Assim, das 873 penalidades aplicadas, 291 se referem à base legal ausente ou insuficiente para processamento de dados pessoais, ou seja, mais de 30% das multas. Aproximadamente 40% do total de multas se referem às duas categorias de violação de dados: 174 multas por violação de medidas técnicas e organizacionais ausentes ou insuficientes para garantir a segurança da informação e mais 173 multas em virtude da violação de não conformidade com os princípios gerais de processamento de dados pessoais. Outros motivos de violação foram: cumprimento insuficiente dos direitos dos titulares dos dados (77 multas) e das obrigações de informação (60 multas), cooperação insuficiente com a autoridade supervisora ​​(33 multas), cumprimento insuficiente das obrigações de notificação de violação de dados (20 multas) e ausência de nomeação do encarregado (ou responsável) da proteção de dados – DPO (8 multas), dentre outras 37 multas restantes.

Casos Concretos – RGPD

Quando se fala em sanções ao RGPD, a maior multa que ocorreu, até a data de elaboração deste artigo, foi com a Amazon Europe Core S.à.r.l., em Luxemburgo (local onde também está a sede da Amazon na Europa). Em 16 de julho de 2021, a National Commission for Data Protection ou Comissão Nacional de Proteção de Dados de Luxemburgo aplicou uma multa no valor de 746 milhões de euros (cerca de US$ 888 milhões ou aproximadamente R$ 4,5 bilhões de reais) por não conformidade com o Regulamento Geral de Proteção de Dados da EU (ou “non-compliance with general data processing principles”), de acordo com registro financeiro[8] da empresa apresentado à Comissão de Valores Mobiliários dos Estados Unidos.

Neste caso, embora o valor da multa possa parecer ser exorbitante, ele representa apenas “uma parcela (4,2%) do lucro líquido (que foi de US$ 21,3 bilhões em 2020) e da receita (0,2%) (US$ 386 bilhões) da empresa sancionada, que ocupa agora o topo da lista das empresas com as maiores sanções por infrações”[9] ao RGPD. A CNPD ainda exigiu que a gigante do varejo on-line revise determinadas práticas comerciais, que não foram reveladas[10]. Cabe salientar que a legislação em vigor permite multas administrativas até o montante de 4% da receita atual da empresa que infringir o RGPD.

Vale lembrar que, em 2020, a referida empresa também foi condenada pela CNIL (Comissão Nacional de Informática e Liberdades – Autoridade Supervisora na França) em 35 milhões de euros por descumprimento dos preceitos da proteção de dados em relação à implementação e coleta de cookies com fins publicitários sem o consentimento do usuário, bem como, pela ausência de informação nos avisos de cookies, de modo que a multa decorreu da diretiva ePrivacy, disposta no artigo 82 da Lei Francesa de Proteção de Dados. No caso em concreto, a CNIL ainda havia relatado que, “mesmo depois de ler o banner exposto no site, o usuário não era capaz de compreender que os cookies lançados em seu computador tinham como objetivo principal a exibição de anúncios personalizados”[11], salientando que tal banner não indicava ao usuário que ele possuía o direito de recusar tais cookies.

Em segundo lugar, em 02 de setembro de 2021, a empresa WhatsApp Ireland Ltd. foi multada em 225 milhões de euros (ou cerca de R$ 1,3 bilhão de reais) pela autoridade de proteção de dados irlandesa (ou “Data Protection Commission” – DPC), no mesmo país onde fica a sede do WhatsApp na Europa, por quatro infrações gravíssimas que violavam princípios de privacidade do RGPD ao não dar transparência para o tratamento de dados pessoais de seus usuários, se tornando a maior multa já emitida pela DPC e a segunda maior multa da Europa por violação ao RGPD. Além da imposição da referida multa administrativa, a DPC[12] também impôs que o WhatsApp se utilize de ações corretivas específicas[13] para dar conformidade ao processamento de dados pessoais dos usuários.

No caso concreto, a empresa “fornecia apenas 41% das informações devidas aos usuários de seu serviço, (…) sendo-lhes negado o direito de controlar o processamento e coleta de seus dados pessoais”[14] do compartilhamento dos dados pelo WhatsApp com as outras empresas do grupo Facebook, que é seu proprietário.

Em terceiro lugar, em 21 de Janeiro de 2019, a Google LLC foi multada pela CNIL em 50 milhões de euros por infringir os artigos 5, 6, 13 e 14 do RGPD por tratar dados pessoais sem base legal (insufficient legal basis for data processing[15]). Em 2020, a empresa Google foi novamente penalizada no valor de 100 milhões de euros, em virtude de violações como falta de transparência, informação incorreta e ausência de consentimento válido na publicidade personalizada, eis que o RGPD exige que o consentimento explícito para uso desses dados.

No caso, a CNIL também considerou que para o usuário não era fácil encontrar as informações do Google sobre como os dados pessoais eram tratados, eis que as “informações sobre o processamento dos dados, por exemplo, não estavam presentes na mesma página que o detalhamento sobre o armazenamento de dados. Em alguns casos, o usuário teria de percorrer cinco ou seis páginas até achar a descrição dos processos do Google”[16], bem como, a solicitação de consentimento foi considerada inadequada, eis que a caixa de autorização do usuário estava previamente marcada.

Ou seja, diante do acesso à página do Google.fr eram instalados cookies nos dispositivos dos usuários sem consentimento prévio[17], bem como, as informações sobre as operações de tratamento dos dados pessoais utilizados para a personalização dos anúncios estavam diluídas em vários documentos e, assim, não permitiam ao usuário localizar as informações de forma fácil. Além disso, as receitas publicitárias indiretamente obtidas com o uso das informações recolhidas por cookies teriam afetado cerca de 50 milhões de usuários na França[18].

Sanções administrativas e a LGPD

Dentre as diversas sanções administrativas previstas na nossa LGPD acerca da violação dos comandos normativos, destacamos: advertência e a respectiva possibilidade de medidas corretivas; multa de até 2% do faturamento no seu último exercício, excluídos os tributos, limitada ao limite total de até R$ 50 milhões de reais por infração; multa diária; publicização da infração e o bloqueio ou a eliminação dos dados pessoais relacionados à irregularidade, a suspensão parcial do funcionamento do banco de dados ou a proibição parcial ou total da atividade de tratamento, de modo que estas últimas sanções poderão até inviabilizar a atividade econômica do infrator.

O responsável pelo tratamento de dados que vier a causar dano patrimonial, moral, individual ou coletivo poderá ser obrigado a repará-lo. O caput do art. 52 da LGPD dispõe que as sanções administrativas previstas na referida lei são passíveis de aplicação somente pela Autoridade Nacional de Proteção de Dados (ANPD), de modo que as suas competências acerca da proteção de dados pessoais prevalecerão sobre as competências correlatas de outras entidades ou órgãos da administração pública[19].

Porém, as aplicações das supracitadas sanções não substituirão a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078/90 (Código de Defesa do Consumidor) e em outra legislação específica vigente. Assim, poderá o juiz inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for cabível.

Conclusão

No ano de 2021, o RGPD completou três anos de vigência, serviu de inspiração para a criação de diversas leis sobre proteção de dados pelo mundo e foi substrato para aplicação de mais de 900 milhões de euros em multas, de modo que o volume de infrações e o valor das multas aplicadas por autoridades de proteção de dados pessoais da União Europeia tiveram um aumento de dois dígitos em 2020. De fato, a aplicação mais severa em relação ao montante das multas está forçando as organizações a se adequarem aos comandos normativos, seja em relação aos princípios, seja em relação ao compartilhamento internacional ou ao nível de proteção adequado contra o acesso não autorizado de dados pessoais, bem como, em segundo plano, está fornecendo às autoridades um meio legal para punir os infratores, uma vez que as autoridades de proteção de dados pessoais ainda não têm recursos suficientes para realizar profundas investigações, em face das maiores empresas do mundo, em especial, as grandes empresas de tecnologia e de comércio eletrônico.

Acima da quantidade ou somatório de multas aplicadas, devemos nos ater a uma reflexão direta acerca da principal razão das sanções: Das 873 penalidades aplicadas até o momento (14/10/2021), 291 (ou 33% das multas) se referem à ausência ou insuficiência de base legal para processamento de dados pessoais. E, aproximadamente 40% do total de multas, tratam de medidas técnicas e organizacionais insuficientes para garantir a segurança dos dados pessoais e de não conformidade com os princípios gerais de processamento de dados pessoais do RGPD.

A atuação das autoridades de proteção de dados pessoais também desempenha um papel educacional muito relevante na sociedade: Fazer com que os usuários aprendam a ter ciência da quantidade de dados pessoais que são tratados ou compartilhados durante o acesso ou cadastro em websites ou aplicativos, gerando especial atenção nos termos ou políticas de uso, consentimento ou a consciência sobre os direitos dos titulares.

Conforme a maturidade de respeito à privacidade e à proteção de dados aumentar, melhor será para a segurança e o livre desenvolvimento da personalidade de todos os usuários em todo o mundo.

Neste cenário, a partir da atuação da ANPD, o Brasil ingressará em novo cenário acerca da proteção dos dados pessoais e da aplicabilidade da LGPD, de acordo com a sua “autonomia técnica e decisória para fiscalizar e elaborar diretrizes e normas relacionadas à proteção, coleta, uso, armazenamento e distribuição de dados pessoais dos cidadãos brasileiros”[20].

Por fim, entendemos que com a entrada em vigor das sanções administrativas e com a devida estruturação da ANPD, ao longo dos próximos anos, o cenário brasileiro terá maior segurança jurídica e técnica sobre o tratamento dos dados, que deverão estar em conformidade com as bases legais previstas na nossa lei.

Autor: Marcelo José dos Santos é advogado, bacharel em Direito e em Administração, possui 9 pós-graduações em Direito, pós-graduação em Segurança da Informação e, atualmente, está cursando graduação em Gestão de Tecnologia da Informação. Também atua em consultoria de adequação LGPD/RGPD em relação à proteção de dados pessoais e segurança da informação. Certificado DPO (Data Protection Officer) e ISO (Information Security Officer) pela EXIN, em 2021, através das certificações ISFS, ISMP, PDPF e PDPP.

Conheça a certificação EXIN PDPE (LGPD) e a formação completa para DPO – Data Protection Officer

[1] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. Fonte: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=uriserv%3AOJ.L_.2016.119.01.0001.01.POR&toc=OJ%3AL%3A2016%3A119%3AFULL – Acesso em: 26/09/2021.

[2] Brasil. Lei n^o 13.709, de 14 de agosto de 2018. Fonte: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm – Acesso em: 26/09/2021.

[3] Brasil. Lei n^o 14.010, de 10 de junho de 2020. Fonte: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/l14010.htm – Acesso em: 26/09/2021.

[4] EU. O que são autoridades de proteção de dados (APD)? Fonte: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-are-data-protection-authorities-dpas_pt – Acesso em: 26/09/2021.

[5] Phishing é a técnica de engenharia social mais usada atualmente, que visa obter informações pessoais (especialmente dados bancários, dados de cartão de crédito e senhas) através de e-mail, telefone, mensagens de texto (SMS), sites e pop-ups falsos inseridos em sites não confiáveis. Fonte: https://pt.wikipedia.org/wiki/Phishing – Acesso em: 26/09/2021.

[6] Ransomware é um tipo de malware que pode bloquear o acesso ao sistema infectado, critografando os dados do usuário e cobrando um resgate em criptomoedas para se obter a chave que de acesso aos dados critografados, se tornando o tipo de malware mais rentável da história. Fonte: https://pt.wikipedia.org/wiki/Ransomware – Acesso em: 26/09/2021.

[7] GDPR Enforcement Tracker. Fonte: https://www.enforcementtracker.com/ – Acesso em: 29/09/2021 e atualizado em 14/10/2021.

[8] Amazon. Registro financeiro trimestral da Amazon. Pág. 13. Fonte: https://d18rn0p25nwr6d.cloudfront.net/CIK-0001018724/cbae1abf-eddb-4451-9186-6753b02cc4eb.pdf – Acesso em: 29/09/2021.

[9] Rainbow Rising Safer. Amazon é multada em EUR 746.000.000. Fonte: https://rainbow-tecnologia.com.br/amazon-e-multada-em-eur-746000000/ – Acesso em: 29/09/2021.

[10] Neste sentido: G1. Amazon recebe multa recorde de US$ 887 milhões na União Europeia por questões de privacidade. Fonte: https://g1.globo.com/economia/tecnologia/noticia/2021/07/30/amazon-recebe-multa-recorde-de-746-milhoes-de-euros-na-uniao-europeia-por-questoes-de-privacidade.ghtml – Acesso em: 29/09/2021.

[11] LGPD News. Google e Amazon são multadas em mais de €135 milhões por utilização indevida de cookies. Fonte: https://lgpdnews.com/2020/12/google-multado-em-100-milhoes-e-amazon-em-35-milhoes-de-euros-por-coleta-de-indevida-de-cookies/ – Acesso em: 29/09/2021.

[12] Site do EDPB. Binding decision 1/2021 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding WhatsApp Ireland under Article 65(1)(a) GDPR (Decisão final da DPC). Fonte: https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf – Acesso em: 29/09/2021.

[13] Neste sentido: Site da DPC da Irlanda. Data Protection Commission announces decision in WhatsApp inquiry. Fonte: https://dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-whatsapp-inquiry – Acesso em: 29/09/2021.

[14] LGPD News. WhatsApp é multado em R$1,3 bi por falta de transparência com usuários. Fonte: https://lgpdnews.com/2021/09/whatsapp-e-multado-em-r13-bi-por-falta-de-transparencia-com-usuarios/ – Acesso em: 29/09/2021.

[15] CNIL. The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC. Fonte: https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc  – Acesso em: 29/09/2021.

[16] Site do UOL. Google recebe maior multa já aplicada por violar dados pessoais na Europa. Fonte: https://www.uol.com.br/tilt/noticias/redacao/2019/01/21/google-e-multado-na-franca-por-violar-de-dados-pessoais.htm – Acesso em: 29/09/2021.

[17] Légifrance. Délibération SAN-2019-001 du 21 janvier 2019. Fonte: https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038032552/ – Acesso em: 29/09/2021.

[18] Neste sentido: PrivacyTech. Google e Amazon são multados em 135 milhões de euros. Fonte: https://www.privacytech.com.br/destaque/google-e-amazon-sao-multados-em-135-milhoes-de-euros.,382225.jhtml – Acesso em: 29/09/2021.

[19] Neste sentido: BRASIL. ANPD. Sanções Administrativas. Fonte; https://www.gov.br/anpd/pt-br/assuntos/noticias/sancoes-administrativas-o-que-muda-apos-1o-de-agosto-de-2021 – Acesso em: 14/10/2021.

[20] BRASIL. ANPD. Com atuação da ANPD, Brasil ingressa em novo cenário de proteção de dados. Fonte: https://www.gov.br/anpd/pt-br/assuntos/noticias/com-atuacao-da-anpd-brasil-ingressa-em-novo-cenario-de-protecao-de-dados – Acesso em: 14/10/2021