Notícias

GDPR: empresa alemã tem multa absolvida por falta de um responsável pela infração

Uma multa de 14,5 milhões de euros contra a Deutsche Wohnen (empresa imobiliária alemã), emitida há mais de um ano, foi retirada


Uma multa de 14,5 milhões de euros contra a Deutsche Wohnen (empresa imobiliária alemã), emitida há mais de um ano, foi retirada depois que um tribunal alemão concluiu que, de acordo com a lei do país, a organização não poderia ser responsabilizada por violar as rígidas leis de privacidade da União Europeia, a menos que a falha pudesse ser vinculada a um indivíduo ou executivo específico.

 

A decisão, tomada pelo Tribunal Regional em Berlim em fevereiro, coloca a Alemanha em desacordo com o resto da União Europeia sobre como o Regulamento Geral de Proteção de Dados (GDPR) deve ser interpretado e se a legislação nacional prevalece sobre a legislação da UE.

 

De acordo com o Artigo 83 do GDPR, que se refere a como as multas administrativas devem ser impostas,  as empresas, e não os indivíduos, são responsabilizadas por violações de proteção de dados.

 

No entanto, a Lei de Contra-Ordenações da Alemanha diz que as multas só podem ser impostas às empresas se houver evidências de um ato específico realizado pela administração, ou representantes legais, que levou à violação da lei.

 

O que levou à multa em 2019

 

Em setembro de 2019, a Deutsche Wohnen foi multada pela autoridade de proteção de dados de Berlim por não implementar medidas para permitir a exclusão regular de dados de inquilinos que não eram mais necessários. Na época, a multa de ? 14,5 milhões era a maior penalidade financeira emitida pelo GDPR na Alemanha.

 

No entanto, após um recurso, a empresa divulgou um comunicado anunciando que o tribunal declarou a multa inválida porque não foi "suficientemente fundamentada". O tribunal decidiu, uma vez que o DPA de Berlim não especificou quais ações a equipe de gestão cometeu especificamente para causar as violações, que não houve caso para responder (embora o tribunal não conteste que a empresa reteve informações do cliente desnecessariamente).

 

O promotor público em Berlim apelou da decisão em consulta com a DPA. Um porta-voz da Deutsche Wohnen se recusou a comentar sobre os procedimentos legais em andamento. Esta é a segunda vez que uma multa GDPR deixa de ser válida em um tribunal alemão. Em novembro de 2020, o Tribunal Regional de Bonn reduziu uma multa de ? 9,55 milhões contra a empresa 1 & 1 Telecom em 90%, para ? 900.000, devido aos erros da DPA em sua avaliação ao definir a multa. Nesse caso, o tribunal simplesmente disse que a pena original tinha sido "excessivamente alta".

 

Como funciona no Brasil

 

Em nosso país, a Lei Geral de Proteção de Dados (LGPD), em vigor desde 2020, tem muitas semelhanças com a GDPR. Por aqui, as empresas, e não os indivíduos, são responsabilizadas pelas falhas de segurança e proteção de dados de seus clientes e colaboradores.

 

As sanções máximas para as empresas que não cumprem a lei podem ser multas de até um valor máximo de 2% do faturamento mensal (com teto de R$50 milhões) ou ainda a suspensão das atividades de tratamento de dados pessoais realizadas pela empresa.

Comentários