Penalidades do Regulamento Geral sobre a Proteção de Dados (GDPR): O que Você Deve Esperar?

O General Data Protection Regulation (GDPR) é um padrão global que confere às autoridades de proteção de dados mais poder de fiscalização do que tinham sob a anterior Diretiva de Proteção de Dados 95/46/EC (DPD), bem como o poder de impor multas mais substanciais. Enquanto a DPD não especificava o montante exato das multas administrativas por violações de conformidade, as multas máximas por violações do GDPR podem chegar a €20 milhões ou 4% do faturamento anual global da organização do ano financeiro anterior. Essas penalidades são substancialmente maiores do que as de qualquer outro padrão atual (por exemplo, HIPAA, GLBA ou SOX).

Embora o GPDR ainda não tenha entrado em vigor, as organizações já enfrentam problemas devido à sua incapacidade de demonstrar conformidade com o padrão. Exemplos recentes incluem Flybe e Honda, que foram multadas pelo Information Commissioner’s Office por violarem as regras relativas a e-mails de marketing. Ambas as empresas tentaram cumprir com o GDPR e obter o consentimento dos clientes antecipadamente, enviando e-mails para perguntar se as pessoas queriam receber informações de marketing delas, mas ao fazer isso, violaram as Privacy and Electronic Communication Regulations (PECR) do Reino Unido, que proíbem tais e-mails sem o consentimento adequado, pois são considerados materiais de marketing.

Neste post do blog, a Netwrix fornece respostas às perguntas mais comuns sobre as penalidades do GDPR para ajudá-lo a se familiarizar mais com como as multas serão determinadas e quais requisitos impõem as maiores penalidades.

Como são determinadas as multas?

De acordo com o Artigo 83 do GDPR, as Autoridades de Supervisão (SAs) ou quaisquer autoridades públicas independentes responsáveis por proteger os direitos das pessoas naturais têm o direito de emitir multas a qualquer organização que não consiga comprovar sua GDPR compliance. Essas multas devem ser “eficazes, proporcionais e dissuasivas”. Existem vários critérios que ajudam as SAs a determinar se uma organização deve pagar uma multa ou não, e o quão grande deve ser essa multa:

• Natureza da infração — O número de pessoas afetadas e o dano que sofreram; a natureza, gravidade e duração da infração; e o propósito do processamento de dados
• Intenção — Se a infração foi intencional ou por negligência
• Mitigação — Quais ações foram tomadas pelo controlador de dados ou processador para mitigar danos aos titulares dos dados
• Medidas preventivas — O grau de responsabilidade do controlador e do processador, bem como quais medidas técnicas e organizacionais a organização adotou para prevenir a não conformidade
• Histórico — Quaisquer infrações anteriores relevantes pelo controlador ou processador
• Cooperação — O quão disposta a empresa esteve em cooperar com a SA para remediar a infração e mitigar seus potenciais efeitos
• Tipo de dados — Quais categorias de dados pessoais a infração afeta
• Notificação — Se o controlador ou processador reportou a infração proativamente
• Certificação — Se a empresa obteve certificações ou aderiu a códigos de conduta aprovados
• Outros — Outros fatores agravantes ou atenuantes aplicáveis às circunstâncias do caso, por exemplo, benefícios financeiros obtidos ou perdas evitadas

Quais são os níveis de multas do GDPR?

O Artigo 83 também descreve dois níveis de multas que as organizações podem enfrentar se não conseguirem comprovar a conformidade com o GDPR. Os níveis são baseados principalmente em qual requisito foi violado.

Nível Um. Neste nível, as organizações enfrentam penalidades de até 10 milhões de euros, ou 2% do seu faturamento global anual do ano financeiro anterior. O nível um aplica-se a violações dos seguintes requisitos:

• Obrigações do Controlador e do Processador — Uma das maiores seções do GDPR é dedicada às responsabilidades dos controladores e processadores de dados para o processamento e proteção adequados dos dados. Isso inclui a proteção de dados por concepção e por padrão (Artigo 25), regras relacionadas à segurança do processamento (Artigo 32) e notificação tempestiva de uma violação de dados às Autoridades de Supervisão (Artigo 33) e aos titulares dos dados (Artigo 34). Além disso, tanto os controladores quanto os processadores são obrigados a realizar avaliações de impacto sobre a proteção de dados (Artigo 35) para identificar e mitigar riscos de segurança relacionados ao processamento de dados.
• Notificação de violação de dados (Artigos 33-34) — O Artigo 33 do GDPR exige que os controladores de dados notifiquem as autoridades supervisoras em caso de violação de dados pessoais, sem demora indevida e dentro de 72 horas após terem conhecimento da violação de dados pessoais, a menos que a violação seja improvável de colocar em risco os direitos e liberdades de pessoas naturais. O Artigo 34 abrange a notificação de violações de dados pessoais aos sujeitos dos dados e especifica os detalhes que as organizações devem fornecer (incluindo a natureza da violação, um ponto de contato e as consequências prováveis).
• Obrigações do órgão de monitoramento (Artigo 41) — O Artigo 41 abrange a monitorização de códigos de conduta aprovados que deve ser realizada por um órgão que possui a expertise relevante e que é acreditado para esse fim por uma autoridade supervisora competente.
• Obrigações do órgão de certificação (Artigos 42 e 43) — De acordo com o Artigo 42, os estados membros e as autoridades de supervisão devem incentivar a criação de mecanismos de certificação de proteção de dados para ajudar os controladores e processadores de dados a demonstrar conformidade com o GDPR. As certificações podem ser emitidas por um órgão de certificação acreditado ou pelo European Data Protection Board. O Artigo 43 indica que a acreditação está disponível para um órgão de certificação apenas sob certas circunstâncias, por exemplo, se o órgão demonstrar certa independência e especialização, ou estabelecer procedimentos para tratar reclamações sobre infrações.

Nível Dois. Neste patamar superior, multas são aplicadas para infrações mais graves por controladores e processadores, como violação dos direitos de um data subject’s rights ou condições de consentimento. As multas neste nível são de 20 milhões de euros ou 4% do faturamento global anual da empresa para o ano financeiro anterior. O nível dois inclui violações das seguintes disposições do GDPR:

• Princípios básicos para o processamento de dados — Isso inclui regras gerais para o processamento de dados (Artigo 5), legalidade do processamento (Artigo 6), condições para consentimento (Artigos 7 e 8) e o processamento de categorias especiais de dados sensíveis (Artigos 9–11).
• Direitos dos titulares dos dados (Artigos 12–22) — Os artigos definem múltiplos direitos dos titulares dos dados que afetam significativamente a maneira como as organizações podem armazenar e processar dados pessoais. Exemplos incluem o direito de confirmar se os dados pessoais estão sendo processados (Artigo 15), o direito de retificar dados pessoais inexatos (Artigo 16), o direito ao esquecimento (Artigo 17), o direito à limitação do processamento (Artigo 18), o direito de transmitir facilmente dados para outros controladores (Artigo 20) e o direito de se opor a atividades de processamento de dados (Artigo 21).
• Transferências de dados pessoais (Artigos 44–50) — O Capítulo 5 rege as transferências de dados para países terceiros ou organizações internacionais. Isso inclui os princípios gerais das transferências de dados (Artigo 44), transferências ou divulgações não autorizadas pelo direito da UE (Artigo 48) e regras sobre a cooperação internacional para a proteção de dados pessoais (Artigo 50).
• Ordens de autoridades supervisoras — Finalmente, as organizações podem enfrentar multas de nível dois se não cumprirem uma ordem de uma Autoridade Supervisora para limitar ou suspender o processamento de dados (Artigo 58).

Ver infográfico (clique na imagem para abrir uma versão em alta resolução em uma nova aba)

Há alguma compensação adicional para os titulares dos dados?

Semelhante ao DPD, o GDPR permite que os titulares dos dados busquem indenizações monetárias em tribunal contra controladores e processadores que violem seus direitos. Isso inclui casos em que organizações são responsáveis por uma violação de dados, violam as disposições específicas do processador do GDPR ou agem fora das instruções legais de um controlador (Artigos 79 e 82).

Resumo

Além de impor multas, as autoridades de supervisão possuem outros poderes corretivos em caso de não conformidade, que incluem a emissão de advertências e reprimendas, e — em casos extremos — proibir a organização de processar dados pessoais (Artigo 58). Portanto, as organizações precisam garantir que possuem políticas e procedimentos eficazes em vigor para assegurar o consentimento explícito, identificar e relatar violações, e cumprir com outras disposições do GDPR. É prudente começar prestando atenção nas áreas que impõem as maiores penalidades, seguindo regras básicas para o correto processamento de dados e certificando-se de que não violam os direitos dos titulares dos dados.

FAQ

Como são calculadas as multas do GDPR?

As multas do GDPR seguem uma estrutura de dois níveis que podem ser pesadas: multas administrativas de até €10 milhões ou 2% do faturamento anual global para violações menores, e de até €20 milhões ou 4% do faturamento global para infrações mais graves. Mas eis o que importa mais do que os valores máximos – os reguladores consideram dez fatores específicos ao calcular a sua penalidade real, incluindo a natureza e a gravidade da infração, se foi intencional ou por negligência, e mais importante, as medidas técnicas e organizacionais que você tinha em vigor para preveni-la.

O cálculo não é arbitrário. As autoridades avaliam a sua cooperação durante a investigação, se você notificou-os prontamente sobre violações e se tomou medidas para mitigar danos aos indivíduos afetados. Empresas que demonstram controles robustos de identidade e acesso, classificação de data classification adequada e procedimentos claros de resposta a violações geralmente veem penalidades significativamente reduzidas. Data Security que começa com a identidade não é apenas uma boa prática – é a sua melhor defesa contra multas máximas quando as coisas dão errado.

Qual é a multa máxima do GDPR?

A multa máxima do GDPR é de €20 milhões ou 4% do faturamento anual global total da sua organização do ano financeiro anterior, prevalecendo o que for maior. Esta categoria aplica-se às violações mais graves, como base legal inadequada para processamento, violação dos princípios de proteção de dados ou falha na implementação de medidas de segurança técnica e organizacional adequadas.

O limiar de €10 milhões ou 2% aplica-se a violações “menores” como não manter registros adequados, falhar em realizar avaliações de impacto ou não nomear um Encarregado de Proteção de Dados quando necessário. Mas não se deixe enganar pela palavra “menor” – essas multas ainda podem devastar a maioria das organizações. A percepção chave? Os reguladores consistentemente reduzem as penalidades para empresas que podem demonstrar medidas de segurança proativas, especialmente controles baseados em identidade que mostram que você leva a sério a prevenção de acesso não autorizado a dados pessoais.

Como evitar multas do GDPR?

Evitar multas do GDPR começa por acertar na identidade. A maioria das penalidades provém de acesso não autorizado a dados pessoais, o que significa que sua primeira linha de defesa é implementar controles de least privilege access e manter uma visibilidade clara sobre quem pode acessar quais dados, quando e porquê. Você não pode proteger o que não pode ver, e não pode controlar o que não monitora.

Construa sua estratégia de defesa em torno de três pilares: medidas de segurança técnica (criptografia, controles de acesso, monitoramento), processos organizacionais (treinamento de pessoal, planos de resposta a incidentes, auditorias regulares) e documentação que comprove a conformidade. Quando ocorrerem violações – e elas ocorrerão – ter capacidades automatizadas de detecção e resposta a violações pode significar a diferença entre uma penalidade menor e uma multa máxima. Os reguladores olham com bons olhos para organizações que podem demonstrar que investiram em uma infraestrutura de segurança adequada e podem responder rapidamente para conter danos.

A abordagem mais eficaz conecta Identity Management à proteção de dados. Implemente controles de acesso baseados em funções, revisões regulares de acesso e provisionamento automatizado que garante que as pessoas tenham acesso apenas aos dados pessoais necessários para o seu trabalho. Isso não é apenas sobre conformidade – é sobre construir uma segurança que realmente funcione na prática, não apenas no papel.

Quais multas podem ser aplicadas sob o GDPR?

O GDPR permite que os reguladores imponham multas administrativas em dois níveis, mas o regulamento lhes dá uma grande discrição na aplicação das penalidades. Violações de Nível 1 podem resultar em multas de até €10 milhões ou 2% do faturamento anual global e geralmente envolvem falhas procedimentais como registros inadequados, ausência de avisos de privacidade ou falha em realizar avaliações de impacto necessárias.

As violações de Nível 2 acarretam penalidades que chamam a atenção, de até €20 milhões ou 4% do faturamento global, e focam em falhas fundamentais de proteção de dados: processamento sem base legal, violação dos princípios básicos de proteção de dados ou implementação de medidas técnicas e organizacionais de segurança inadequadas. Mas eis o que as manchetes não mostram – os reguladores também consideram medidas corretivas como proibições temporárias de processamento, exigências de auditoria e mandatos de certificação que podem ser tão perturbadores para o seu negócio.

A tendência real de fiscalização mostra que os reguladores estão cada vez mais focados em falhas de segurança técnica, particularmente em torno de controles de acesso e resposta a violações. Organizações que podem demonstrar programas abrangentes de gestão de identidade e acesso, com trilhas de auditoria claras e capacidades de resposta automatizada, consistentemente recebem penalidades menores mesmo quando ocorrem violações. A mensagem é clara: invista em uma infraestrutura de segurança adequada que começa com a identidade, e os reguladores irão notar.

Qual é a multa por não cumprir com o GDPR?

O não cumprimento do GDPR pode acionar a gama completa de penalidades: multas de até €20 milhões ou 4% do faturamento global, proibições de processamento que interrompem as operações comerciais, auditorias obrigatórias que consomem recursos por meses e ordens corretivas que forçam revisões caras de sistemas. Mas a penalidade financeira é muitas vezes apenas o começo – o custo real vem da interrupção dos negócios, dano à reputação e o sobrecarga operacional da remediação.

Dados recentes de fiscalização mostram que a “não conformidade” não é binária. Os reguladores diferenciam entre organizações que fazem esforços de boa-fé para cumprir e aquelas que ignoram completamente suas obrigações. Empresas com programas de segurança documentados, mesmo que imperfeitos, normalmente enfrentam medidas corretivas em vez de multas máximas. Aquelas sem salvaguardas técnicas básicas – controles de acesso adequados, detecção de violações ou capacidades de resposta a incidentes – recebem a estrutura completa de penalidades.

A realidade prática é que a conformidade não é sobre perfeição; é sobre demonstrar um esforço sistemático para proteger dados pessoais através de medidas técnicas e organizacionais apropriadas. Os reguladores consistentemente recompensam organizações que podem mostrar que implementaram controles de segurança baseados em identidade, mantêm trilhas de auditoria adequadas e respondem rapidamente quando problemas surgem. Data Security That Starts with Identity não é apenas teatro de conformidade – é a fundação de um programa defensável do GDPR.