Skip to main content

Quais são as Penalidades pelo Não-Cumprimento do GDPR?

Se você está lendo isso, então sem dúvida você está ciente da GDPR - a lei pioneira da União Europeia que protege os dados pessoais de seus residentes.

As enormes multas aplicadas aos gigantes da tecnologia aparecem quase diariamente nas notícias e os 746 milhões de euros atirados à Amazon são suficientemente grandes para que qualquer pessoa se sente e tome conhecimento.

Mas o que isso significa para você?

Este artigo vai quebrar o sistema de penalidades financeiras estabelecido pela GDPR, e também vai ver como exatamente essas multas são determinadas.

Que multas do GDPR existem?

 

A lei criou um sistema de multas de dois níveis para a GDPR, baseado na gravidade do incumprimento:

  • Até 10 milhões de euros, ou 2% da receita anual mundial do ano anterior - o que for maior
  • Até 20 milhões de euros, ou 4% da receita anual mundial - o que for maior

Agora, isso é muito dinheiro, seja como for que você o gire, e esses fatos por si só são suficientes para preocupar qualquer negócio.

No entanto, estes são os piores cenários e a menor multa aplicada até agora tem sido um pouco mais insignificante 28 euros (Assuntos de Privacidade).

O que significam estes níveis de GDPR?

 

Vamos investigar as diferenças.

Nível 1 - Até 10 milhões de euros ou 2% da receita anual global

Este é o nível inferior para infracções menos graves e é entregue a empresas que violam o GDPR nas seguintes áreas:

Tipo de organização

Capítulo/Artigo Relevante

Detalhes

Controladores e processadores de dados

Artigos 8, 11, 25-39, 42, e 43

As empresas devem respeitar as regras que regem a protecção de dados, justificação legal, etc.

Organismos de certificação

Artigos 42 e 43

Os organismos acreditados devem ser transparentes e imparciais.

Organismos de monitorização de queixas e infracções

Artigo 41

Estas organizações devem seguir os procedimentos estabelecidos, e ser transparentes e imparciais.

 

Tier 2 - Até 20 milhões de euros ou 4% da receita anual global

Este é o nível mais elevado para infracções mais graves, e é entregue a empresas que violam o GDPR nas seguintes áreas:

Edição

Capítulo/Artigo Relevante

Detalhes

Princípios básicos para o processamento de dados

Artigos 5, 6 e 9

Isto deve ser feito de uma forma legal, justa e transparente. Os dados só podem ser processados para fins específicos e devem ser armazenados de forma segura, precisa e actualizada.

Condições para o consentimento

Artigo 7.

As empresas precisam de ter a documentação para provar quando tiverem adquirido o consentimento como justificação para as actividades de processamento de dados.

Direitos da pessoa interessada

Artigos 12-22

Os indivíduos precisam saber que dados uma empresa está armazenando, e o que estão fazendo com eles. Eles também têm o direito de exigir essa informação, bem como de corrigi-la, apagá-la ou transferi-la a pedido.

Transferência de dados para uma empresa internacional ou para um país terceiro.

Artigos 44-49

Antes que isso seja feito, o CE deve decidir que a empresa/país de destino atenda aos padrões de proteção de dados da GDPR. As transferências de dados também devem ser feitas de forma segura.

Como são determinadas as multas da GDPR?

 

Dado que o tamanho das multas aplicadas às empresas varia tanto, seria fácil pensar que as autoridades de proteção de dados (DPA) estão tirando números aleatórios de um chapéu.

Na realidade, a DPA usa o Artigo 83 da GDPR para determinar qual deve ser a multa. Os fatores descritos aqui incluem:

  • A natureza e o tamanho do mal cumprimento.
  • Que precauções a empresa teve para limitar o risco
  • Se a empresa notificou as pessoas afetadas sobre suas infrações
  • O tipo de dados pessoais que foram afectados
  • O histórico da empresa no que diz respeito a questões de privacidade de dados
  • O nível de conformidade da empresa com a sua DPA durante o período de remediação
  • Como a empresa respondeu aos avisos da GDPR
  • A intenção em relação ao mau uso de dados, e se houve negligência
  • Quanta mitigação existe para limitar os danos causados aos sujeitos dos dados

As multas do GDPR são o último recurso

 

A finalidade destas sanções financeiras é desencorajar as empresas de ignorar os requisitos da GDPR para dados pessoais - e não forçá-las a entrar em liquidação.

O pagamento destas multas é uma exigência legal, no entanto, e os executivos das empresas que não tossem correr o risco de prisão.

Dito isto, a GDPR vê as multas como um último recurso, e está a trabalhar para fornecer melhores orientações para ajudar as empresas a cumprir as suas responsabilidades de protecção de dados.

E antes de dar multas, a GDPR emitirá avisos, reprimendas e ordens corretivas. Ao aderir a essas exigências, você deve ser capaz de evitar a pior dessas sanções.

Existem sanções não financeiras?

 

Para além das multas da GDPR, uma greve da sua autoridade de protecção de dados pode ter outras consequências.

Em primeiro lugar, as empresas perderão muita confiança dos clientes. Quase 70% de todos os utilizadores globais da Internet estão agora a procurar proactivamente formas de proteger a sua privacidade online(Statista).

Em segundo lugar, é lógico que as empresas que se viciarem no trabalho de aplicação da GDPR perderão negócios, com consequências para a prosperidade a longo prazo.

E, finalmente, as empresas correm o risco de ser atingidas por uma proibição permanente de processamento de dados pessoais dos residentes da UE. Dada a importância da Internet no mundo moderno, isto pode acabar com elas por completo.

Como evitar as multas do GDPR

 

As autoridades de protecção de dados estão a tornar-se mais sofisticadas e estão a aplicar mais multas do que nunca. No entanto, elas estão sobrecarregadas de trabalho e a aplicação da lei ainda não consegue acompanhar o número de novos casos por enquanto.

A forma mais segura de evitar multas é cumprir o GDPR.

Dada a escassez de orientações oficiais lá fora, criámos um guia que pode ajudar as empresas a cumprir os requisitos da GDPR.

Por que não dar uma olhada e colocar as rodas em movimento?