Quando o Regulamento Geral de Proteção de Dados (GDPR) entrou oficialmente em vigor na UE em maio de 2018, os protecionistas de dados tinham grandes esperanças. Um comentário da 8com GmbH.
Violações da proteção de dados pessoais devem finalmente ser punidas com multas substanciais, e corporações digitais como Facebook e Google devem ser controladas. Mas o conjunto abrangente de regras, que na época serviu de modelo para as leis de proteção de dados em todo o mundo, surtiu o efeito esperado?
Aplicação Fraca
“As esperanças e expectativas levantadas por esta lei emblemática estão se transformando em frustração com a aplicação lenta”, escreve a organização de direitos civis Access Now em seu relatório que marca o terceiro aniversário do GDPR. “As amplas melhorias de privacidade que as pessoas prometeram ainda não se materializaram: muitas reclamações permanecem sem solução, violações de dados são regularmente manchetes e a maioria das grandes empresas de tecnologia está resistindo a mudanças em seus modelos de negócios de coleta de dados.” O GDPR ainda está em sua infância e é muito cedo para discutir a revisão da lei. Especialmente porque muitas das ferramentas fornecidas pelo conjunto de regras ainda não foram utilizadas.
3 anos: mais de 278 milhões de multas em toda a UE
De maio de 2018 a março de 2021, as autoridades de proteção de dados dos países da UE aplicaram, em conjunto, 596 multas no valor total de 278.549.188 euros. No entanto, há uma grande discrepância entre os países individuais. A autoridade espanhola foi a mais ativa com 223 multas. Outras autoridades, como as do Luxemburgo e da Eslovénia, ainda não aplicaram uma única multa ao abrigo do RGPD. Uma olhada nos números puros não mostra os problemas consideráveis que as autoridades de proteção de dados têm em aplicar suas multas por meio de contestações e objeções. Mesmo trabalhando juntos não funciona sem problemas.
A fim de melhorar o poder de execução das autoridades de proteção de dados, o Access Now propõe várias medidas. As mais de 40 autoridades de proteção de dados nos países da UE teriam que trabalhar melhor juntas, as regras processuais nacionais teriam que mudar e as autoridades teriam que receber mais recursos para seu trabalho.
Duras críticas à autoridade irlandesa de proteção de dados
Outros proeminentes protecionistas de dados também criticam a falta de implementação do GDPR. Johnny Ryan, da organização de direitos civis Irish Council for Civil Liberties, vê um dos principais problemas na autoridade irlandesa de proteção de dados, a Comissão de Proteção de Dados (DPC). Embora seja responsável por grandes corporações como Google, Facebook e Twitter, ela é subfinanciada e sofre de problemas estruturais. O DPC ainda está usando o Lotus Notes para gerenciamento de reclamações. É como usar uma régua de cálculo para executar a folha de pagamento de muitos funcionários, diz Ryan. Além disso, a agência não tem pessoal suficiente. A Comissão da UE deveria ter iniciado um processo de infração contra a Irlanda há muito tempo, conforme solicitado pelo Parlamento da UE. De acordo com o comissário federal alemão de proteção de dados, Ulrich Kelber, a Comissão da UE deve agir em relação à Irlanda e pelo menos estipular que todo caso deve terminar com um projeto de decisão.
Associações e pesquisadores exigem correções
O presidente da associação alemã de TI Bitkom, Achim Berg, considera a padronização europeia das regras de proteção de dados uma "decisão certa". No entanto, os últimos três anos também mostraram que a lei falhou em atingir seu objetivo mais importante de harmonizar a estrutura legal e a prática de aplicação da proteção de dados em toda a Europa. Muitas cláusulas de abertura são as culpadas, o que permitiria aos estados da UE seguir seus próprios caminhos nacionais. Na prática, a coordenação entre as autoridades de supervisão funciona apenas lentamente. O principal lobista reclama que muitas empresas ainda não têm certeza de como implementar os requisitos do GDPR.
GDPR poderia ser melhorado
A associação de pesquisa Forum Privatheit faz 33 sugestões em um livro para melhorar o GDPR, especialmente para os cidadãos. Alexander Roßnagel, porta-voz da associação de pesquisa e oficial de proteção de dados de Hessian, deixa claro que big data e inteligência artificial em particular levaram a uma assimetria de poder crescente entre grandes empresas de processamento de dados e as afetadas. O GDPR ainda não oferece uma resposta apropriada. Horticultores ou clubes esportivos estariam sujeitos aos mesmos requisitos de proteção de dados que as corporações globais, que têm poder de processamento de dados muito maior e, portanto, representam um risco maior para os direitos fundamentais dos cidadãos.
Enquanto alguns críticos veem o problema principalmente na falta de implementação das regras, outros são a favor da reforma da lei. Conclusão: depois de três anos, ninguém parece realmente feliz com o GDPR.
Mais em 8com.de
Sobre 8com O 8com Cyber Defense Center protege efetivamente as infraestruturas digitais dos clientes da 8com contra ataques cibernéticos. Inclui informações de segurança e gerenciamento de eventos (SIEM), gerenciamento de vulnerabilidades e testes de penetração profissionais. Além disso, oferece o desenvolvimento e integração de um Sistema de Gestão de Segurança da Informação (ISMS) incluindo certificação de acordo com padrões comuns. Medidas de conscientização, treinamento de segurança e gerenciamento de resposta a incidentes completam a oferta.