Após cinco anos da lei de privacidade de dados em massa da UE em vigor, poucos estão satisfeitos com os resultados.
O Regulamento Geral de Proteção de Dados da UE (GDPR) apregoa a si mesmo como a regulamentação de privacidade de dados mais rígida do mundo. Ele rege como as empresas de internet podem usar dados da E.U. cidadãos e é propositalmente vago para que possa ser aplicado de forma ampla. Mas muitos apontam para falhas na fiscalização que penalizam alguns setores em detrimento de outros e deixam as empresas no escuro sobre como seguir suas regras.
Meta – o pai do Facebook, Instagram e WhatsApp administrado por Mark Zuckerberg – tem sido um dos maiores destinatários de multas relacionadas ao GDPR. Ela deve 1,37 bilhão de euros (US$ 1,5 bilhão) em nove casos, ou metade do valor total das penalidades impostas por todos os 27 tribunais da UE. países combinados.
“Não acho que a Meta tenha se comportado tão bem quanto poderia”, disse Ray Friel, professor de direito da Universidade de Limerick, na Irlanda, ao Observer. “Deixando isso de lado, acho que os europeus escolheram empresas de tecnologia americanas, e a Meta é um dos exemplos mais flagrantes.”
Como a sede europeia da Meta está localizada na Irlanda, o regulador irlandês assume a responsabilidade primária de multar a empresa de mídia social em nome de todos os países da UE, conforme estabelecido pelo GDPR. Embora apenas sete das 24 multas do regulador irlandês sejam contra a Meta, as acusações contra a empresa de Zuckerberg totalizam 99,8% do valor monetário que a Irlanda multou. Os reguladores da França e da Alemanha também emitiram penalidades contra a empresa.
O regulador da Irlanda, a Comissão de Proteção de Dados (DPC), não tem intenção de desacelerar, com mais 12 investigações abertas contra o gigante da mídia social, de acordo com Cian O'Brien, vice-comissário do DPC que supervisiona investigações em larga escala.
A empresa foi cobrada por suas práticas de coleta de dados, pelo manuseio incorreto de dados de crianças e por uma série de vazamentos, entre outras questões. Para a maioria dessas reivindicações, a Meta levou as questões ao tribunal e defendeu suas práticas. Nenhum dos processos judiciais foi concluído. Embora a empresa tenha um histórico de problemas de privacidade , a frequência e o valor das multas contra a Meta – quando comparadas com as ações contra empresas similares – levanta questões sobre como as agências de fiscalização estão atribuindo penalidades.
quanto custa hellofresh por mês
O TikTok, em comparação, foi cobrado 15,3 milhões de euros (US$ 16,7 milhões), ou 1% do total da Meta, embora duas investigações em larga escala do DPC estejam quase concluídas. A Amazon e a Google receberam multas de 748 milhões de euros e 216 milhões de euros respetivamente, mas o valor combinado ainda não atinge o total da Meta. Outras grandes empresas de tecnologia, como Microsoft e Apple, bem como empresas de mídia social como Snap, Pinterest e LinkedIn, nunca foram multadas pelo GDPR.
Os casos do DPC contra a Meta ilustram uma repressão maior à privacidade de dados acontecendo na Europa e nos EUA. O GDPR acarreta multas em alturas que não foram alcançadas anteriormente na UE e d apesar de suas críticas, muitos ainda a consideram a lei de proteção de dados mais abrangente e progressiva do mundo. Nos Estados Unidos, os legisladores pressionado por regulamentação ou proibição do TikTok , temendo que a empresa esteja compartilhando dados de usuários com o governo chinês. A ameaça de multas e regulamentação torna cada vez mais difícil para as grandes empresas de tecnologia operar em alguns dos mercados mais lucrativos.
Aplicar o GDPR é uma batalha difícil
Enquanto o DPC irlandês submete as decisões oficiais contra a Meta, os rascunhos circulam entre todas as autoridades de proteção de dados na UE. para aprovação. O GDPR chama esse sistema de “one-stop-shop”, com a intenção de simplificar o processo de atribuição e apelação de penalidades. Além das multas, a DPC obriga as empresas a corrigirem suas práticas. Quando o regulador multado Facebook e Instagram em janeiro por não terem os devidos fundamentos legais para coletar e processar os dados dos usuários, também exigiu que a empresa atualizasse suas operações para seguir a lei. Uma mudança no modelo de publicidade baseada em dados da Meta pode prejudicar significativamente sua receita. Isto apelou a decisão.
Apelações e desafios são esperados, disse Graham Doyle, chefe de assuntos corporativos da DPC. Mas a verdadeira mudança acontece para os consumidores quando as empresas fazem essas correções, disse ele ao Observer.
Um GDPR ambíguo é necessário até certo ponto. O mundo da tecnologia se move tão rapidamente que, se a legislação fosse muito específica, as empresas inovariam além do que a lei regulamenta, disse Friel. Ao permanecerem gerais, as autoridades podem transformar o significado do GDPR para aplicar a novas tecnologias à medida que se desenvolvem.
“É como dirigir um carro”, disse ele. “Você foi feito apenas para dirigi-lo com segurança. Isso não significa que há legislação para cobrir tudo.”
Mas essa também é uma grande fraqueza do GDPR, de acordo com Townsend Feehan, CEO da filial europeia do Interactive Advertising Bureau, uma associação comercial de publicidade e marketing digital da qual a Meta é membro.
Como o GDPR usa termos subjetivos e não descreve exatamente o que as empresas devem fazer para cumprir, “há um jogo de adivinhação desconfortável acontecendo”, disse ela. Enquanto a indústria de tecnologia pressionou com sucesso por regras frouxas em vez de proibições definitivas, falta uma interpretação clara e acionável da lei, disse ela.
É difícil se envolver com as autoridades de proteção de dados porque elas não têm recursos para entender completamente as tecnologias de publicidade digital, disse ela. E o sistema de balcão único está falhando porque os reguladores designados para multar as empresas não têm necessariamente experiência nesse setor, disse ela. Por exemplo, o regulador de cada condado pode se concentrar em um setor diferente, como saúde, publicidade ou dados financeiros, em vez de regulamentar empresas com diferentes especialidades porque elas têm sede em determinadas localizações geográficas.
“Nossa indústria foi particularmente penalizada pelo fracasso do processo de fiscalização”, disse ela. “Se houvesse mais fiscalização nos mercados, com comportamento infrator denunciado e sancionado, haveria muito menos espaço para os críticos do setor dizerem: 'todo o barril está podre'.”
Membros do regulador irlandês discordam de Feehan. A DPC tem ampla experiência em publicidade digital e outros setores, disse O'Brien.
Embora o GDPR não forneça um modelo de como as empresas de internet devem cumprir, os casos movidos contra empresas oferecem algum precedente, disse ele ao Observer. Por exemplo, o DPC multou a Meta por manipulação incorreta de dados de crianças divulgando publicamente seus números de telefone e e-mails quando se inscreveram em perfis comerciais, em vez de pessoais. Embora o caso em si fosse específico para a empresa, também expôs claramente o que se espera de todas as empresas que operam sob o GDPR em relação aos dados das crianças.
“O GDPR tem sido um enorme sucesso na minha opinião”, disse O’Brien. “Na DPC, trouxemos muita certeza para a aplicação do GDPR.”
Provavelmente haverá menos reclamações contra empresas por regras que já foram violadas porque os casos existentes fornecem clareza sobre o que os reguladores veem como conformidade, disse Doyle, que dirige os assuntos corporativos da DPC.
Meta se recusou a comentar.
Meta contra uma superpotência regulatória
É difícil para o setor de tecnologia da Europa competir com gigantes americanos e chineses, incluindo Apple, Google, Alibaba e Huawei. Por causa disso, “há um certo grau de injustiça, muito antes das multas da Meta”, disse Friel. Há um “objetivo subjacente de criar esse espaço que permita o surgimento de um campeão europeu”, disse ele.
Uma série de E.U. leis poderiam permitir que 'futuros Googles ou Alibabas surgissem em solo europeu', disse Meta Nick Clegg escreveu em um postagem no blog . Clegg anteriormente teve uma carreira de 12 anos no Parlamento do Reino Unido e agora trabalha como presidente de assuntos globais da Meta.
O'Brien do DPC negou qualquer parcialidade em nome do regulador, mas o diálogo aponta o que poderia estar acontecendo em um nível superior. Embora a Europa não possa necessariamente competir no espaço tecnológico, ela se construiu como uma superpotência regulatória que ainda pode influenciar o futuro dessas empresas, disse Friel.
No passado, a E.U. estabeleceu padrões globais em política social e ambiental. “A proteção de dados – dados sendo o novo petróleo – era algo que a Europa podia controlar”, disse ele.
A UE tem 450 milhões de pessoas - mais do que os EUA - e vender para essa população significa seguir suas regras. Embora a Meta possa encerrar as operações na E.U. para evitar multas contínuas, pode ser um mercado muito grande para perder. A Europa rendeu à empresa US$ 27,8 bilhões em 2022, um quarto de sua receita total.
Como resultado das operações contínuas sob o estrito GDPR, a maneira como a empresa opera nos EUA também pode mudar, disse Friel.
Para empresas globais como a Meta, pode ser difícil ter diferentes conjuntos de regras nacionais. Somente nos EUA, 23 estados introduziram legislação de privacidade e oito estados aprovaram leis, incluindo a Califórnia, que dá aos consumidores o direito de saber quais informações as empresas coletam sobre eles e o direito de excluí-las.
A Big Tech quer seguir um conjunto de regras globais, disse ele. Seguir a legislação mais rígida pode abranger as bases legais de muitos outros países. Também pode significar desistir de uma parte significativa da receita de publicidade da Meta.
Meta está realmente com problemas?
Nos próximos dias, espera-se que o DPC conclua outra investigação de alto nível contra a Meta por sua transferência de dados para os EUA, de acordo com O'Brien. Ele não divulgou o valor da multa ou as medidas corretivas que o regulador planeja impor.
Embora as multas possam atrapalhar as empresas, elas só prejudicam na medida em que o dinheiro não pode ser recuperado. Os reguladores multaram a Meta em US$ 1,5 bilhão desde 2018, mas a empresa obteve US$ 443 bilhões em receita durante esse período – US$ 132 bilhões em lucro líquido – de acordo com documentos financeiros da empresa. “As multas são ridículas para a Meta”, disse Romain Robert, diretor de programa da NOYB, uma organização europeia sem fins lucrativos focada na privacidade que apresenta queixas contra empresas aos reguladores.
Mas as multas são a ponta do iceberg, disse Aurélie Pols, uma oficial de proteção de dados com sede na Espanha que assessora empresas em relação ao GDPR. O custo real são as medidas que a Meta pode ter que tomar, incluindo a exclusão de seus dados ou a proibição da coleta de dados, disse ela. Embora o DPC tenha o poder de impor uma proibição temporária ou total do processamento de dados para Meta, ainda não o fez.
“A estratégia (para a Meta) é advogar, ganhar tempo e tentar continuar com o modelo de negócios enquanto eles potencialmente descobrem como fazer isso de maneira diferente”, disse ela. A empresa está lutando contra seis dos nove casos no tribunal.
O modelo de negócios da Meta está em risco, e não apenas na Europa, disse ela ao Observer.
Os EUA não têm nenhum equivalente nacional ao GDPR, mas as conversas sobre o TikTok sugerem que os legisladores dos EUA, tanto democratas quanto republicanos, são farto do poder que a Big Tech produz . A questão central é que “as principais empresas de mídia social têm permissão para coletar dados profundamente pessoais sobre você sem qualquer regulamentação significativa”, a deputada Alexandria Ocasio-Cortez, democrata de Nova York, entrou no TikTok . Os EUA são uma das únicas nações desenvolvidas sem dados significativos ou leis de proteção à privacidade, disse ela, citando o GDPR como exemplo.
Não está claro se uma lei federal nos EUA será aprovada, disse Pols. “Os EUA são muito focados nos negócios e continuarão a ser.”
A principal ameaça nos EUA não é a legislação, mas as ações coletivas, disse pólos . As multas relacionadas às ações judiciais podem, por vezes, ultrapassar o valor cobrado pela DPC. Em 2021, A Meta pagou US$ 650 milhões, mais do que qualquer multa individual relacionada ao GDPR contra a empresa, resultante de uma ação coletiva nos EUA ação judicial sobre o recurso de reconhecimento facial da empresa. Em dezembro, a Meta concordou em pagar $ 725 milhões para resolver um processo que alegou ter compartilhado dados com a Cambridge Analytica sem o consentimento do usuário. A Comissão Federal de Comércio dos EUA multou a Meta em US$ 5 bilhões em 2019 sobre o mesmo assunto.
Roberto , o diretor do NOYB, está preparando ações coletivas na UE porque ele não acha que o sistema de aplicação do GDPR está funcionando, disse ele.
como curar a infecção sem antibióticos
“É realmente cansativo fazer cumprir o GDPR”, disse ele. “Por mais exaustivo que seja para as empresas cumprir, é igualmente exaustivo aplicá-lo. Estamos todos exaustos.”
