PorEntre as grandes violações de dados em empresas mundialmente famosas e a infinidade de escândalos no Facebook, 2018 foi o ano em que a proteção de dados pessoais começou a virar manchete – e gerar preocupação – em todo o mundo. E houve um fator de mudança entre todos esses casos: o GDPR, o novo Regulamento Europeu Geral de Proteção de Dados, que é obrigatório desde 25 de maio de 2018.
Além de danos à reputação, o GDPR traz multas pesadas por infração: até 20 milhões de euros ou 4% do faturamento global anual de uma empresa. As necessidades corporativas de segurança cibernética estão mudando de remediação para prevenção e proteção de dados pessoais armazenados. Não é mais suficiente reagir assim que os dados forem exfiltrados (transferência não autorizada dos dados de um determinado sistema informático fechado); a única maneira de evitar as consequências do GDPR é cumpri-lo, superando incidentes envolvendo dados pessoais (PII – Personally Identifiable Information – Informações de identificação pessoal).
E no final de 2018, as primeiras sanções começaram a aparecer. A maior (até agora) foi uma multa de € 400.000 (R$ 1.694,62) para um hospital português. No entanto, esta semana, em 21 de janeiro de 2019, assistimos à primeira multa de vários milhões de euros. E, além disso, é para uma das empresas mais valiosas do mundo: o Google.
Google e a questão do consentimento forçado
A CNIL (Commission Nationale de l’Informatique et des Libertés – Comissão Nacional de Informações e Liberdades), agência francesa de proteção de dados, multou o Google LLC em 50 milhões de euros por violar as regras GDPR sobre transparência e por não ter uma base legal válida para o processamento de dados pessoais para fins publicitários.
Esta multa é claramente muito mais que um mero tapa na mão. No entanto, embora seja grande, é muito menor do que poderia ter sido, uma vez que a Alphabet, empresa controladora do Google, teve receita de € 97,5 bilhões em 2017; a multa, portanto, poderia ter chegado a € 3,9 bilhões.
Outro aspecto importante do caso é o fato de que o GDPR estipula que a investigação de qualquer caso deve ser realizada no país onde o “estabelecimento principal” da empresa está localizado. Embora a sede europeia do Google seja na Irlanda, a CNIL não considera que esse QG tenha poder de decisão para o processamento de dados pessoais. Isso significa que a reclamação é contra o Google LLC nos EUA.
As primeiras queixas sobre o Google ocorreram em 25 de maio, minutos após a regulamentação entrar em vigor, quando a organização sem fins lucrativos noyb.eu apresentou as primeiras queixas contra várias empresas, incluindo o Google. O grupo de direitos digitais francês, La Quadrature du Net também apresentou uma queixa contra o Google alguns dias depois.
Ambas as reclamações estão relacionadas ao consentimento forçado; eles alegam que a empresa não tem uma base legal sólida para processar os dados pessoais de seus usuários, pois isso os forçou a consentir com o processamento de dados que eles não entendiam.
De acordo com a CNIL, quando um usuário cria uma Conta do Google em um celular Android, recebe grande parte das informações exigidas pelo GDPR – categorias de dados pessoais, fins de processamento de dados etc. – mas afirma que as informações são “excessivamente disseminadas vários documentos, com botões e links nos quais é necessário clicar para acessar informações complementares ”.
“A informação relevante é acessível apenas após várias etapas, implicando por vezes até 5 ou 6 ações”, afirma a CNIL. Também afirma que a informação oferecida pela Google é muito vaga e genérica quando se trata de explicar aos seus utilizadores como os seus dados serão usados, e que há uma falta de informação relacionada a quanto tempo seus dados serão armazenados.
Outro problema foi a caixa de seleção “Concordo com os termos de serviço do Google”, em vez de caixas com opções mais detalhadas.
A CNIL conclui que o Google não tem permissão válida de seus usuários, já que o consentimento não era “específico” nem “não ambíguo”, conforme estipulado pelo GDPR.
Como evitar as multas de milhões de euros
Um dos primeiros passos para a conformidade com o GDPR é fornecer proteção adequada para os dados pessoais que sua empresa armazena e processa. Um bom começo é saber exatamente onde esses dados pessoais são armazenados e quem tem acesso a eles.
O Panda Data Control, o módulo de proteção de dados do Panda Adaptive Defense, faz exatamente isso. O Panda Data Control identifica todos os arquivos que contêm dados pessoais (PII) e registra qualquer tipo de acesso a ele, fornecendo alertas em tempo real sobre vazamentos, uso e tráfego suspeito ou não autorizado.
O Panda Data Control ajuda a sua empresa a cumprir vários artigos específicos do GDPR, incluindo o direito de eliminação; notificação de uma violação de dados pessoais à autoridade de supervisão; e avaliação do impacto da proteção de dados.
Esta multa para o Google é a primeira multa de um milhão de euros dentro do quadro do GDPR, mas não será a última: ainda estamos esperando para ver o que acontece nos casos da British Airways e Marriott, e os vários casos do Facebook.
Se você não sabe como proteger os dados pessoais armazenados em sua rede corporativa e deseja salvar a imagem da sua empresa e evitar que ela seja multada em quantias astronômicas, não perca esta oportunidade de descobrir as vantagens do Panda Controle de dados.
