Multas do GDPR contra o Google

A (CNIL), autoridade de proteção de dados da França (DPA), cobrou uma multa de € 50 milhões ($57 milhões) contra o Google por violar os requisitos de transparência, informações e consentimento do GDPR na implantação de anúncios direcionados. A maior multa do GDPR até o momento e a primeira envolvendo uma empresa de tecnologia dos EUA foi emitida em 21 de janeiro de 2019.Conformidade com GDPR

A investigação da CNIL foi desencadeada por reclamações de dois grupos de defesa, None of Your Business e La Quadrature du Net, arquivadas imediatamente na data de vigência do GDPR em 25 de maio de 2018. As reclamações alegavam “consentimento forçado”, pelo qual os usuários de dispositivos móveis com Android tinham que concordar com toda a política de privacidade e os termos de serviço do Google antes de usar o dispositivo Android. O Google não tem base legal para processar os dados pessoais dos usuários no que diz respeito à personalização de anúncios.

Porquê uma multa de 50 milhões de euros?

A CNIL baseou-se em quatro fatores para emitir sua multa de € 50 milhões.

  1. Natureza das infrações relacionadas à legalidade (Art. 6) e transparência (Arts. 12 e 13), ambos princípios fundamentais do GDPR e listados como desencadeando o limite de multa mais alto (de 4% da Receita Internacional) no GDPR ( Art. 83.5).
  2. Porque as infrações eram contínuas e contínuas após a data de vigência do GDPR.
  3. As finalidades do processamento, seu escopo e o número de indivíduos envolvidos.
    • A investigação da CNIL se concentrou em usuários que criaram uma conta do Google enquanto configuravam seu dispositivo Android e observou que esse é um número muito grande de indivíduos.
    • Eles alegam que, devido à participação de mercado dominante do Android no mercado francês de smartphones e ao número de usuários de smartphones na França, o processamento é vasto.
    • Também dado o número de serviços do Google envolvidos (mais de vinte).
      • A variedade e o tipo de dados envolvidos
      • Os vários processos tecnológicos que permitem ao Google combinar e analisar dados de vários serviços, aplicativos ou fontes externas.
      • Esses processos inegavelmente têm um “efeito multiplicador” no conhecimento que a empresa tem sobre seus usuários.
      • A empresa tem os meios para combinações potencialmente ilimitadas, permitindo um uso massivo e intrusivo dos dados do consumidor.
  4. Ao visualizar as infrações da perspectiva do modelo econômico do Google,
    • O processamento de dados do usuário para fins de publicidade via Android.
    • Vantagens que o Google obtém desse processamento,
    • A CNIL descobriu que o Google deve ser extremamente cauteloso com suas responsabilidades sob o GDPR.

A CNIL não diz como chegou ao valor de 50 milhões de euros, mas indica que essas infrações estariam sujeitas à multa máxima de 4% do GDPR. O Fine foi baseado na receita global do Google em 2017 de € 96 bilhões. É claro que a CNIL não impôs a multa máxima. No entanto, além de dizer que a multa de 50 milhões de euros foi “justificada”. A CNIL não fornece qualquer fundamentação para este montante inicial ou como os fatores acima referidos influenciaram o montante.

Decisões e multas de 2018

Este caso contra o Google representa a primeira ação de execução publicada da CNIL, explicitamente sob o GDPR e a maior multa já imposta. Ele também destaca o escrutínio da CNIL de notificação e consentimento na publicidade online, que vinha se acumulando nos últimos meses, conforme evidenciado por outras decisões recentes da CNIL.

Essa multa vem 1 mês depois que a DPA da Itália multou o Facebook em € 10 milhões por enganar seus próprios usuários sobre práticas de dados. O watchdog disse que o Facebook enfatizou erroneamente a natureza gratuita do serviço sem informar aos usuários o fato de que seus dados seriam usados para gerar lucro para a empresa.

O Google não foi a primeira multa do GDPR, apenas a maior até o momento.

A primeira multa foi emitida na Áustria em outubro de 2018, embora não esteja estritamente relacionada ao processamento de dados pessoais. Uma casa de apostas recebeu uma multa de € 4.800 por uma câmera de segurança que estava gravando parte do pavimento do lado de fora, já que o monitoramento em larga escala de espaços públicos não é permitido pelo GDPR.

No final de outubro, o Comissão Nacional de Protecção de Dados (Comissão Nacional de Proteção de Dados) em Portugal aplicou três multas ao Hospital do Barreiro: Estas são as primeiras multas relacionadas com o tratamento e armazenamento de dados pessoais. Duas sanções de 150.000€ e outra de 100.000€. Por um custo total de € 400.000 para o hospital. As duas primeiras multas de 150.000 euros foram por violação do princípio da integridade e confidencialidade dos dados e violação do princípio da minimização de dados, que teoricamente impede o acesso indiscriminado aos dados. 985 médicos tinham contas ativas no sistema dando-lhes acesso aos prontuários clínicos, enquanto o hospital tinha apenas 296 médicos ativos na data da inspeção.

A terceira multa estava relacionada à incapacidade do Hospital, como controlador de dados, de garantir a confidencialidade e integridade dos dados de seus clientes e pacientes.

Em meados de novembro, uma rede social na Alemanha, Knuddels.de, recebeu € 20.000 tudo bem depois de um hack que causou o vazamento de 808.000 endereços de e-mail, juntamente com mais de 1,8 milhão de nomes de usuário e senhas. Esta informação foi então publicada online sem criptografia. A rede social reagiu dizendo que, uma vez descoberto o vazamento, imediatamente melhorou suas medidas de segurança.

Após o incidente, descobriu-se que o site não tinha nenhum tipo de proteção em suas informações confidenciais. De acordo com a LfDI Baden-Württemberg, a agência alemã de proteção de dados responsável pelo caso, uma das razões pelas quais o site recebeu uma multa “relativamente baixa” foi que agiu com transparência e implementou rapidamente melhorias de segurança.

Multas mais altas esperadas em 2019

As sanções econômicas até agora são claramente conservadoras em comparação com as penalidades máximas permitidas, mas com a recente onda de vazamentos de dados de alto perfil da Marriott, British Airways, e Quora não demorará muito para que multas maiores e mais duras comecem a aparecer.

Como evitar multas do GDPR?

O que você pode fazer para evitar uma multa de milhões de euros ou dólares? A coisa mais importante a ter em mente é que é melhor prevenir do que remediar. Por ter apropriado proteção contra vazamento de dados em vigor para os dados pessoais que sua empresa gerencia, você pode evitar sanções e multas.

  • Comece determinando se o armazenamento online ou no prim é a solução certa para suas necessidades
  • Controlando quem tem acesso a ele
  • Perceba que se você usar Sincronizar e Compartilhar em vez de um solução de compartilhamento de arquivos em nuvem privada, você acabou de dobrar a quantidade de dados que possui e também dobrou o # de locais que precisa defender. Além disso, um desses locais sobre os quais você não tem controle.
  • A complexidade reduz a segurança. Quanto mais complexa for uma solução, menos ela será usada.

Bill Vann tem mais de 25 anos de experiência em TI e tecnologias de negócios. Ele recebeu seu diploma de bacharel em Negócios e mestrado em Gestão Empresarial pela National University em San Diego, CA. Bill tem sido um membro ativo e contribuinte de associações locais como AGC, NECA e CFMA.