GDPR em ação: como a UE avalia multas empresas que não gerenciam senhas adequadamente

O Regulamento Geral de Proteção de Dados (GDPR) da União Européia entrou em vigor há quase dois anos, e é preciso dizer que está causando tantos debates agora como em 2018. Há pessoas que continuam a considerá-lo inútil regulamento que resultou em nada mais do que uma onda de pop-ups que os cidadãos da UE precisam fechar sempre que visitam um novo site. Outros acham que é a resposta certa ao número crescente de ameaças online que estão colocando em risco nossa privacidade. Para realmente avaliar o sucesso do GDPR, no entanto, você precisa saber exatamente o que é. Vamos começar com os efeitos mais visíveis do GDPR.

GDPR e os usuários

Muitos de vocês devem saber que os pop-ups de consentimento não começaram com o GDPR. A UE tem sido bastante firme em sua posição de que os sites devem obter a permissão do usuário antes de armazenar cookies em seus computadores por um bom tempo. Muitos sites exibiam informações sobre o uso de cookies antes de 2018, e as pessoas também estavam reclamando deles.

O trabalho dos cookies não é apenas rastrear você ou invadir sua privacidade. Eles geralmente são essenciais para a operação correta de sites e serviços online. O que os novos pop-ups de consentimento do GDPR fizeram foi oferecer a opção de usar o site em todo o seu potencial, além de garantir que os anunciantes não sejam muito agressivos em suas atividades de rastreamento. Funcionou?

Bem, o fato é que muitas pessoas descartam os pop-ups ou clicam no botão "Concordo" sem nem mesmo ler o aviso, o que mostra que, em certa medida, a medida não é particularmente eficaz. Ao mesmo tempo, no entanto, existem usuários que percebem que sua privacidade é mais importante do que um atraso de alguns segundos; portanto, os pop-ups não são completamente inúteis.

Para os provedores de serviços, essa foi uma das medidas mais fáceis de implementar, e você dificilmente encontrará um site que não tente lhe dizer que tipo de empresa pode estar prestes a analisar seus dados, então dessa perspectiva, o regulamento está funcionando. O problema aqui está mais com os usuários e sua relutância em se educar.

GDPR e provedores de serviços on-line

O que algumas pessoas podem não entender é que os pop-ups de cookies estavam longe da única mudança que o GDPR trouxe. Para cumprir com os regulamentos, muitas empresas tiveram que repensar sua avaliação de riscos, seus mecanismos de proteção de dados, seus planos de resposta a incidentes e seus procedimentos de divulgação. Alguns deles sabiam que eram incapazes de fazê-lo e saíram em socorro, optando por parar de oferecer seus serviços na UE. Outros também não conseguiram, mas decidiram continuar trabalhando e esperam que não sejam pegos, ou pior, alvejados por criminosos cibernéticos.

Obviamente, isso não funcionou para todos. De acordo com um rastreador de multa do GDPR do CoreView, as autoridades da UE impuseram multas significativas a mais de 28 empresas e arrecadaram mais de 428 milhões de euros (cerca de US $ 465 milhões).

A maioria das principais violações consiste em falha na proteção das informações dos usuários, exposição de dados privados por outros canais ou coleta excessiva de dados pessoais. O alto número de violações pode ser interpretado de duas maneiras completamente diferentes. Por um lado, você pode aceitá-los como um sinal de que as regras e regulamentos estão funcionando e as empresas que não os cumprem estão pagando o preço. Por outro lado, no entanto, uma rápida olhada nos motivos das multas mostra que muitas organizações empresariais cometeram alguns erros básicos de segurança e é uma aposta segura que muitas outras pessoas são culpadas da mesma coisa, mas são ainda a ser descoberto.

Em suma, o GDPR precisará de muito mais tempo para ter um impacto significativo na maneira como usuários e provedores de serviços tratam dados particulares. E mesmo quando o faz, não deve ser considerado uma panacéia. O objetivo do GDPR não é eliminar completamente as inúmeras ameaças à nossa privacidade online e certamente não pode pôr um fim às violações de dados. O que ele pode (e espero que seja) fazer, no entanto, é garantir que as palavras "levamos a segurança muito a sério" sejam mais do que apenas uma declaração padronizada emitida após um ataque cibernético.