A Proteção de Dados ainda é eficiente na União Europeia (UE)? Quando o General Data Protection Regulation (GDPR), também conhecido como Regulamento Geral de Proteção de Dados, entrou em vigor, em 2018, ele prometia uma nova era de privacidade na União Europeia, com impactos ao redor do mundo. Na teoria, os cidadãos europeus ganharam mais controle sobre seus dados pessoais, enquanto as autoridades receberam poderes para investigar e aplicar multas severas em caso de descumprimento.
Mas, quase sete anos depois, a realidade parece bem diferente. Com base nas contribuições do European Data Protection Board (EDPB) para o relatório sobre a aplicação do GDPR nos termos do Artigo 97, apenas 1,3% dos casos levados às Autoridades de Proteção de Dados (DPAs) resultam em multas.
Se as multas são amplamente consideradas uma das formas mais eficazes para garantir a conformidade das empresas, será que a fiscalização está funcionando como deveria?
Aplicação rigorosa do GDPR apenas no papel
Quando o GDPR entrou em vigor, em maio de 2018, prometia uma abordagem séria para a proteção de dados pessoais. Cidadãos europeus afetados por violações de privacidade receberam ferramentas para apresentar reclamações às suas respectivas Data Protection Authorities (DPAs)1, que, por sua vez, foram dotadas de poderes para investigar violações e aplicar multas administrativas como forma de prevenção.
Infelizmente, os últimos sete anos mostraram que essa possibilidade tem sido, em grande parte, uma ilusão, já que, em média, apenas 1,3% dos casos analisados pelas DPAs resultam em multa. Essa realidade também se reflete na experiência prática: a maioria dos casos se arrasta por anos e, ao final, são resolvidos por meio de acordos ou simplesmente arquivados. Será que no Brasil teremos um cenário parecido?
Max Schrems, advogado e ativista austríaco, especializado em proteção de dados e privacidade, e que é conhecido, principalmente, por suas ações contra grandes empresas de tecnologia em relação ao GDPR e às transferências internacionais de dados pessoais, compartilha:
“As autoridades europeias de proteção de dados possuem todos os meios necessários para sancionar adequadamente as violações do GDPR e aplicar multas que desencorajariam novas infrações. No entanto, frequentemente prolongam as negociações por anos – apenas para, no final, decidirem contra os interesses dos reclamantes em muitos casos.”
Max Schrems, advogado e ativista austríaco
Nenhum exemplo realmente positivo
Embora algumas autoridades de proteção de dados pareçam impor mais multas do que outras, os números permanecem baixos, sempre em percentuais de um dígito – ou até menores.
Entre 2018 e 2023, a DPA da Eslováquia liderou as estatísticas, aplicando multas em 6,84% dos casos (considerando tanto reclamações quanto investigações iniciadas por conta própria). Ela é seguida por Bulgária (4,19%), Chipre (3,12%), Grécia (2,65%) e Croácia (2,54%).
No outro extremo, algumas das maiores economias da Europa registram números surpreendentemente baixos. A autoridade holandesa aplicou multas em apenas 0,03% dos casos, seguida de perto por França (0,10%), Polônia (0,18%), Finlândia (0,21%), Suécia (0,25%) e, claro, Irlanda (0,26%). Os demais países situam-se em algum ponto intermediário.
Um fenômeno específico da proteção de dados
Essa aparente falta de consequências sérias para violações do GDPR, parece ser um problema peculiar à proteção de dados. Vamos tomar a Espanha como exemplo: em 2022, a autoridade espanhola de proteção de dados, Agencia Española de Protección de Datos (AEPD) recebeu 15.128 reclamações, mas emitiu apenas 378 multas. Isso significa que, estatisticamente, apenas 2,5% das reclamações resultaram em uma multa. É evidente que a multa não é a única sanção, mas seguramente, é a que faz com que empresas passem a considerar a famosa Privacy by Design, não?
Isso inclui violações claras, como pedidos de acesso não respondidos ou banners de cookies ilegais, que poderiam, teoricamente, ser resolvidos de maneira rápida e padronizada. Para efeito de comparação, no mesmo ano, a Espanha emitiu 3,7 milhões de multas por excesso de velocidade (excluindo o País Basco e a Catalunha). Comparações semelhantes podem ser feitas em praticamente todos os outros Estados-Membros da UE.
“De alguma forma, apenas as autoridades de proteção de dados parecem não estar motivadas a aplicar a lei que lhes foi confiada. Em qualquer outra área, violações da legislação resultam regularmente em multas e outras sanções. No momento, as DPAs muitas vezes parecem agir mais em favor das empresas do que das pessoas afetadas.”
Max Schrems
Os dados mostram: mais multas = mais conformidade
Embora esses números não sejam surpreendentes, eles são alarmantes. Uma pesquisa do noyb com profissionais de proteção de dados confirma que multas são o principal fator que motiva as empresas a cumprirem a lei.
Quando questionados sobre as medidas de fiscalização mais eficazes:
- 67,4% dos entrevistados disseram que as decisões das DPAs contra suas próprias empresas, incluindo multas, influenciariam os tomadores de decisão a priorizar a conformidade com o GDPR.
- 61,5% afirmaram que até mesmo multas aplicadas a outras organizações impactariam a forma como suas empresas tratam a proteção de dados.
Esse padrão pode ser observado em toda a UE: entre 2018 e 2023, todas as autoridades de proteção de dados da União Europeia aplicaram multas que totalizaram € 4,29 bilhões, dos quais € 1,69 bilhões foram resultados de litígios que pararam nos tribunais.
O aumento das multas poderia fortalecer a conformidade? Deixe sua opinião! 💬👇
- DPA: em tradução livre para o português, pode ser entendida como Autoridades Nacionais de Proteção de Dados. ↩︎