Multas do GDPR Emitidas Até o Momento: Principais Conclusões

O GDPR em resumo

Já faz um ano desde que o General Data Protection Regulation (GDPR) entrou em vigor, após anos de discussão sobre a Data Security adequada para a era digital. Uma das regulamentações mais rigorosas até o momento, o GDPR aplica-se a todas as empresas ou entidades públicas que coletam, processam ou armazenam dados pessoais de residentes da UE. Isso inclui não apenas todos os empregadores na UE, mas também todas as organizações em qualquer lugar do mundo que oferecem produtos e serviços aos residentes da UE, bem como empresas que processam seus dados pessoais em nome de outras organizações. Devido ao seu alcance global, o GDPR levou a uma mudança massiva na proteção de dados pessoais, tanto dentro da UE quanto além.

O European Data Protection Board (EDPB) relata que durante o primeiro ano desde que o GDRP entrou em vigor, mais de 89.000 data breaches foram registrados e 446 casos transfronteiriços foram investigados pelas autoridades de proteção de dados. Além disso, a European Commission observa que o número de consultas e reclamações de indivíduos sobre a segurança de seus dados está aumentando, o que sugere uma crescente conscientização pública sobre os direitos de proteção de dados garantidos pelo GDPR.

Outro impacto significativo do GDPR é que ele ajuda a revelar como os dados são processados pelos gigantes da internet, plataformas de mídia social e empresas de outras indústrias — um tópico que preocupa pessoas em todo o mundo. Por exemplo, no seu relatório anual de 2018, a Comissão de Proteção de Dados Irlandesa (DPC) afirmou que iniciou investigações sobre as atividades de processamento de dados de várias empresas multinacionais de internet e tecnologia sediadas na Irlanda, incluindo Facebook, Apple, Twitter, LinkedIn, WhatsApp e Instagram.

Casos de não conformidade com o GDPR: O que aprendemos

Um EDBP report cobrindo os primeiros nove meses após a entrada em vigor do GDPR revela que reguladores de 11 países europeus impuseram mais de 56 milhões de euros em multas. A maior parte desse montante vem de uma única sanção — a multa massiva de 50 milhões de euros imposta ao Google pela autoridade francesa de proteção de dados.

Essa é a maior GDPR fine até agora, mas é difícil dizer por quanto tempo o Google manterá essa duvidosa distinção. Há investigações em andamento sobre várias violações graves de data privacy, com multas ainda a serem anunciadas. Uma delas é um vazamento de dados na British Airways, investigado pelo escritório do comissário de informações do Reino Unido (ICO). Sob o GDPR, a empresa poderia ser multada em até 4% do seu faturamento anual global, o que resultaria em uma multa de €560 milhões — uma ordem de grandeza maior que a penalidade do Google.

Também houve inúmeras aplicações envolvendo organizações menores com multas muito mais baixas. Isso sugere que as autoridades consideraram em grande parte o primeiro ano como um período de transição para alertar as empresas e apoiá-las em seu caminho para a GDPR compliance, em vez de perseguir cada infração e impor penalidades máximas.

No entanto, várias organizações já foram penalizadas com multas significativas do GDPR. Aqui estão algumas das suas histórias:

A falha em implementar controles técnicos e organizacionais apropriados

Quem: Centro Hospitalar Barreiro Montijo (um hospital português)

Quando: Julho de 2018

Quanto custa: €400.000

Violação: O hospital tinha 689 usuários associados a perfis de “médico” que concediam direitos de acesso excessivos, mesmo havendo apenas 296 médicos no hospital. Além disso, todos os médicos tinham acesso irrestrito a todos os arquivos de pacientes, independentemente da especialidade do médico. A última vez que o hospital desativou uma conta de usuário foi em novembro de 2016. O hospital também não possuía documentação explicando os direitos de acesso dos usuários, e nenhum documento definindo as regras para a criação de usuários de seu sistema de informação.

Principais conclusões: O Artigo 25 do GDPR exige que as organizações implementem medidas técnicas e organizacionais apropriadas para garantir que os dados sensíveis sejam processados corretamente e sejam acessíveis apenas às pessoas adequadas. Aqui estão os passos mais importantes a serem seguidos:

• Determine quais dados sensíveis você possui e quem tem acesso a eles. Usar uma solução de data classification ajudará você a separar os ativos mais críticos de dados menos sensíveis.
• Encontre dados regulados pelo GDPR que estão excessivamente expostos. Minimize os privilégios de conta com base nos requisitos das tarefas ou do trabalho. Realize revisões periódicas de acesso para garantir que o princípio do menor privilégio está sendo seguido.
• Certifique-se de que todos os dados regulamentados estejam armazenados em um local seguro de acordo com seu valor e sensibilidade.
• Mantenha seus controles de segurança atualizados e esteja preparado para fornecer evidências de que sua empresa está processando dados pessoais de forma segura.

Falha ao relatar uma violação de dados

Quem: UAB MisterTango (provedor de serviços de pagamento lituano)

Quando: maio de 2019

Quanto custa: €61.500

Violação: Uma das últimas notícias é sobre uma empresa que falhou em reportar uma violação de dados pessoais que aconteceu entre 9 e 10 de julho de 2018. Durante esse período de 2 dias, dados de pagamento estavam disponíveis publicamente na internet devido a medidas técnicas e organizacionais inadequadas. Os dados envolviam 12 bancos de diferentes países e 9.000 transações de pagamento. A empresa também violou o GDPR ao acessar e coletar mais dados pessoais do que o necessário para a execução dos pagamentos. A empresa também armazenou dados regulados pelo GDPR por muito mais tempo do que o necessário — 216 dias em vez de 10 minutos.

Principais conclusões: A penalidade neste caso demonstra que os reguladores do GDPR levam muito a sério a falha em notificá-los sobre uma violação de dados, especialmente quando a violação envolve informações financeiras. As organizações precisam ter todos os controles necessários em vigor para detectar, relatar e investigar violações de dados pessoais. Consulte o seu assessor jurídico sobre os Artigos 33 e 34 se você não tem certeza sobre os passos para a notificação correta de violação de dados e quando eles se aplicam.

Para garantir que você colete e retenha apenas as informações mínimas necessárias para os seus processos de negócios, você deve desenvolver uma política de retenção que indique claramente por quanto tempo manter cada tipo de dado e o que fazer com ele (como deletar ou arquivar) uma vez que não seja mais necessário ou não possa mais ser legalmente retido.

Falha em informar os indivíduos de que seus dados seriam processados

Quem: Controlador de dados não identificado na Polônia

Quando: Março de 2019

Quanto custa: €200.000

Violação: Sob o GDPR, os indivíduos têm o direito de ser informados sobre a coleta e uso dos seus dados pessoais. A organização neste caso informou adequadamente as 90.000 pessoas em sua base de clientes cujos endereços de e-mail possuía — mas não entrou em contato diretamente com os outros 6 milhões de pessoas para os quais não tinha endereços de e-mail, citando altos custos operacionais. Em vez disso, a organização optou por apresentar as informações sobre coleta e uso de dados em seu site.

Principais conclusões: Os reguladores consideraram essa abordagem insuficiente, observando que a empresa possuía outros detalhes de contato, como números de telefone e endereços físicos, que poderiam ter sido usados para contatar diretamente os clientes. Os reguladores também consideraram a infração intencional, pois a empresa estava ciente da obrigação de informar diretamente os indivíduos e não houve tentativa ou mesmo uma intenção declarada de encerrar a infração.

Esta decisão recente sugere que a leniência na aplicação do GDPR acabou. A empresa violou requisitos chave da lei no que diz respeito ao tratamento adequado de dados pessoais e foi penalizada com uma multa elevada.

A influência do GDPR nos sistemas regulatórios fora da UE

Desde que o GDPR entrou em vigor, vimos leis semelhantes sendo promulgadas ao redor do mundo. De acordo com a United Nations Conference on Trade and Development (UNCTAD), mais de 100 países agora possuem leis de proteção de dados. A nova regulamentação do Brasil até possui um nome semelhante: Lei Geral de Proteção de Dados (LGPD). Nos próximos anos, esperamos ver mais fiscalização em relação às trocas internacionais de dados.

A UE está trabalhando para introduzir o Regulamento ePrivacy, que substituirá a Diretiva ePrivacy 2002/58/EC (a “Lei dos Cookies”) e complementará o GDPR ao regular a privacidade em relação aos serviços de comunicação eletrônica, incluindo o uso de metadados e cookies.

A privacidade de dados também está sendo abordada nos EUA. Por exemplo, a California Consumer Privacy Act (CCPA), que tem muito em comum com o GDPR, entra em vigor em 1º de janeiro de 2020. Massachusetts está atualizando sua lei de violação de dados para incluir novos requisitos para empresas que coletam dados pessoais dos residentes do estado, e Oregon está trabalhando em emendas para fortalecer as leis de cibersegurança para organizações que sofrem uma violação de dados.

O que os especialistas dizem sobre o impacto do GDPR

Perguntamos a vários especialistas como o GDPR impactou os negócios e aqui está o que eles disseram:

Douglas Crawford, especialista em privacidade digital, ProPrivacy.com

Sem dúvida, a maior vantagem é que o GDPR obrigou as empresas a pensar cuidadosamente sobre o consentimento do usuário e o direito à privacidade. Na realidade, levará alguns anos para que os benefícios completos aos consumidores se tornem evidentes, mas o resultado final deve beneficiar usuários comuns da internet em todo lugar. Por ser extremamente impraticável adotar uma abordagem de dois (ou mais) níveis para a privacidade do usuário, as empresas foram forçadas a estender os benefícios de privacidade do GDPR a todos os seus clientes, independentemente de viverem ou não na UE.

Embora o primeiro ano tenha sido apelidado de “ano de transição”, o GDPR até agora alcançou um sucesso notável no que diz respeito à notificação de violações de dados. Dentro da UE, tais relatórios quase dobraram nos primeiros oito meses desde que o GDPR foi introduzido. Isso provavelmente vai pressionar o governo dos EUA a instituir leis semelhantes em nível federal, em vez de depender de um emaranhado ineficiente de legislação estadual que resulta em baixos níveis de violações de dados auto-relatadas.

É provável que os reguladores europeus adotem uma abordagem mais rigorosa na aplicação do GDPR nos próximos anos. Faz sentido começar arrumando o próprio quintal, mas uma vez feito isso, é quase certo que os reguladores voltarão sua atenção mais plenamente para as empresas internacionais que fazem negócios na Europa.

Monica Eaton-Cardone, co-fundadora e COO, Chargebacks911

Como empreendedor global, notei que muitas empresas contrataram advogados para ajudar com seus dados. Quando o GDPR entrou em vigor, as pessoas se tornaram mais conscientes da importância de proteger seus dados.

Embora o GDPR tenha ajudado algumas empresas a crescer, houve milhares de reclamações em relação à falta de transparência adequada, o que não foi uma surpresa. Afinal, na época em que o GDPR entrou em vigor, poucos comerciantes tinham a infraestrutura necessária para analisar dados com tanto detalhe quanto o GDPR exige, e poucos têm até agora.

A comunicação entre os titulares dos dados pode mudar ao longo do tempo para ajudar a garantir nossa privacidade nos próximos anos. No entanto, ainda está por se ver como isso afetará a fraude a longo prazo, já que podemos ter acesso cada vez mais limitado aos dados do consumidor.

Simon Fogg, especialista em privacidade de dados e analista jurídico, Termly.io

As empresas dos EUA estão agora consideravelmente mais cautelosas ao direcionar clientes na UE. Mesmo que o GDPR tenha entrado em vigor há mais de um ano, mais de 1.000 principais publicações dos EUA ainda estão indisponíveis para usuários da UE — seja porque essas publicações nunca finalizaram seus esforços de conformidade ou porque sentiram que sua base de clientes europeus não era grande o suficiente para justificar as mudanças necessárias (e custosas). As empresas dos EUA costumavam lançar uma ampla rede em suas práticas de coleta de dados, mas o GDPR obrigou muitas a navegar os limites de dados com maior vigilância.

Devemos esperar que o número de multas aplicadas por não conformidade com o GDPR dispare. Embora até agora tenham sido emitidas poucas penalidades notáveis, os reguladores ainda estão lidando com um grande acúmulo de violações de dados. Uma vez que eles se atualizarem, começarão a exercer sua autoridade com maior força, e é provável que as empresas nos EUA estejam entre as atingidas.

Sweeney Williams, vice-presidente de segurança, privacidade & conformidade, Vision Critical

Antes do GDPR, empresas dos EUA sem presença física na Europa podiam operar com pouco ou nenhum respeito aos requisitos de privacidade da UE, uma vez que o alcance da aplicação era limitado e as multas potenciais eram baixas. O GDPR obrigou as empresas dos EUA não apenas a notar os requisitos da UE, mas também a atuar ativamente e fazer cumprir esses requisitos em suas próprias operações, muitas vezes com grandes despesas. Milhares de empresas contrataram oficiais de proteção de dados, criaram mapas complexos de fluxo de dados, implementaram processos de acesso dos titulares dos dados em dezenas de aplicações desconectadas e fizeram atualizações significativas em suas operações de segurança de dados e privacidade. Por outro lado, várias empresas com sede nos EUA optaram por encerrar operações que estavam localizadas na UE ou que forneciam produtos e serviços para a UE, acreditando que o custo da perda de receita seria menor do que o custo de conformidade e multas potenciais. Algumas até foram tão longe a ponto de bloquear IPs europeus de se conectarem aos seus sites.

O impacto mais significativo e benéfico do GDPR, tanto dentro quanto fora dos EUA, tem sido sua influência no público, devido aos fortes direitos de acesso do titular dos dados e transparência que apresenta. Embora os conceitos subjacentes contidos no GDPR não sejam novos, a consciência sobre os direitos de privacidade de dados disparou como resultado da quantidade sem precedentes de imprensa que a regulamentação gerou desde sua introdução. Indivíduos agora esperam receber o mesmo nível de transparência, acesso a dados e direitos de controle como aqueles contidos no GDPR, e reguladores ao redor do mundo estão enfrentando uma pressão significativa de seus constituintes para promulgar legislações de privacidade de dados semelhantes ao GDPR em seus próprios países. Nos EUA especificamente, a taxa de novas propostas de regulamentações de privacidade de dados está em um nível recorde e provavelmente culminará na criação da primeira lei federal de privacidade dos EUA, o que alguns consideravam impossível há apenas alguns anos.

Aki Estrella, consultor de privacidade, Stellae Legal and Risk Advisors

Na maioria das vezes, o GDPR mudou a forma como as empresas lidam com informações e o modo como planejam seu uso. Segregar informações, enviar notificações e treinar funcionários/departamentos para responder a solicitações de cidadãos da UE têm sido os impactos mais comuns; no entanto, como vimos, algumas empresas ainda não acertaram em cheio e estão lidando com as multas exorbitantes associadas ao GDPR. Eu não vejo nenhuma redução na escala de empresas que usam dados ou vendem para a UE (ou o Reino Unido, que aprovou sua própria regulamentação de dados quase idêntica).

FAQ

O que é o GDPR em segurança cibernética?

O GDPR (General Data Protection Regulation) em cibersegurança representa um quadro abrangente que exige medidas técnicas e organizacionais específicas para proteger dados pessoais contra ameaças cibernéticas e acesso não autorizado. Do ponto de vista da cibersegurança, o GDPR exige que as organizações implementem a proteção de dados por concepção e por padrão, o que significa que os controles de segurança devem ser integrados aos sistemas desde o início, em vez de serem adicionados posteriormente. Os requisitos-chave de cibersegurança incluem a criptografia de dados pessoais em trânsito e em repouso, controles de acesso robustos que limitam o acesso aos dados apenas ao pessoal autorizado, avaliações de segurança regulares e testes de penetração, e procedimentos de resposta a incidentes que permitem a notificação de violação dentro de 72 horas. O GDPR também exige técnicas de pseudonimização, procedimentos seguros de backup e recuperação de dados, e trilhas de auditoria abrangentes que rastreiam quem acessou quais dados e quando. Para gestão de identidade e acesso, o GDPR exige que as organizações implementem mecanismos de autenticação robustos, revisões regulares de acesso e provisionamento e desprovisionamento automatizados para prevenir o acesso não autorizado aos dados. O princípio da 'privacidade por concepção' do regulamento significa que a cibersegurança não é apenas sobre conformidade – é sobre construir sistemas resilientes que protegem os dados pessoais como um requisito fundamental de design.

A quem se aplica o GDPR?

O GDPR aplica-se a qualquer organização que processe dados pessoais de residentes da UE, independentemente de onde a organização esteja fisicamente localizada – isso significa que empresas dos EUA, negócios asiáticos e organizações em todo o mundo podem estar sob a jurisdição do GDPR. O regulamento abrange dois tipos de entidades: controladores de dados (que determinam os propósitos e meios de processamento de dados pessoais) e processadores de dados (que processam dados em nome dos controladores). Sua organização está sujeita ao GDPR se oferecer bens ou serviços a residentes da UE, monitorar o comportamento de residentes da UE online ou manusear dados de funcionários da UE em empresas multinacionais. Mesmo que seu negócio não tenha presença física na UE, atividades como veicular anúncios direcionados a usuários da UE, processar pedidos de clientes da UE ou rastrear visitantes de sites da UE por meio de cookies podem acionar obrigações do GDPR. O fator chave é o processamento de dados pessoais – qualquer informação que possa identificar um residente da UE, incluindo nomes, endereços de e-mail, endereços IP, dados de localização ou identificadores online. Pequenas empresas não estão isentas se atenderem a esses critérios, embora algumas atividades de processamento possam se qualificar para isenções. Para profissionais de Identity Management, isso significa que qualquer sistema que armazene dados pessoais da UE requer controles de acesso compatíveis com o GDPR, trilhas de auditoria e capacidades de direitos dos titulares dos dados, independentemente da localização geográfica de sua organização.

O que é conformidade com o GDPR?

A conformidade com o GDPR significa implementar medidas abrangentes de proteção de dados que atendam a todos os requisitos do Regulamento Geral sobre a Proteção de Dados, indo muito além de simples políticas de privacidade para abranger salvaguardas técnicas, procedimentos organizacionais e proteção dos direitos individuais. A verdadeira conformidade exige uma abordagem multinível, incluindo a determinação da base legal para todas as atividades de processamento de dados, avaliações de impacto na proteção de dados para processamentos de alto risco, nomeação de Encarregados de Proteção de Dados onde necessário e implementação dos direitos dos titulares dos dados, incluindo acesso, retificação, exclusão e portabilidade. As medidas de conformidade técnica incluem criptografia, pseudonimização, controles de acesso, registro de auditoria e práticas de minimização de dados que garantem a coleta e retenção apenas dos dados pessoais necessários para fins especificados. A conformidade organizacional envolve treinamento de pessoal, desenvolvimento de políticas, gestão de fornecedores e procedimentos de resposta a violações que podem atender ao requisito de notificação de 72 horas. Do ponto de vista da gestão de identidade, a conformidade com o GDPR significa implementar controles de acesso baseados em funções, revisões regulares de acesso, gestão automatizada do ciclo de vida do usuário e trilhas de auditoria abrangentes que podem demonstrar conformidade durante investigações regulatórias. A conformidade não é uma conquista única, mas um processo contínuo que exige avaliações regulares, atualizações de políticas e monitoramento contínuo para manter os padrões de proteção à medida que seu negócio e o cenário regulatório evoluem.

Como realizar uma auditoria de conformidade com o GDPR?

Uma auditoria de conformidade com o GDPR requer uma avaliação sistemática das suas atividades de processamento de dados, salvaguardas técnicas e procedimentos organizacionais para identificar lacunas e garantir o alinhamento regulatório. Comece com o mapeamento de dados para criar um inventário abrangente dos dados pessoais que a sua organização coleta, processa, armazena e compartilha. Isso inclui identificar as fontes de dados, finalidades de processamento, bases legais, períodos de retenção e acordos de compartilhamento com terceiros. Avalie controles técnicos incluindo sistemas de gestão de acesso, implementações de criptografia, procedimentos de backup e capacidades de monitoramento de segurança para garantir que eles atendam ao requisito de “medidas técnicas apropriadas” do GDPR. Revise medidas organizacionais incluindo programas de treinamento de pessoal, políticas de proteção de dados, acordos com fornecedores e procedimentos de resposta a incidentes para verificar se eles apoiam as obrigações do GDPR. Avalie a implementação dos direitos dos titulares dos dados testando sua capacidade de responder a pedidos de acesso, exigências de retificação e requisitos de apagamento dentro dos prazos estipulados. Examine as práticas de documentação para garantir que você possa demonstrar conformidade por meio de registros de atividades de processamento, avaliações de impacto na proteção de dados e registros de incidentes de violação. Para sistemas de Identity Management, audite controles de acesso de usuários, Privileged Access Management, processos de revisão de acesso e integridade do registro de auditoria para garantir que você possa rastrear quem acessou quais dados pessoais e quando. Documente todas as descobertas com prioridades claras de remediação, cronogramas de implementação e atribuições de responsabilidade. Auditorias regulares devem ocorrer pelo menos anualmente ou após mudanças significativas no sistema, com monitoramento contínuo para atividades de processamento de dados de alto risco.

Lista de verificação para implementação do GDPR em Identity Management?

A implementação do GDPR para Identity Management requer a implantação sistemática de controles de acesso, capacidades de auditoria e suporte aos direitos dos titulares dos dados que protegem os dados pessoais ao longo de seu ciclo de vida. Comece com a implementação do quadro de controle de acesso: estabeleça controles de acesso baseados em funções que reforcem os princípios de menor privilégio, implemente mecanismos de autenticação robustos incluindo autenticação multifatorial para acesso a dados sensíveis e implante provisionamento e desprovisionamento automatizados para garantir mudanças de acesso oportunas quando os funcionários ingressam, mudam ou saem. Implemente um registro de auditoria abrangente que capture quem acessou quais dados pessoais e quando, com armazenamento de logs à prova de adulteração e análise regular de logs para detectar tentativas de acesso não autorizado. Implante ferramentas de descoberta e classificação de dados para identificar onde os dados pessoais residem em seu ambiente, depois implemente controles de acesso que restrinjam o acesso a dados pessoais apenas a funções autorizadas. Estabeleça capacidades de cumprimento dos direitos dos titulares dos dados, incluindo busca e recuperação automatizadas para solicitações de acesso, procedimentos seguros de modificação de dados para solicitações de retificação e processos confiáveis de exclusão de dados para solicitações de apagamento. Configure políticas de retenção de dados que automaticamente purguem dados pessoais quando os períodos de retenção legal expirarem, com tratamento de exceções para requisitos de retenção legal. Implemente técnicas de preservação da privacidade, incluindo pseudonimização para ambientes de desenvolvimento e teste, criptografia para dados pessoais em repouso e em trânsito e controles de minimização de dados que previnam a coleta excessiva de dados pessoais. Crie procedimentos de resposta a incidentes especificamente para violações de dados relacionadas à identidade, incluindo contenção rápida, avaliação de impacto e capacidades de notificação regulatória. Documente todos os procedimentos de Identity Management, conduza revisões regulares de acesso e estabeleça monitoramento contínuo para garantir a conformidade sustentada com o GDPR à medida que sua infraestrutura de identidade evolui.