Multas GDPR: você certamente já ouviu falar de empresas que foram multadas em milhões porque não estavam em conformidade com a GDPR. Na verdade, essas sanções podem ter sérias conseqüências para empresas de todos os tamanhos.
Não se trata apenas do valor monetário da sanção, mas também dos danos à reputação que ela acarreta.
Neste posto, revisaremos as maiores multas da GDPR emitidas até agora, para ajudá-lo a entender quais são os critérios que as Autoridades Européias de Proteção de Dados levam em consideração ao avaliar as violações da GDPR.
Mas antes, vamos rapidamente recapitular…
As multas por não conformidade podem ir até 20 milhões de euros, ou 4% do faturamento anual mundial (o que for maior).
Os usuários têm o direito de apresentar uma reclamação a uma autoridade de supervisão se acharem que o processamento de seus dados não foi compatível com a GDPR, e pedir uma compensação por quaisquer danos.
Tais sanções incluem admoestações oficiais (no caso do primeiro incumprimento), auditorias de proteção de dados periódicas e indemnizações por danos.
Vamos rever as maiores multas do GDPR emitidas até agora.
A maior multa da GDPR foi emitida pela DPA de Luxemburgo em 16 de julho de 2021. A DPA multou a Amazon Europe em 746 milhões de euros, após uma série de 10.000 reclamações apresentadas pelo grupo francês LaQuadraturedu Net.
A Autoridade constatou que a Amazon estava mostrando publicidade direcionada sem o devido consentimento dos usuários.
Em 5 de setembro de 2022, a Comissão de Proteção de Dados da Irlanda emitiu umamulta de 405milhões de euros para a Meta Platforms, Inc.
A DPC investigou o processamento de dados pessoais de crianças e descobriu que a empresa estava divulgando publicamente endereços de e-mail e/ou números de telefone de crianças usando o recurso de conta comercial Instagram.
👉 Deseja mais detalhes sobre esta história? Confira nosso blog!
Em 4 de janeiro de 2023, a Comissão de Proteção de Dados da Irlanda (DPC ) emitiu outro 390 milhões de euros de multa contra a Meta Ireland Limited.
Depois que a NOYB apresentou três reclamações diferentes, a DPC concluiu que o processamento com base em um contrato para anúncios personalizados não é compatível com a GDPR. A Meta contava com uma cláusula de consentimento em seus Termos de Serviço para mostrar a seus usuários anúncios personalizados.
👉 Esta história é muito mais complicada do que isso. Tentamos lançar alguma luz em nosso artigo aqui.
Em 25 de novembro de 2022, a DPC da Irlanda multou a Meta 265 milhões de euros.
A DPA lançou uma investigação em abril de 2021, após relatórios da mídia terem descoberto que o conjunto de dados do Facebook tinha sido disponibilizado na Internet. Esta violação de dados afetou as informações pessoais de 533 milhões de usuários.
Meta foi multada porque não estava de acordo com os princípios de Privacidade por Projeto e Privacidade por Default declarado no GDPR.
Em 2 de setembro de 2021, a Comissão de Proteção de Dados da Irlanda emitiu uma multa de 225 milhões de euros contra a WhatsApp Ireland, em conclusão de uma investigação que havia começado em 2018.
O que aApp não estava cumprindo com o princípio de transparência da GDPR, não dando aos usuários informações suficientes sobre suas atividades de processamento e a base legal que estava utilizando.
Em 19 de janeiro de 2023, a DPC emitiu uma multa adicional de 5,5 milhões de euros.
Saiba mais aqui.
Em 31 de dezembro de 2021, a CNIL emitiu uma multa de 90 milhões de euros à GOOGLE LLC, por não estar em conformidade com a Lei Francesa de Proteção de Dados.
Em particular, a CNIL descobriu que os usuários do YouTube não podiam rejeitar os cookies tão facilmente quanto poderiam aceitá-los. Além da multa, foi dado três meses ao Google LLC para mudar a aparência e o funcionamento de seu banner de cookies.
Uma multa menor de 60 milhões de euros foi emitida pela CNIL ao Google Ireland Ltd.
A razão foi sempre a mesma que acima, mas se referia ao site google.fr.
No mesmo dia, 31 de dezembro de 2021, a CNIL também multou a Facebook Ireland em 60 milhões de euros.
A razão era a mesma: Os usuários do Facebook não poderiam rejeitar os cookies tão facilmente quanto poderiam aceitá-los.
Em 19 de janeiro de 2019, a CNIL multou o Google LLC em 50 milhões de euros, após uma série de reclamações da NOYB e La Quadrature du Net.
A principal razão para esta multa foi a falta de transparência, informações insatisfatórias e falta de consentimento válido. Os usuários não tinham informações suficientes sobre o processamento de seus dados pessoais.
Esta foi uma das primeiras grandes multas emitidas sob a GDPR.
Em 1º de outubro de 2020, o Comissário de Hamburgo para Proteção de Dados e Liberdade de Informação emitiu uma multa de 35,2 milhões de euros para a H&M.
Desde pelo menos 2014, partes dos funcionários foram sujeitos a um extenso registro de detalhes sobre suas vidas privadas. Estes detalhes – como experiências de férias, mas também sintomas de doença e diagnósticos – foram então registrados, armazenados e usados para tomar decisões sobre seu emprego.
A DPA tomou conhecimento desta violação somente porque, devido a um erro técnico, os dados ficaram acessíveis a todos na empresa por algumas horas.
Embora estas sanções sejam enormes, há também multas menores que são emitidas todos os dias. Os DPAs europeus são muito ativos no monitoramento do cumprimento do GDPR.
Aqui estão os 10 principais países da UE com o maior número de multas do GDPR emitidas até agora:
Sim, isso pode acontecer. É claro que sua pequena empresa provavelmente não receberá uma multa tão grande como as acima, mas mesmo uma quantia menor pode realmente impactar seus processos.
Além disso, não esqueça que uma sanção monetária não é a única conseqüência do não cumprimento: repreensões oficiais, auditorias periódicas de proteção de dados e danos de responsabilidade podem ser tão assustadoras quanto uma multa. Sem mencionar o dano à reputação que uma sanção GDPR pode causar.
Mas não se preocupe! O cumprimento do GDPR não tem que ser difícil.
Conformidade para seu site em apenas 5 minutos