O que aconteceu desde a introdução do GDPR?

No ^{dia 25} de maio de 2018, quase dez meses atrás, o regulamento europeu Geral de Protecção de Dados entrou em vigor. Após o enorme entusiasmo causado pela introdução, você pode se perguntar se o novo regulamento surtiu algum efeito. Na verdade, muita coisa aconteceu, multas e advertências foram impostas e muitos processos foram ajuizados.

Para lhe dar uma visão geral de onde os problemas de proteção de dados estão sendo violados, coletamos multas, advertências e ações judiciais pendentes com base no GDPR.

Multas impostas com base no GDPR

Caso 1: roubo de dados do usuário - Alemanha

A plataforma de bate-papo “Knuddels” foi hackeada e senhas, pseudônimos e endereços de e-mail foram roubados, pois essas informações foram armazenadas sem criptografia. O armazenamento não criptografado de dados é uma proteção insuficiente dos dados pessoais. Isso viola o princípio de privacidade por padrão e a privacidade por design exigida pelo GDPR.

A multa aplicada neste caso ascende a 20.000 euros.
Fonte: Roubo de dados do usuário - Alemanha (alemão)

Caso 2: Publicação de dados de saúde - Alemanha

Provavelmente devido a um erro não intencional, os dados pessoais de saúde tornaram-se acessíveis online. (Nenhum detalhe adicional foi divulgado neste caso.) Neste caso, também, o princípio de privacidade por padrão e privacidade desde o projeto foi violado porque medidas de proteção inadequadas foram tomadas.

A multa aqui foi de 80.000 euros.
Fonte: Publicação de dados de saúde - Alemão ( Alemão )

Caso 3: aprovação do usuário incorreta / ausente do Google - França

A multa mais alta até agora foi imposta ao Google. Este processo foi aberto no dia em que o GDPR entrou em vigor. No caso, a multa foi baseada na violação do dever de informação e transparência e na falta de base legal para a utilização da publicidade personalizada.

Neste caso, a multa aplicada ascende a 50 milhões de euros.
Quelle: falta de aprovação do usuário pelo Google
Comunicação oficial da CNIL (Autoridade Francesa de Proteção de Dados)

No total, 41 multas com valores que variam de 15.000 a 100.000 euros foram aplicadas na Alemanha desde a entrada em vigor do GDPR. As multas foram justificadas por uma série de fatores:

• medidas técnicas e organizacionais inadequadas foram tomadas por um hotel que não pode descartar a possibilidade de que os dados do cartão de crédito ou outros dados do cliente de seu sistema de reserva possam ter sido divulgados no caso de um ataque de hacker extorsivo,
• a publicação de dados de saúde na Internet devido a mecanismos de controle interno inadequados,
• erro humano: divulgação de dados de saúde ao paciente errado por um hospital,
• gravação de todas as chamadas feitas e recebidas para um corpo de bombeiros do Estado de Bremen,
• divulgação de extratos de conta para pessoas não autorizadas usando serviços bancários online,
• e-mails de publicidade inaceitáveis ,
• cópia não autorizada de dados do cliente durante um ataque de hacker em uma loja na web,
• uso não autorizado do Dashcam ,
• uma lista de distribuição de e-mail aberta ,
• vigilância por vídeo não autorizada de clientes e funcionários.

Na Europa, um total de 91 multas foram aplicadas desde que o GDPR entrou em vigor.

Advertências e julgamentos desde a entrada em vigor do GDPR

Caso 1: site sem criptografia

O tribunal distrital de Wurzburg proibiu um advogado de usar seu site sem criptografia e sem uma declaração de proteção de dados suficiente sob a ameaça de uma multa de 250.000 euros.
Fonte: Site sem criptografia (alemão)

Caso 2: usando o público personalizado do Facebook

O Escritório do Estado da Baviera para Proteção de Dados proibiu uma loja online de usar o “Facebook Custom Audience”. O veredicto foi confirmado pelo “Verwaltungsgericht” e pelo “Verwaltungsgerichtshof”. O motivo aqui apresentado foi a utilização de dados pessoais sem o consentimento dos visitantes.

Fonte: Uso do público personalizado do Facebook (alemão)

Processos pendentes devido ao GDPR

• Instagram (Bélgica): Motivo: Informação insuficiente e consentimento forçado, ausente ou insuficiente.
• WhatsApp (Hamburgo): Motivo: Informação insuficiente e consentimento forçado, ausente ou insuficiente.
• Facebook (Áustria): Motivo: Informações insuficientes e consentimento forçado, ausente ou insuficiente.
• Áustria: O Banco austríaco cobra EUR 30 para recuperar os dados pessoais armazenados de um cliente para esse cliente. O tribunal decidiu a favor da autora, após o que o banco apelou da decisão para um tribunal superior, o Tribunal Administrativo Federal. O motivo da decisão do tribunal aqui foi a recusa em conceder o direito de divulgação gratuita dos dados pessoais armazenados.
• Tribunal de Justiça Europeu: Ação contra o uso do Privacy Shield EUA-UE (exemplo Facebook), uma vez que as transferências para os EUA podem ser interceptadas pela NSA de acordo com a legislação dos EUA.
• Reino Unido e Irlanda: Google e IAB foram processados ​​por Real Time Bidding (RTB) em anúncios. De acordo com o reclamante, os sistemas RTB compartilham centenas de bilhões de pontos de dados pessoais todos os dias com outros sistemas sem o consentimento do usuário. Até mesmo dados sensíveis como “abuso, incesto ou estado de HIV” são compartilhados. De acordo com o reclamante, o IAB sabia de antemão que seu sistema não era compatível com o GDPR. O Google, por outro lado, tenta passar a obrigação aos sites que exibem os anúncios para obter o consentimento do usuário.

Fontes:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/?europe=true

Desde que o GDPR entrou em vigor, mais de 59.000 vazamentos de dados foram relatados às autoridades europeias de proteção de dados. Os países com o maior número de vazamentos de dados relatados são a Holanda com 15.400 vazamentos de dados, a Alemanha com 12.600 e a Grã-Bretanha com 10.600. Chipre com 35 relatórios, Islândia com 25 e Liechtenstein com 15 são os países com menos vazamentos de dados.

O Escritório do Estado da Baviera para Supervisão de Proteção de Dados (BayLDA) verificou 40 sites de empresas de alto alcance para verificar se eles estão em conformidade com o GDPR em relação ao consentimento e à documentação do usuário . Nenhum dos 40 sites da empresa implementou corretamente um processo de obtenção do consentimento do usuário e das informações corretas do usuário. Também aqui existe a ameaça de processos judiciais e advertências.

Como você pode ver, muitas coisas aconteceram no campo da proteção de dados nos últimos dez meses. O novo regulamento de proteção de dados fornece uma base jurídica importante para os usuários protegerem seus dados pessoais. As empresas são, portanto, solicitadas e bem aconselhadas a cumprir os novos requisitos de proteção de dados .

Lembre-se de que o GDPR e os novos requisitos também se aplicam a empresas suíças que fornecem seus serviços e produtos a cidadãos da UE.