Um guia prático de Multas GDPR

As multas GDPR são frequentemente descritas com um número assustador: até 20 milhões de euros ou 4% do volume de negócios anual global. Esse número é real, mas não é assim que cada caso é avaliado.

Os reguladores consideram os factos, a infração, o comportamento da organização, os dados envolvidos e se a sanção é eficaz, proporcional e dissuasiva.

Os dois níveis finos

O artigo 83 do GDPR estabelece dois amplos níveis de multas administrativas. As infrações menos graves podem atingir até 10 milhões de euros ou 2% do volume de negócios anual mundial. As infrações mais graves podem atingir até 20 milhões de euros ou 4% do volume de negócios anual mundial, o que for maior. O texto legal completo está disponível no Artigo 83 GDPR.

As questões de nível superior incluem violações dos princípios fundamentais de processamento, dos direitos dos titulares dos dados, das regras de transferência internacional e de certas ordens das autoridades de supervisão.

O máximo é um teto, não um padrão.

Como os reguladores calculam multas

O Comité Europeu para a Proteção de Dados finalizou as Diretrizes 04/2022 sobre o cálculo de multas administrativas em 2023. As diretrizes estabelecem uma metodologia harmonizada, incluindo:

• Identificação das operações de tratamento e infrações
• Avaliando a seriedade
• Considerando o volume de negócios
• Avaliação de agravantes e atenuantes
• Garantir que o montante final seja eficaz, proporcional e dissuasivo

Fatores importantes incluem:

• Natureza, gravidade e duração da infração
• Número de pessoas afetadas
• Se a conduta foi intencional ou negligente
• Danos sofridos por particulares
• Etapas de mitigação tomadas após a descoberta
• Medidas técnicas e organizacionais
• Infrações anteriores
• Cooperação com a autoridade de supervisão
• Categorias de dados pessoais envolvidos
• Como a autoridade tomou conhecimento do problema

É por isso que duas empresas podem cometer erros semelhantes e receber penalidades diferentes.

O que faz com que as empresas sejam multadas

Os temas comuns de aplicação GDPR incluem:

• Processamento sem base legal válida
• Fraca transparência ou avisos de privacidade enganosos
• Deixar de honrar os direitos de acesso, exclusão ou objeção
• Retenção excessiva
• Controles de segurança fracos
• Publicidade ou criação de perfis ilegais
• Consentimento inválido para cookies ou rastreamento
• Transferências internacionais sem salvaguardas adequadas
• Falhas de dados infantis
• Má resposta à violação

Para os proprietários de sites, os riscos mais relevantes são muitas vezes simples: carregar cookies de publicidade antes do consentimento, enviar dados pessoais a fornecedores desnecessários, reter dados analíticos brutos por muito tempo ou não explicar claramente o rastreamento.

Multas não são o único custo

A multa é apenas uma consequência. A aplicação também pode incluir:

• Ordens para interromper o processamento
• Ordens para excluir dados
• Mudanças necessárias em sistemas ou contratos
• Auditorias e monitoramento
• Notificações do cliente
• Processos judiciais e pedidos de indemnização
• Negócios empresariais perdidos
• Danos à reputação

Para muitas empresas, uma ordem para interromper um fluxo de dados pode prejudicar mais do que a multa. O caso de transferência do Facebook em 2023 da Meta é um exemplo claro: o EDPB anunciou uma multa de 1,2 bilhão de euros e medidas corretivas relacionadas às transferências para os EUA (anúncio EDPB).

Como reduzir o risco de multa GDPR

Comece com controles que produzam evidências.

Minimize os dados pessoais

Se você não precisa de análises em nível de usuário, não as colete. Use métricas agregadas, retenção mais curta e menos identificadores. O princípio do GDPR de minimização de dados do Artigo 5 não é teórico; reduz os factos que um regulador pode criticar.

Documentar base legal

Para cada finalidade de processamento, documente a base legal. Consentimento, contrato, obrigação legal, interesses vitais, tarefa pública e interesses legítimos não são intercambiáveis. Cookies de publicidade e rastreamento entre sites geralmente exigem consentimento na Europa.

Corrigir consentimento de cookies

Não dispare tags não essenciais antes do consentimento. Ofereça opções claras de aceitação e rejeição. Evite caixas pré-marcadas e padrões escuros. Mantenha registros de consentimento sem criar rastreamento desnecessário.

Avaliar fornecedores

Mantenha um inventário de fornecedores com finalidade, categorias de dados, retenção, subprocessadores, hospedagem, mecanismos de transferência e status do contrato. Remova fornecedores que ninguém possui.

Honre os direitos rapidamente

Tenha um processo confiável para solicitações de acesso, exclusão, correção, portabilidade e objeção. Teste. Uma caixa de entrada de privacidade que ninguém monitora não é um processo.

Prepare-se para incidentes

Defina triagem de violação, revisão legal, contenção, notificação e preservação de evidências. Os incidentes de segurança tornam-se falhas de privacidade quando as organizações não conseguem explicar o que aconteceu e quais dados foram afetados.

Lista de verificação para redução de riscos finos

Use este artigo como base para multas GDPR e, em seguida, transforme-o em evidência:

• Mantenha um inventário de dados para análise, marketing, CRM, suporte e faturamento.
• Documentar a base legal e o comportamento de consentimento para cada finalidade de processamento.
• Registre funções de fornecedores, subprocessadores, regiões de hospedagem, mecanismos de transferência e retenção.
• Teste o comportamento de cookies e armazenamento em um navegador limpo, incluindo fluxos de rejeição e retirada.
• Remova eventos analíticos que incluem e-mails, IDs de conta, valores de formulário de texto livre, tokens ou URLs confidenciais.
• Mantenha os fluxos de trabalho de incidentes, solicitações de direitos e exclusão testados, e não apenas escritos.

O objetivo prático não é adivinhar uma multa. É para reduzir os factos que um regulador poderia criticar e manter provas de que as decisões de privacidade foram deliberadas.

O resultado final

As multas GDPR não são aleatórias. Os reguladores analisam a seriedade, a escala, a intenção, a mitigação, a cooperação e as evidências. A melhor maneira de reduzir o risco é coletar menos dados, explicar claramente o processamento, configurar o consentimento corretamente, controlar os fornecedores e manter registros que mostrem que as decisões de privacidade foram intencionais e não improvisadas.

As evidências são importantes durante a aplicação

Uma empresa raramente recebe crédito por boas intenções não documentadas. Mantenha registros que mostram como as decisões de privacidade foram tomadas: inventários de dados, DPIAs quando necessário, avaliações de fornecedores, capturas de tela de consentimento, auditorias de tags, configurações de retenção, registros de treinamento, simulações de violação e fluxos de trabalho de solicitação de exclusão. GDPR Artigo 83 lista os fatores que os reguladores consideram, incluindo natureza, gravidade, duração, intenção, mitigação, cooperação, categorias de dados e infrações anteriores. Esses fatores são mais fáceis de abordar quando já existem evidências.

A análise é um bom lugar para reduzir a exposição porque os dados geralmente se espalham silenciosamente. Remova tags desnecessárias de terceiros, pare de coletar URLs completos com dados pessoais, reduza a retenção, restrinja as exportações e documente por que cada evento é necessário. Se um regulador perguntar por que você usou uma configuração analítica específica, a resposta deverá ser mais do que “o padrão parecia normal”. Uma configuração que prioriza a privacidade fornece um rastro de evidências mais limpo: menos identificadores, propósitos mais claros, contratos mais simples e menos dados para explicar quando algo dá errado.