Multas por violações ao GDPR em 2020 ultrapassaram 200 milhões de dólares. Confira lista das mais significativas

O GDPR, que exige que empresas protejam os dados pessoais e a privacidade dos cidadãos da União Europeia, desde que entrou em vigor, em maio de 2018, tornou de suas multas parte da rotina de negócios dos países da UE. O valor total aplicado às empresas é expressivo: as sanções totalizam mais de € 250 milhões (cerca de U$ 300 milhões) desde a entrada em vigor da lei. Somente no ano de 2020, esse montante chegou a U$200 milhões.

Segundo o site Coreview, que realizou uma varredura detalhada de todas as sanções aplicadas por órgãos reguladores superiores a 100 mil euros, a lista de empresas infratoras é extensa: mais de 36 companhias foram autuadas por violações  de proteção de dados neste período. O LGPD News traz a lista das principais multas que marcaram, de alguma forma, o cenário de proteção de dados no ano de 2020.  Confira: 

Janeiro de 2020 Itália – TIM SpA – €27.802.946

A Autoridade Italiana de Proteção de Dados (Garante) multou a TIM, uma operadora de rede telefônica, por uma série de ações ilegais associadas a campanhas de marketing e publicidade que afetaram milhões de pessoas. Isso incluía ligações promocionais não solicitadas, inscrição de pessoas em competições de prêmios sem o seu consentimento, bem como ignorar os pedidos de exclusão de número de titulares da lista telefônica. A TIM carecia de políticas, sistemas e gerenciamento para conduzir as operações de maneira adequada, violando gravemente requisitos do GDPR.

Março de 2020, Holanda – Associação Real Holandesa de Tênis – €525.000

A Autoridade Holandesa de Proteção de Dados multou a associação de tênis por vender os dados pessoais de mais de 350.000 membros da associação a patrocinadores. Esses patrocinadores então contataram alguns dos membros por correio e telefone para fins de marketing. O Órgão de Fiscalização rejeitou o argumento da associação de ténis de que tinha um interesse comercial legítimo em vender as informações.

Junho de 2020, Alemanha – AOK Baden-Württemberg – €1.240.000

Uma multa de € 1.240.000 foi imposta a maior seguradora de saúde no sudoeste da Alemanha, AOK Baden-Württemberg, pela Autoridade de Proteção de Dados (DPA) de Baden-Württemberg. A multa aplicada por violação ao artigo 32 do Regulamento Geral de Proteção de Dados (GDPR). A DPA afirmou que a AOK enviou mensagens de marketing a 500 pessoas sem consentimento.

A AOK Baden-Württemberg é uma parte importante do sistema de saúde alemão e a maior seguradora de saúde no sudoeste da Alemanha, com mais de 4,5 milhões de segurados e cerca de 230.000 clientes corporativos. Este foi definitivamente um fator que influenciou a decisão dos DPAs de emitir uma multa de tal magnitude. Na definição do montante aplicado, levou-se em consideração a dimensão da empresa, bem como a importância do serviço que a mesma presta aos cidadãos alemães. Os desafios atuais para o AOK devido à atual pandemia do corona vírus também receberam consideração especial.

Julho de 2020, Itália – Wind Tre – €16.729.600

Uma multa de mais de 16,7 milhões de euros foi imposta à Wind Tre, uma empresa operadora de telecomunicações móveis, pela Italian Garante (Autoridade de Proteção de Dados). As violações incluem várias atividades ilegais de processamento de dados relacionadas com práticas de marketing direto. Em particular, a Garante destacou que centenas de titulares alegaram ter recebido comunicações não solicitadas, enviadas sem seu consentimento prévio via SMS, e-mail, chamadas telefônicas e chamadas automatizadas. Além disso, a autoridade destacou que os reclamantes individuais argumentaram que não puderam exercer o direito de retirar o consentimento e se opor ao processamento para fins de marketing direto, uma vez que as informações contidas na política de privacidade estavam incompletas em relação aos meios de contato usava.

Na decisão ainda constavam fatos alarmantes de tratamento inadequado de dados pessoais, como a publicação de números de titulares em listas públicas telefônicas, deficiência na gestão de sócios terceirizados onde aditamentos de contratos eram feitos de forma ilegal, bem como deficiência nos aplicativos da Wind Tre referente ao privacy by design, onde foi configurado de forma que o consentimento de usuários fosse obrigatório para uma série de processamento de dados, deixando a opção de revogação apenas 24 horas após o acesso.

Como resultado, a autoridade concluiu que a conduta do Wind Tre constituía violação aos artigos 5 (1) e (2), 6 (1a), 12, 24 e 25 do GDPR.

Outubro de 2020, Reino Unido – Marriott – €20.394.000

Após adquirir seu concorrente Starwood, a rede Marriott teve conhecimento de que o banco de dados central de reservas da nova adquirida havia sido hackeado. Isso incluía mais de 5 milhões de senhas não criptografadas e 8 milhões de registros de  números de cartões de crédito comprometidos. A violação afetou 30 milhões de residentes da UE. (O ICO propôs uma multa de € 123.000.000 / £ 99.000.000 em julho de 2019, mas um valor muito menor foi finalizado em outubro de 2020. Os totais anuais e históricos acima foram ajustados em conformidade.) Detalhes sobre o caso nesta matéria .

Reino Unido , British Airways – €22.036.306

Como resultado de um ataque ao site da British Airways, cerca de 500.000 registros de clientes foram extraídos por um terceiro má intencionado. A agência de proteção de dados do Reino Unido, o ICO, afirma que o site da BA foi comprometido devido a acordos de segurança cibernética deficientes. O ICO propôs uma multa de £ 183.000.000 em julho de 2019, mas um valor muito menor foi finalizado em outubro de 2020. Novamente, a atual crise econômica que o setor enfrenta devido ao corona vírus influenciou no montante final aplicado. Ainda sim, é ainda uma das multas mais significativas já imposta pelo regulador do Reino Unido até o momento, e foi suficientemente alta para alarmar empresas do setor que até então não aplicaram todos os métodos razoáveis de proteção de dados à seus clientes e colaboradores.

Alemanha , H&M Hennes & Mauritz – €35.258.708

O representante de Hamburgo de proteção de dados e liberdade de informação (HmbBfDI) aplicou uma multa de € 35.258.707,95 a uma subsidiária alemã da varejista de moda sueca H&M Hennes & Mauritz AB. A autoridade fiscalizadora teve conhecimento que a empresa vinha coletando detalhes desde 2014 sobre as ausências dos funcionários por férias e doenças, registrando esses detalhes e discutindo-os entre os gerentes em relação à situação dos funcionários na empresa. A descoberta só foi possível devido a uma exposição dos mesmos que ficaram  brevemente acessíveis em toda a empresa em 2019. O HmbBfDI determinou que “a combinação da pesquisa sobre a vida privada e o registro contínuo das atividades em que estavam envolvidos levou a uma interferência particularmente intensa nos direitos daqueles afetados. ” A empresa cooperou com o HmbBfDl, pediu desculpas aos funcionários e se ofereceu para compensar os titulares afetados pelo tratamento inadequado realizado de seus dados pessoais.

France ,Carrefour Banque – €3.000.000

A CNIL (Autoridade Francesa de Proteção de Dados) impôs uma multa de € 2.250.000 ao Carrefour France e uma multa de € 800.000 ao Carrefour Banque por violar o GDPR e o artigo 82 da Lei Francesa de Proteção de Dados. O Carrefour Banque não cumpriu a obrigação de processar os dados pessoais da forma adequada, a obrigação de fornecer avisos de uma forma acessível, usando uma linguagem clara e simples e de forma abrangente, tampouco cumpriu os requisitos para cookies do navegador da web da empresa. Os detalhes do caso estão disponíveis nesta matéria.

Novembro de 2020, Reino Unido, Ticketmaster – €1.373.000

O ICO (Autoridade de proteção de dados do Reino Unido) constatou que a empresa Ticketmaster falhou na proteção de dados de seus clientes ao não adotar medidas de segurança adequada para evitar ataques cibernéticos, o que ocorreu em uma plataforma de bate papo de seu site web. A violação de dados, que incluiu nomes e números de cartões de crédito completos, afetou quase 9 milhões de clientes em toda a Europa, sendo 1,5 milhão de titulares no Reino Unido.

Fontes: https://www.coreview.com/blog/alpin-gdpr-fines-list/ | https://www.enforcementtracker.com/