Os reguladores de dados europeus emitiram 1,1 mil milhões de euros em multas associadas ao RGPD, um aumento de sete vezes ao ano, revela o inquérito da DLA Piper
Luxemburgo, Irlanda e França encabeçam a tabela das coimas individuais mais elevadas emitidas (746 milhões de euros, 225 milhões de euros e 50 milhões de euros, respectivamente). O Luxemburgo, Irlanda e Itália encabeçam o quadro das coimas agregadas mais elevadas emitidas.
Houve um crescimento de 8% em 2021 nas notificações de infracção em comparação com 2020, com mais de 130.000 infracções notificadas desde 28 de Janeiro de 2021.
Per capita, os Países Baixos encabeçam as classificações para as notificações de violação de dados.
O aumento das multas é significativo, mas o acórdão Schrems II do Supremo Tribunal da Europa, e as suas profundas implicações restringindo as transferências internacionais de dados, continua a ser o principal desafio para muitas organizações apanhadas pela lei em matéria de protecção de dados.
Foram aplicadas quase 1,1 mil milhões de euros de multas por uma vasta gama de infracções ao Regulamento Geral de Protecção de Dados da Europa. Isto representa um aumento de 594% de ano para ano nas multas aplicadas desde 28 de Janeiro de 2021 em comparação com 158,5 milhões de euros durante o mesmo período do ano passado, de acordo com o escritório de advogados internacional DLA Piper.
Este valor é extraído do último estudo de RGPD anual do escritório de advocacia, multas e inquérito sobre violação de dados dos 27 Estados-Membros da União Europeia mais o Reino Unido, Noruega, Islândia e Liechtenstein.
Luxemburgo, Irlanda e França estão no topo da classificação para as multas individuais mais elevadas (746 milhões de euros; 225 milhões de euros e 50 milhões de euros, respectivamente). O Luxemburgo e a Irlanda impuseram multas recordes cada um, passando-as da base para o topo das tabelas do “campeonato”.
O crescimento das notificações de infracção continuou com um aumento de 8% em relação à média do ano anterior de 331 notificações por dia para 356 este ano e mais de 130.000 infracções de dados pessoais notificadas em conjunto desde 28 de Janeiro de 2021.
Ponderando os resultados contra as populações dos países, os Países Baixos assumem este ano a pole position à frente do Liechtenstein e da Dinamarca com 151, 136 e 131 notificações de violação por 100.000 pessoas, respectivamente. A Croácia, a República Checa e a Grécia comunicaram o menor número de notificações de violação per capita desde 28 de Janeiro de 2021.
Embora o aumento das multas possa ser significativo, o acórdão do mais alto tribunal europeu no processo Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems em Julho de 2020 conhecido como “Schrems II” continua a ser o principal desafio de cumprimento da protecção de dados para muitas organizações apanhadas pela GDPR. O acórdão e o Capítulo V da GDPR impõem limitações estritas à transferência de dados pessoais da Europa e do Reino Unido para “países terceiros”, com os exportadores de dados a arriscarem-se a pedidos de suspensão, multas e pedidos de indemnização por não cumprirem estes novos requisitos. O acórdão exige que as organizações que exportam dados pessoais da Europa e do Reino Unido para países terceiros efectuem um levantamento exaustivo dessas transferências e avaliações detalhadas dos riscos legais e práticos de intercepção pelas autoridades públicas nos países onde os importadores estão localizados, aumentando grandemente a carga de cumprimento para os exportadores e importadores de dados.
Comentando os resultados do inquérito, Ross McKean, Presidente do Grupo de Protecção e Segurança de Dados do Reino Unido, afirmou: “O aumento quase sétuplo das multas pode ser notícia de primeira página, mas o acórdão Schrems II e as suas profundas implicações para as transferências de dados estabeleceu-se como o principal desafio de conformidade da protecção de dados para muitas organizações apanhadas pela GDPR”.
Segundo as conclusões do inquérito, o acórdão Schrems II não só cria um risco de multas e pedidos de indemnização, como também ameaça a interrupção do serviço caso as transferências de dados sejam suspensas com graves implicações para a continuidade do negócio.
“A ameaça de suspensão das transferências de dados é potencialmente muito mais prejudicial e dispendiosa do que a ameaça de multas e pedidos de indemnização. O enfoque nas transferências e o trabalho significativo necessário para alcançar a conformidade significa inevitavelmente que as organizações têm menos tempo, dinheiro e recursos para se concentrarem noutros riscos de privacidade”, continuou Ross McKean.
Ewa Kurowska-Tober, Co-Presidente Global do DLA Piper’s Data Protection & Security Group, afirmou: “O acórdão Schrems II deslocou efectivamente o problema e o peso de um conflito fundamental de leis dos políticos e legisladores para exportadores e importadores individuais de dados. Satisfazer os requisitos de Schrems II é um desafio mesmo para as organizações mais sofisticadas e com mais recursos e está para além dos meios de muitas pequenas e médias empresas. O que é realmente necessário é uma resolução do conflito subjacente às leis, em vez de impor um fardo de cumprimento irrealista às empresas e outro vento contrário ao comércio internacional à medida que emergimos da pandemia global”.
EM PORTUGAL, CNPD APLICA COIMA AO MUNICÍPIO DE LISBOA
Recentemente, em Portugal Comissão Nacional de Protecção de Dados aplicou uma coima no valor de 1.250.000 euros ao Município de Lisboa, relativa ao tratamento de dados pessoais dos promotores de manifestações.
Esta sanção corresponde ao conjunto de 225 coimas parcelares por violação de várias disposições do RGPD, designadamente falta de licitude, violação dos princípios da minimização e da conservação dos dados, e incumprimento das obrigações de transparência.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
