Onda de recursos judiciais desafia o modo dos reguladores europeus aplicarem as regras de privacidade

gdpr lei de privacidade europeia

Quase três anos depois que a lei de privacidade (GDPR) entrou em vigor na Europa, os reguladores estão vendo mais decisões de sanções e multas sendo anuladas pela justiça à medida que as empresas entram com recursos judiciais.

Os tribunais europeus anularam ou reduziram várias multas multimilionárias nos últimos meses, levantando questões sobre se os juízes e os reguladores de privacidade sobre a discordância de como fazer cumprir o Regulamento Geral de Proteção de Dados de 2018. As empresas que foram notificadas estão mais dispostas a desafiar na justiça as decisões das autoridades, de acordo com advogados e reguladores de privacidade.

Muitos reguladores receberam pequenos ou nenhum aumento de orçamento quando a GDPR entrou em vigor e lutam para lidar com novas investigações. As apelações na justiça são um desafio adicional.

“Muitas organizações não hesitam mais em contestar a decisão das autoridades de proteção de dados. Esta é uma grande mudança ”, disse Ahmed Baladi, sócio do escritório de Paris do escritório de advocacia Gibson, Dunn & Crutcher LLP.

Pode fazer sentido para as empresas contestar uma multa se acharem que um regulador cometeu um erro ao seguir os procedimentos legais ou se acharem que a multa é excessivamente grande, disse ele.

Um tribunal Belga anulou várias decisões da autoridade de proteção de dados da Bélgica porque o regulador não seguiu os procedimentos legais e cometeu erros, disse Hielke Hijmans, presidente do escritório da autoridade que lida com multas e outras sanções.

O número de recursos aumentou muito nos últimos seis meses, disse ele. As empresas entraram com 15 recursos contra as decisões do GDPR da autoridade e um tribunal anulou na íntegra ou parcialmente a maioria, disse ele. Outros seis casos ainda aguardam a decisão do tribunal.

Esses recursos não impediram o regulador de multar as empresas, mas obrigaram os funcionários reguladores a dedicar mais tempo a cada caso, certificando-se de que seguissem os procedimentos e definissem com precisão o âmbito de sua investigação, disse Hijmans. O escritório tem poucos funcionários e paga um escritório de advocacia externo para representá-lo em cada recurso do tribunal, aumentando as preocupações com o orçamento, disse ele.

“Não quero que tenha um efeito negativo, mas não posso ignorar o fato de que nossas vidas estão se tornando mais difíceis no momento”, disse ele.

Um tribunal de Berlim anulou no mês passado uma multa de € 14,5 milhões (US $ 17,3 milhões) do regulador de privacidade da cidade contra a empresa imobiliária alemã Deutsche Wohnen SE porque o regulador não identificou um funcionário individual responsável pela violação em sua decisão. Após a decisão do tribunal, a promotoria de Berlim impetrou um recurso por discordância, e a ação ainda continua em litígio.


Se a decisão do tribunal for mantida, a decisão “restringirá consideravelmente nosso poder de fiscalização”, disse Maja Smoltczyk, reguladora de privacidade de Berlim, por e-mail.

Exigir que os reguladores nomeiem um indivíduo responsável por permitir ou cometer violações tornaria mais difícil para os reguladores investigarem as grandes empresas, cujas estruturas corporativas são bem mais complexas. Por outro lado, tornaria mais fácil para eles identificar os funcionários que lidam com processos de dados em empresas menores, disse ela.

Muitas empresas mudaram as políticas de privacidade para cumprir o GDPR quando entrou em vigor em 2018 e procuraram evitar multas que podem chegar a 4% de sua receita global, ou € 20 milhões. As empresas contrataram advogados de privacidade e configuraram seus processos para lidar com os dados com segurança e excluí-los quando não fossem mais necessários.

Na Áustria, uma nova lei que exige que os investigadores atribuam as violações a uma pessoa específica – e provem que ela sabia ou não fez nada para impedi-las – tropeçou na autoridade de privacidade do país em um caso recente. Em dezembro, um tribunal austríaco anulou uma multa de € 18 milhões contra o provedor de serviços postais Österreichische Post AG. Os funcionários da autoridade de privacidade austríaca não estavam cientes da nova lei, disse Matthias Schmidl, vice-chefe do escritório, por e-mail.

A nova exigência mudará substancialmente a forma como a autoridade investiga as violações, disse ele.

Os reguladores austríacos, e potencialmente as autoridades alemãs, se o tribunal de Berlim exigir decisões de privacidade para identificar funcionários individuais, precisarão avaliar o treinamento GDPR das empresas e o papel de seu oficial de proteção de dados antes de nomear um indivíduo em uma decisão, disse Stefan Hessel, um associado em Escritório de advocacia alemão Reusch Rechtsanwaltsgesellschaft mbH.

“A questão principal é quando é que a empresa será responsável”, disse Hessel.

Nos casos em que a alegada violação de dados poderia prejudicar a reputação de uma empresa, ao apelar de uma decisão do GDPR, a empresa poderia chamar mais ainda a atenção negativa, disse Baladi, da Gibson, Dunn & Crutcher. Isso será confirmado se o juiz mantiver a decisão da multa, disse ele.

Posts relacionados: 8 Fatores que a nova Lei CPRA da Califórnia tem em comum com a GDPR / SegInfocast #58 – GDPR e SegInfocast #75 – LGPD: Impactos na Sociedade e a Jornada de Adequação das Empresas

Informações obtidas/adaptadas de: Wave of Legal Appeals Challenges How European Regulators Enforce Privacy Rules