Você leu certo: a fiscalização e aplicações de multas sobre infrações da GDPR na Europa está aumentando, e rapidamente.
Embora as multas nem sempre sejam particularmente altas, nossa análise mostra que, em termos de volume, as autoridades de proteção de dados (DPAs) estão aumentando rapidamente suas atividades de aplicação do GDPR.
Algumas tendências interessantes também estão surgindo:
• As DPAs aplicaram 190 multas e penalidades até o momento.
Com 43 decisões de execução tomadas até o momento, a Espanha lidera o grupo como o regulador mais ativo da Europa, seguida pela Romênia (21) e Alemanha (18). O Reino Unido impôs a maior quantidade total de multas – mais de € 315 milhões – se as multas da British Airways e da Marriott forem confirmadas após recurso. A seguir, estão a Comissão Nacional da Informação e da Liberdade da França, com pouco mais de 51 milhões de euros em multas, e a DPA da Alemanha, com quase 25 milhões de euros.
• Falhas na governança de dados – não na segurança – desencadeiam o maior número de multas e penalidades.
As DPAs agiram principalmente contra a violação do Artigo 5 (princípios de processamento de dados pessoais) e do Artigo 6 (legalidade do processamento). Essas regras contêm princípios fundamentais de governança de dados, como precisão e qualidade dos dados e justiça do processamento, quando as empresas coletam e processam a quantidade mínima de dados necessária para um objetivo específico e claramente definido. As empresas lutam muito para atender aos requisitos de consentimento e outras bases legais disponíveis.
• As violações fazem a bola rolar, mas são apenas um ponto de partida.
Muitos profissionais de segurança e risco (S&R) e privacidade esperavam que as infrações à segurança e as notificações de violação perdidas fossem os principais gatilhos da aplicação do GDPR. As DPAs realizaram cerca de 50 ações por violação do Artigo 32 (requisitos de segurança) e mais algumas relacionadas à falta de comunicação de violações. Esses casos mostram que um incidente de segurança real é apenas o ponto de partida para determinar multas. As investigações que se seguiram a algumas das maiores violações da era pós-RGPD concentraram-se não apenas nas condições específicas da violação, mas também destacaram “acordos de segurança insuficientes”. Procedimentos de autenticação adequados – ou a falta deles – têm sido o foco das DPAs desde o primeiro ação de execução em 2018.
• Dados comprometidos de um único cliente podem ser caros.
As DPAs avaliam o impacto de uma violação, não apenas seu volume. Por exemplo, o regulador de proteção de dados da Espanha multou dois fornecedores de telecomunicações, cada um com um problema com um único cliente. Uma empresa de telecomunicações divulgou erroneamente credenciais de terceiros a um cliente, permitindo ao cliente obter acesso a dados confidenciais de terceiros. Este evento único custou ao fornecedor € 60.000. A DPA multou outro provedor de telecomunicações em quase 40.000 euros pelo processamento dos dados de um único cliente sem o seu consentimento. Um hospital na Alemanha também foi multado em € 105.000 por violações da GDPR associadas ao uso indevido de dados de um único paciente.
• O não respeito dos direitos dos indivíduos levará à próxima onda de multas e penalidades.
A Forrester espera que a próxima onda de imposição venha de não atender aos direitos de privacidade de indivíduos. As ações de aplicação mais atuais se referem a solicitações de acesso a dados e exclusão de dados. Por exemplo, uma empresa imobiliária alemã que – entre outras questões – arquivou dados de clientes, de uma maneira que não permitia a exclusão de dados, foi multada em 14,5 milhões de euros. A aplicação até o momento vem principalmente de solicitações de clientes, mas as ações de imposição de solicitações de funcionários também estão aumentando. A Comissão de Proteção de Dados Pessoais da Bulgária multou um empregador por uma resposta atrasada e incompleta à solicitação de acesso de um funcionário.
• O gerenciamento de riscos de terceiros é a próxima grande novidade na arena da privacidade.
Este gerenciamento não é novidade para os profissionais de S&R e privacidade, mas agora eles estão começando a ver como os terceiros afetam seu programa de privacidade. Terceiros que não seguem as mesmas políticas de privacidade que você segue podem destruir não apenas seu programa de privacidade, mas também sua marca, a confiança de seus clientes e o ecossistema de parceiros. De fornecedores a subcontratantes, fornecedores de dados e parceiros com os quais você compartilha dados, é evidente que o risco de terceiros tem implicações de longo alcance para a privacidade. As práticas atuais de due diligence não serão suficientes. Não seja pego de surpresa. Em vez disso, procure maneiras de combinar tecnologia, conhecimento e dados multifuncionais e insights externos com seus colegas de S&R para automatizar o gerenciamento de terceiros para a privacidade.
Traduzido de um artigo da Forrester – https://go.forrester.com/blogs/guess-what-gdpr-enforcement-is-on-fire/