É a primeira decisão significativa do GDPR contra a Big Tech. Mas o sigilo em torno da decisão expõe as falhas do regulamento.
Sinal: Forte
Fonte: Wired Magazine UK
NOS FOI PROMETIDO multas enormes e o GDPR finalmente foi entregue. Os registros financeiros da Amazon na semana passada revelaram que as autoridades em Luxemburgo estão multando o varejista em € 746 milhões (US $ 883 milhões) por violar a regulamentação europeia.
A multa não tem precedentes: é a maior multa do GDPR emitida até o momento e é mais do que o dobro do valor de todas as outras multas do GDPR combinadas. A penalidade financeira, contra a qual a Amazon está apelando, chega em um momento em que o GDPR está sentindo a pressão de uma fiscalização frouxa e de multas mesquinhas. Especialistas dizem que as empresas podem se safar abusando da privacidade das pessoas, já que as investigações do GDPR são muito lentas e ineficazes. Algumas pessoas até querem que o GDPR seja totalmente rasgado .
Mas a ação de Luxemburgo contra a Amazon se destaca por dois motivos: primeiro, mostra o poder potencial do GDPR; em segundo lugar, expõe lacunas na forma como essas regulamentações são aplicadas de forma inconsistente em toda a UE. E por ambas as razões, é indiscutivelmente a decisão GDPR mais importante emitida.
“Com tantos casos grandes acumulando na frente dos reguladores, estávamos realmente esperando que um desses casos fosse resolvido para mostrar que o GDPR basicamente tem dentes”, disse Estelle Massé, líder global de proteção de dados do grupo sem fins lucrativos de defesa da Internet Access Agora. La Quadrature du Net, o grupo francês de liberdades civis que originalmente fez a reclamação contra a Amazon, disse que os reguladores deram "esperança" de que uma ação legal pudesse ser movida "contra a Big Tech".
Apesar da multa que ganhou as manchetes, pouco se sabe realmente sobre os detalhes do motivo pelo qual a Amazon foi multada. O caso foi assumido por autoridades em Luxemburgo porque o país atua como a principal base da Amazon na Europa. A pequena nação foi historicamente rotulada como um paraíso fiscal - embora as acusações de que a Amazon evitou impostos no país foram rejeitadas pelos tribunais europeus . Mas, ao multar a Amazon, a Comissão Nacional de Proteção de Dados de Luxemburgo, pelo menos no curto prazo, se lançou no centro das atenções pró-privacidade.
A reclamação original da La Quadrature du Net de maio de 2018 , que foi registrada em nome de 10.000 pessoas, alegou que o sistema de publicidade da Amazon não é baseado no "consentimento livre". Mas isso é tudo que sabemos. O regulador de Luxemburgo disse que emitiu uma decisão contra a Amazon em 15 de julho, mas não publicou mais detalhes. Um porta-voz da autoridade disse que as leis de “sigilo profissional” em Luxemburgo significam que não é possível publicar nenhum detalhe até que um processo de apelação seja concluído. E a Amazon - que é incrivelmente ávida por dados - diz que vai apelar da multa.
“Não houve violação de dados e nenhum dado de cliente foi exposto a terceiros”, disse um porta-voz da Amazon. Isso é muito bom, mas as empresas não precisam ter sofrido uma violação de dados para violar as regras do GDPR. O porta-voz prossegue alegando que a decisão em Luxemburgo, que se baseia em como a empresa mostra aos clientes "publicidade relevante", é baseada em "interpretações subjetivas e não testadas da lei de privacidade europeia, e a multa proposta é totalmente desproporcional ao mesmo essa interpretação. ”
A Amazon pode ter razão. É possível que qualquer processo de apelação ou negociação reduza a multa - no ano passado, a multa do regulador de proteção de dados do Reino Unido contra a British Airways caiu de £ 184 milhões ($ 256 milhões) para apenas £ 20 milhões ($ 28 milhões). Outro, contra o grupo hoteleiro Marriott, foi reduzido de £ 99 milhões ($ 137 milhões) para £ 18 milhões ($ 25 milhões) .
A multa de € 746 milhões da Amazon é muito maior do que qualquer coisa que já vi antes - uma multa de € 50 milhões contra o Google detém o recorde atual . Embora o GDPR permita a emissão de multas potencialmente pesadas, a realidade é que sempre foi improvável que os reguladores as emitissem . Até o início de 2021, um total de € 272 milhões ($ 322 milhões) em multas GDPR foram emitidos por todos os reguladores da Europa combinados, de acordo com análise do escritório de advocacia DLA Piper . O órgão de proteção de dados da Itália, que emitiu 69,3 milhões de euros em multas, abriu o caminho. Seguem-se a Alemanha (69 milhões de euros), a França (54 milhões de euros) e o Reino Unido (44 milhões de euros).
Embora essa lista contenha alguns dos países mais populosos da Europa, ela não inclui as autoridades de proteção de dados mais importantes da Europa - Luxemburgo e Irlanda. De acordo com as leis do GDPR, as empresas que operam em vários países da Europa podem selecionar um país - onde está localizada sua sede - para atuar como o país para o qual as reclamações são encaminhadas. Esse processo é chamado de mecanismo de balcão único . Antes de uma decisão - que pode incluir uma multa ou ação coercitiva que pode fazer as empresas mudarem de comportamento - ser emitida, todas as nações europeias interessadas no caso têm o direito de responder.
A Amazon escolheu Luxemburgo como seu principal regulador de proteção de dados e a queixa contra ela, que foi levantada pela primeira vez na França, foi encaminhada às autoridades locais. Uma série de reclamações importantes contra Facebook, Google, Twitter e Apple foram feitas à Comissão de Proteção de Dados (DPC) da Irlanda, onde as empresas têm suas sedes europeias. Até o momento, o escritório irlandês fez apenas uma decisão contra uma grande empresa de tecnologia desde que o GDPR foi introduzido em maio de 2018 - uma multa de € 450.000 ($ 533.000) contra o Twitter em dezembro de 2020. Outra contra o WhatsApp está pendente.
Várias pessoas dizem que o balcão único está falhando. “Não está funcionando”, diz Romain Robert, diretor de programa do grupo europeu de direitos de dados NYOB. Robert afirma que o sistema de balcão único fez com que as reclamações do GDPR se perdessem ou resultou em longos atrasos e interrupções na comunicação. “Não há prazo no balcão único”, diz ele. “O procedimento é tão diferente em cada estado-membro que você precisa saber para onde vai.”
Os reguladores do GDPR, que geralmente têm recursos insuficientes e sobrecarregados, também não estão satisfeitos com a configuração. A análise do GDPR publicada pela Access Now em maio de 2021 mostra as preocupações dos reguladores. Os da Alemanha apontaram para longos atrasos. A Irlanda disse que pode ser difícil determinar qual grupo de proteção de dados deve ser a “autoridade principal” em cada caso. A Suécia disse que diferentes abordagens nacionais tornam difícil para os países "cooperar de forma eficaz". As reclamações continuam .
“É um sistema complicado porque adiciona complexidade adicional a situações de aplicação da lei já muito complexas”, disse Hielke Hijmans, presidente da câmara de contencioso da autoridade de proteção de dados da Bélgica. Um caso envolvendo o regulador belga, o Facebook, e como o balcão único é aplicado, foi a um dos principais tribunais da Europa e reitera que é possível para os países evitarem o mecanismo em algumas circunstâncias. “Há muita discussão sobre se o sistema é sustentável no longo prazo, por causa de seu caráter pesado e também porque a maioria das grandes empresas de tecnologia está concentrada em um ou dois estados membros”, diz Hijmans.
O European Data Protection Board (EDPB), um organismo independente criado para promover a cooperação entre os reguladores de proteção de dados da UE, reconhece que o sistema não é perfeito. “Fazer cumprir a nível nacional e, ao mesmo tempo, resolver casos transfronteiriços exige muito tempo e recursos”, afirma um porta-voz da EDPB. “Embora estejamos cientes destes desafios e de outros, a EDPB não é a favor de uma revisão do RGPD ou do mecanismo de balcão único.” Ele diz que “lentamente, mas de forma constante, estamos vendo resultados” e que houve 254 decisões finais em que o balcão único foi usado com sucesso.
Então, há algo que pode ser feito para melhorar o sistema? O porta-voz da EDPB afirma que o GDPR é um “projecto de longo prazo” e que visa “reforçar a cooperação” entre os reguladores europeus. Mas tanto Massé quanto Robert dizem que as coisas devem ir mais longe. Eles dizem que algumas investigações GDPR devem ter cronogramas colocados sobre eles - para impedir que se arrastem por anos - e que os reguladores também precisam agir com mais rapidez. “Precisamos resolver essas questões burocráticas aparentemente enfadonhas para garantir que isso realmente funcione”, diz Massé. “Essas são questões que devem ser resolvidas e tratadas ao nível da UE.”
Esta história apareceu originalmente na WIRED UK .
Comments