Você já deve ter ouvido falar da multa que o Google recebeu por descumprir as normas da GDPR. E que o Facebook também pode levar. E mais quem, lembra de alguma outra empresa? Acho que não.
Então, isso faz algumas pessoas pensarem que a GDPR deve ser só para empresas mega, mas mega grandes mesmo e que isso nunca vai atingir as pequenas, médias ou grandes empresas, mas que não possuem o porte da Google ou que a lei no final não vai pegar.
Bom, estas pessoas estão enganadas. Realmente a GDPR ainda não aplicou muitas multas, mas precisamos lembrar que ela ainda nem fez um ano. E você não se lembrar de mais nenhuma é porque as que estão vindo não são empresas conhecidas. Mas a GDPR já está mostrando para que veio. Vou apresentar 3 casos para mostrar isto.
O primeiro caso é de uma loja de apostas na Áustria, onde foi constatado que a câmera da loja estava também filmando a calçada e com isso monitorando o espaço público, o que não é permitido. A multa nem foi tão alta, cerca de 4.800 Euros, mas foi porque a Autoridade Austríaca disse que a multa precisa ser proporcional à empresa. O primeiro recado aqui que a GDPR passou é que as empresas precisam ficar cientes de suas obrigações e que não importa o tamanho dela.
O segundo caso é de um hospital em Portugal. Ele foi multado em 450.000 Euros porque as informações de pacientes estavam disponíveis para pessoal não médico e por que o hospital não conseguiu garantir a confidencialidade, integridade, disponibilidade e resiliência permanente dos sistemas e serviços de tratamento. O segundo recado aqui é, dados sensíveis (ou não) precisam ser muito bem armazenados e garantidos. Observe que neste caso não houve vazamento de dados, mas só o fato de não ter a garantia da proteção já justificou a multa.
O terceiro caso é de uma plataforma de chat da Alemanha em que os dados de usuários e senhas foram vazados e não estavam criptografados. A multa foi de 20.000 Euros e só não foi maior porque a empresa comunicou rapidamente os órgãos competentes e seus usuários. Neste caso, o recado foi que se a empresa tiver o controle sobre seus dados e cooperar com os órgãos competentes, pode ter a sua penalidade diminuída.
O texto original destas informações, em inglês, você pode acessar em: https://www.dandodiary.com/2018/12/articles/regulatory-enforcement-2/guest-post-can-first-gdpr-fines-tell-us/
