Analisámos as 50 sanções aplicadas pelas autoridades de controlo europeias e concluímos que o artigo 5º (Princípios relativos ao tratamento de dados pessoais) e o artigo 32º do RGPD (Segurança do tratamento) são as principais fontes de inconformidade. Outra conclusão que podemos retirar é sobre o valor médio das coimas que é relativamente reduzido. Tal parece demonstrar que o RGPD não é uma ação persecutória contra as grandes multinacionais americanas e que as pequenas e médias organizações devem procurar ativamente a conformidade.
A coima de 300 euros aplicada pela autoridade de controlo austríaca a uma pessoa individual por o sistema de videovigilância da sua viatura também apanhar a via pública exemplifica bem a aplicação de coimas de reduzido valor. Ainda que o artigo 2º do RGPD ponto 2, alínea c) refira que o regulamento não se aplica ao tratamento de dados pessoais efetuados por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas, a autoridade de supervisão seguiu a jurisprudência do Tribunal de Justiça da União Europeia (Acordão F. Rynes de 2014) que considera que a vigilância sobre o espaço público não pode ser considerada uma atividade pessoal ou doméstica.
Utilizámos como fonte o “GDPR Enforcement Tracker” (aqui) e expurgámos o caso CNIL/Google (coima de 50 milhões de euros) por ser um caso singular que enviesa a realidade retratada pelos restantes casos.
É importante sublinhar as limitações da nossa fonte de informação (“GDPR Enforcement Tracker”) designadamente devido ao facto de muitas sanções não serem tornadas publicas. Contudo, o “GDPR Enforcement Tracker” é, atualmente, a melhor fonte de informação. Por exemplo, conforme se pode ver aqui, na Alemanha ocorreram 100 coimas e no “GDPR Enforcement Tracker” contam-se 8 coimas alemãs.
Segundo o referido site as coimas alemãs tiveram o seguinte perfil:
Continue reading “Quais as principais fundamentações para as coimas RGPD?”