Como tem sido o comportamento das autoridades na União Europeia?
Há mais de 3 anos em vigor, o Regulamento Geral de Proteção de Dados (GDPR) fundamentou mais de 900 sanções administrativas e multas no continente europeu. Mas foi mais recentemente, em especial no ano de 2021, que a aplicação destas penalidades passou a chamar mais a atenção, não só em razão do aumento da quantidade de imposições, como também pelo próprio valor aplicado. Só no terceiro trimestre de 2021, o total de penalidades aplicadas representa quase € 1 bilhão, número que chega a quase 20 vezes a soma das penalidades impostas nos trimestres anteriores¹.
Em uma breve retrospectiva, recordamos que, em janeiro de 2020, a Autoridade de Proteção de Dados Italiana impôs multa de aproximadamente € 27 milhões a operadora de telefonia móvel. As infrações suscitadas pela autoridade seriam diversas, mas ligadas, numa visão geral, à atuação de marketing da empresa, a exemplo de repetidas ligações promocionais e envio de comunicações não solicitadas. Foi suscitado, também, o manejo inapropriado de registros de consentimento dos usuários, retenção excessiva de dados e exposição de dados.
Caso relevante envolvendo a esfera trabalhista (demonstrando a interdisciplinaridade das matérias) ocorreu em outubro de 2020, quando a Autoridade de Proteção de Dados Alemã impôs a varejista do seguimento de vestuário, multa de aproximadamente € 35 milhões. O fundamento, nesse caso, foi o alegado monitoramento dos próprios funcionários da rede. Após retornarem de férias, os funcionários deveriam participar de uma return-towork-meeting, que, por vezes, teria seu conteúdo gravado e disponibilizado a diversos gerentes da rede. Neste ponto residiria a problemática: se teria ferido o princípio do data minimization, segundo o qual a coleta e uso de dados pessoais, em especial os sensíveis, deve se limitar ao uso diretamente relevante e necessário, disponível apenas a quem for essencial.
No que tange a dados de consumidores, recordamos que uma companhia aérea foi multada em aproximadamente € 20 milhões pela Autoridade de Proteção de Dados do Reino Unido, a Information Commissioner’s Office (ICO), em razão de exposição de dados ocorrida em 2018. À época, por alegada falha de segurança, a companhia teve dados pessoais de clientes expostos, quando, na visão da autoridade, isso poderia ter sido evitado por meio da adoção de mecanismos de segurança. Vale pontuar que, em 2019, a ICO chegou a apontar penalidade pretendida em mais de € 200 milhões. Por fundamentos parecidos, a ICO impôs multa a companhia hoteleira, em aproximadamente € 20 milhões. A empresa teria sido alvo de cyber-attack, o que culminou com a exposição de dados de clientes. Inicialmente, o ICO havia apontado a valores de penalidade na casa dos € 100 milhões.
No ano de 2021, vimos a crescente aplicação de sanções a empresas de tecnologia, conforme gráfico do website enforcementtracker.com, a soma total ultrapassava 1,5 bilhão de euros. Em fevereiro deste ano, e até a data desta publicação, já eram 981 sanções aplicadas.
Dentre elas, há sanções aplicadas pela Comissão de Privacidade de Dados da Irlanda, impondo multa de aproximadamente € 225 milhões a empresa de tecnologia por alegada falta de explicação adequada aos usuários quanto a práticas de processamento de dados pessoais; pela Autoridade Francesa de Proteção de Dados, com a imposição de penalidade fixada em aproximadamente € 90 milhões, em demanda relacionada a utilização de cookies.
Inobstante os números acima reproduzidos, importante observar que a imposição de penalidades não significa, necessariamente, que não seja possível a adoção de ações ou recursos que possam importar no legítimo afastamento ou redução substancial dos montantes. A variável interpretativa do aplicador da sanção não pode ser deixada de lado – considerando as maiores de que tem notícia, há penalidades impostas por Luxemburgo, Irlanda, Itália, França, Alemanha, Reino Unido, Espanha, Suécia e Países Baixos, por exemplo.
Algumas dessas intepretações estão sendo consideradas extremamente rígidas, culminando em multas classificadas pelo mercado como ambíguas ou inconsistentes, instigando batalhas judiciais nos próximos anos. E esse é o cenário que se vislumbra para o futuro próximo no Brasil, principalmente diante da existência de outros órgãos também atuantes neste cenário, mormente aqueles de proteção aos direitos do consumidor, como Procon e Senacon. Estes, sabemos, já têm aplicado multas fundamentadas na LGPD, conforme veremos adiante, nesta série.
Assim, mesmo em meio a incertezas, a visão prática da aplicação da GDPR é extremamente relevante e pode nortear os passos da ANPD; não só em termos de fixação quantitativa das penalidades, as problemáticas vivenciadas também servem de norte a questões que potencialmente serão vivenciadas no Brasil, e que acabarão por, inevitavelmente, desembocar no Judiciário nacional.