+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Especialistas europeus afirmam que as Autoridades de Proteção de Dados (DPAs) encontrariam ‘violações relevantes’ na maioria das empresas

Conformidade, Proteção e Privacidade de Dados

GDPR, DPAs, and DPOs

Será que aqui no Brasil esta realidade é diferente?  Quando o General Data Protection Regulation (GDPR) entrou em vigor em 2018, a nova e reluzente lei de proteção de dados foi saudada como uma mudança em direção a uma aplicação mais rigorosa, garantindo que, na União Europeia, o direito fundamental à proteção de dados não existisse apenas no papel.

Este artigo sintetiza pesquisa realizada pela noyb – European Center for Digital Rights com mais de mil profissionais de proteção de dados que trabalham em empresas europeias. Isso proporcionou uma visão única de dentro para fora:

  • 70% dos entrevistados acreditam que as autoridades precisam emitir decisões claras e fazer valer o GDPR para garantir conformidade;
  • 74% afirmam que as autoridades encontrariam ‘violações relevantes’ se fiscalizassem empresa convencionais.

Na tentativa de avançar para uma “aplicação baseada em evidências”, essa pesquisa também mostra que as autoridades precisariam mudar fundamentalmente sua abordagem para a aplicação a fim de fazer com que as empresas cumpram.

A aplicação rigorosa não foi cumprida conforme previsto. Quando entrou em vigor em maio de 2018, o GDPR prometia uma mudança da abordagem à época, de “suave” para “severa”. Para alcançar esse objetivo, a política da União Europeia concedeu às autoridades, Data Protection Authorities (DPAs) poderes investigativos significativos e a opção de impor multas elevadas. A fim de elucidar o entendimento, aqui no Brasil, contamos com a Autoridade Nacional de Proteção de Dados (ANPD).

“É extremamente alarmante quando 74% dos profissionais de proteção de dados internos de uma empresa afirmam que as autoridades encontrariam violações significativas em uma empresa média. Tais números seriam inimagináveis se estivéssemos lidando com conformidade com a legislação tributária ou regulamentos de segurança contra incêndios. A não conformidade parece ser a norma apenas quando se trata dos dados pessoais dos usuários.”

Max Schrems, Presidente Honorário da noyb

Para obter o máximo de elementos possível sobre a aplicação prática do GDPR, a pesquisa da noyb incluiu 65 perguntas abrangendo uma variedade de tópicos na área de conformidade e aplicação do GDPR. Isso permitiu obter dados confiáveis e objetivos sobre as dinâmicas internas que impedem os Encarregados pelo Tratamento de Dados Pessoais, na Europa, conhecidos como Data Protection Officers (DPOs) de implementarem medidas para fortalecer a conformidade com o GDPR, bem como fatores externos que poderiam impulsionar as empresas em direção a uma maior conformidade no futuro. Tais dados parecem ser cruciais para focar os esforços de aplicação e conformidade em estratégias que realmente funcionem e apoiem o trabalho dos DPOs.

Em conflito com os departamentos de marketing e a administração. As empresas frequentemente operam em um espaço conflitante entre a busca pelo lucro, os custos para tornar seus sistemas conformes ao GDPR e a obrigação de cumprir a lei. A pesquisa da noyb mostra claramente que os DPOs estão sob pressão para limitar a conformidade com o GDPR em prol dos interesses comerciais:

  • 46% dos entrevistados disseram que as equipes de vendas e marketing estavam pressionando ativamente para limitar a conformidade;
  • 32% sentiam pressão por parte da alta administração.

Não surpreendentemente, convencer essas partes interessadas a fazer as mudanças necessárias para melhorar a conformidade também está se mostrando bastante difícil. Chocantes 56% dos entrevistados disseram que era difícil convencer o departamento de marketing, enquanto 38,5% tiveram problemas com a alta administração. 51% também afirmaram que é difícil convencer fornecedores de fora da UE/EEE a fornecer produtos em conformidade para clientes comerciais da UE.

“Os DPOs deveriam ser independentes e garantir a conformidade de dentro da empresa. Na realidade, muitos deles relatam pressões de várias partes para priorizar os interesses comerciais.”

Max Schrems, Presidente Honorário da noyb

Aplicação baseada em evidências: multas e danos à reputação. De acordo com os resultados da pesquisa, uma empresa tem mais probabilidade de melhorar sua conformidade quando ela – ou até mesmo outras empresas de seus setores – enfrentam multas significativas. 67,4% dos entrevistados afirmaram que decisões da DPA contra sua própria empresa que incluem uma multa influenciarão os tomadores de decisão a optar por maior conformidade. Curiosamente, 61,5% dos entrevistados disseram que até mesmo multas da DPA contra outras organizações influenciariam a conformidade com o GDPR em sua própria empresa. Esse efeito (“dissuasão”) é bem conhecido e estudado. A próxima melhor ferramenta parece ser a publicação de decisões. 52% afirmaram que a perda de reputação de outra empresa já tem um efeito positivo na conformidade de sua própria empresa.

As orientações do European Data Protection Board (EDPB). Embora as autoridades invistam esforços consideráveis, tempo e recursos na elaboração de diretrizes para as empresas, estas parecem ser amplamente ignoradas pelos negócios. 46% dos entrevistados afirmaram que as diretrizes da EDPB não são influentes, enquanto apenas 23% as consideraram um tanto influentes. Da mesma forma, os insiders classificam as reclamações diretas com as empresas como não muito influentes. Isso contrasta com as reclamações para as DPAs.

A visão dos insiders ainda é mais positiva do que a experiência dos usuários. Embora a visão dos insiders já seja alarmante, ainda é mais otimista do que a experiência média dos titulares de dados. Por exemplo, quando a noyb exerceu o direito de acesso aos dados pessoais, mais de 90% das solicitações não foram totalmente respondidas no prazo. A maioria das solicitações simplesmente é ignorada. Em comparação, 59% dos entrevistados acreditam que a maioria das empresas cumpriria as “regras principais” do GDPR. A experiência prática sugere que a visão dos outsiders pode ser ainda pior do que a visão dos insiders.

A única saída: “aplicação baseada em evidências”. Se os entrevistados estiverem corretos, a única solução realista para os problemas aboradados é clara: uma aplicação mais rigorosa e decisões das DPAs e dos tribunais mais claras que forcem as empresas a adequarem seus tratamentos dados pessoais com base nas melhores práticas rumo à conformidade plena. Os resultados também mostram a urgente necessidade de reunir mais evidências objetivas para garantir que as autoridades possam se envolver em um trabalho eficaz de aplicação dadas as limitações de recursos.

Será que no Brasil a nossa realidade é diferente? Comente. Gostou do conteúdo, curta e compartilhe.

Referências:

EUROPEAN COMMISSION. What are Data Protection Authorities (DPAs)? https://commission.europa.eu/law/law-topic/data-protection/reform/what-are-data-protection-authorities-dpas_en. Acesso em: 4 fev. 2024.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 4 fev. 2024.

NOYB. GDPR: a culture of non-compliance? Numbers of evidence-based enforcement efforts. Disponível em: https://noyb.eu/sites/default/files/2024-01/GDPR_a%20culture%20of%20non-compliance_2.pdf. Acesso em: 4 fev. 2024.

UNIÃO EUROPEIA. Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:02016R0679-20160504&from=EN. Acesso em: 4 fev. 2024.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Open chat
Olá 👋
Como podemos te ajudar?