Empresas como a Experian, Amazon e Enel venceram recursos em tribunais europeus recentemente, conseguindo reverter decisões regulatórias que alegavam violações às regras de privacidade do Regulamento Geral sobre a Proteção de Dados (RGPD). As decisões podem abrir caminho para que mais empresas contestem sanções similares, o que pode pôr em jogo modelos de negócios inteiros.
Desde a entrada em vigor da ampla lei de privacidade em 2018, empresas têm recorrido de decisões do RGPD para evitar danos reputacionais e multas elevadas, que podem chegar a 4% da receita global da empresa ou € 20 milhões, o que for maior. A tendência agora é que mais empresas sigam esse caminho.
A Meta, controladora do Facebook, Instagram e WhatsApp, está recorrendo de multas de € 390 milhões impostas na Irlanda em janeiro sobre as práticas da empresa para segmentar usuários do Instagram e do Facebook com anúncios. Com essas vitórias em tribunais europeus, empresas podem se sentir mais confiantes em lutar contra sanções do RGPD e argumentar que suas práticas de dados estão em conformidade com a lei.
No entanto, alguns especialistas alertam para os riscos de uma erosão das proteções de privacidade na Europa. Enquanto empresas procuram evitar sanções, usuários podem ter menos controle sobre seus dados pessoais e ficarem mais vulneráveis a abusos.
Recursos de decisões importantes da GDPR revelam uma quantidade significativa de “zona cinzenta”, onde advogados de privacidade, reguladores e tribunais discordam sobre o que a lei permite, afirmou Flora Egea Torrón, uma sócia do escritório de advocacia espanhol Legal Army S.L. e ex-diretora de proteção de dados do Banco Bilbao Vizcaya Argentaria SA. O BBVA é uma empresa multinacional de serviços financeiros.
Um tribunal espanhol anulou uma multa de € 5 milhões de 2020 contra o BBVA relacionada a várias reclamações de processamento de dados pessoais sem consentimento pelo banco. A decisão do tribunal, emitida no final de dezembro e divulgada este ano, afirmou que o regulador da Espanha fez uma argumentação ampla sobre a política de proteção de dados do banco sem evidências suficientes.
