Desde que o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) entrou em vigor em maio do ano passado, as organizações da União Europeia registraram quase 60 mil violações de dados, mas até agora menos de 100 multas foram emitidas pelos reguladores.
De acordo com um novo relatório do escritório de advocacia multinacional DLA Piper, as estatísticas oficiais da Comissão Europeia mostram 41.502 notificações de violação de dados entre 25 de maio de 2018 e 28 de janeiro de 2019.
No entanto, isso cobriu apenas 21 dos 28 estados membros da UE e não incluiu países como a Noruega, Islândia e Lichtenstein, que não são membros da UE, mas fazem parte do Espaço Econômico Europeu (EEE) e estão sujeitos ao mesmo regulamento.
A análise do próprio DLA Piper contabilizou 59.430 violações de dados divulgadas em toda a Europa durante o mesmo período, com a Holanda, a Alemanha e o Reino Unido liderando de longe o número de relatórios. Juntos, esses países são responsáveis por quase dois terços das notificações de violação de dados, com 15,4 mil, 12,6 mil e 10,6 mil divulgações, respectivamente.
O GDPR exige que as organizações relatem a exposição de dados pessoais aos reguladores nacionais de proteção de dados e aos indivíduos afetados dentro de 72 horas após tomarem conhecimento de tais violações. Também exige rígidas medidas de segurança para proteger dados e multas por violações que podem chegar a até € 10 milhões ou 2% do faturamento anual mundial.
Multas do GDPR
Durante o período de tempo analisado, os reguladores impuseram 91 multas por violações ao GDPR, mas nem todas estavam relacionadas à exposição de dados pessoais, de acordo com o relatório da DLA Piper. Por exemplo, a mais alta era uma multa recente de € 50 milhões imposta pela autoridade de proteção de dados francesa (CNIL) ao Google, por processar dados pessoais para fins publicitários sem obter a permissão exigida pelo GDPR.
Na Alemanha, os reguladores impuseram uma multa de € 20 mil a uma empresa por não proteger senhas de funcionários com hashes criptográficos, enquanto na Áustria uma multa de € 4,8 mil foi emitida por operar um sistema de CCTV não autorizado que vigiava parcialmente uma calçada pública.
Backlog estende os recursos do GDPR
O número de multas e seu valor, excluindo-se o do Google, têm sido baixos em comparação ao número de violações divulgadas, mas isso pode acontecer porque os reguladores em alguns países ainda estão se acomodando às funções crescentes de supervisão e coordenação que agora desempenham.
“Os reguladores estão sobrecarregados e têm um grande número de violações notificadas em suas caixas de entrada”, afirmaram os pesquisadores da DLA Piper em seu relatório. “Inevitavelmente, as brechas maiores que pegaram manchetes ganharam prioridade ao alocar recursos, então muitas organizações ainda estão esperando para ouvir dos reguladores se alguma ação será tomada contra eles em relação às violações que notificaram.”
Os dados sugerem que, sob o risco de altas sanções, muitas empresas já se prepararam para cumprir os requisitos de notificação de violação do GDPR. No entanto, discrepâncias significativas ainda podem ser observadas entre diferentes países e culturas.
Por exemplo, ao correlacionar o número de notificações de violação de dados ao tamanho da população, a Holanda, a Irlanda e a Dinamarca ocupam as três primeiras posições, enquanto a Alemanha e o Reino Unido caem para o décimo e décimo primeiro. A Romênia, a Itália e a Grécia têm o menor relação de notificações de violação de dados por 100 mil pessoas, com 1,2, 0,9 e 0,6, respectivamente.
Fonte: Computerworld
10 de fevereiro de 2019
