PWC Grécia recebe multa de €150Mil por violar GDPR

PWC Grécia recebe multa de €150Mil por violar GDPR. Órgão de proteção de dados da Grécia impôs multa de 150Mil a participação grega da PwC, “PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS SA”, por violar o Artigo 83 do GDPR. 

Além disso, a Hellenic Data Protection Authority também impôs medidas corretivas à organização a serem cumpridas. 

Por que a PwC foi multada?

O GDPR estabelece claramente as bases legais, sob as quais os dados pessoais podem ser processados ​​pelos controladores. O consentimento é uma dessas bases, mas não é o único. E a escolha do consentimento da PwC como base legal para o processamento de dados pessoais de seus funcionários não era apropriada, constatou a DPA.

Os dados foram processados ​​no decorrer das atividades comerciais da empresa e os funcionários não foram informados sobre isso. Esse tipo de abordagem foi considerado como uma violação dos princípios de justiça e transparência do GDPR.

O princípio da responsabilização também não foi cumprido, uma vez que a empresa não conseguiu demonstrar o cumprimento adequado e transferiu os encargos para os titulares dos dados. Como a PwC era, neste caso, um controlador de dados pessoais, essa transferência era inadequada.

A DPA considerou que a PWC BS como controlador:

Processou ilegalmente os dados pessoais dos seus empregados em violação do disposto no artigo 5.º, n.º 1, alínea a), alínea a), do RGPD, por ter utilizado uma base jurídica inadequada.

  • processou os dados pessoais dos seus empregados de uma forma injusta e não transparente contrária ao disposto no artigo 5.º, n.º 1, alínea a), alíneas b) ec) do RGPD, dando-lhes a falsa impressão de que estava a processar os seus dados. dados sob a base legal de consentimento, de acordo com o Artigo 6 (1) (a) do GDPR, enquanto na realidade estava processando seus dados sob uma base legal diferente sobre a qual os funcionários nunca haviam sido informados.
  • embora fosse responsável na sua qualidade de responsável pelo controlo, não foi capaz de demonstrar o cumprimento do artigo 5.º, n.º 1, do GDPR e violou o princípio da responsabilidade estabelecido no artigo 5.º, n.º 2, do GDPR, ao transferir o ónus da prova de conformidade aos titulares dos dados.

A empresa grega foi, portanto, multada e recebeu um prazo de três meses para tomar certas medidas para se tornar compatível.

Decisão da Hellenic DPA

A Hellenic DPA , após ter verificado as infracções ao GDPR, decidiu que, neste caso, deveria exercer as competências correctoras que lhe são conferidas pelo artigo 58.º, n.º 2, do GDPR, impondo medidas corretivas, e que ordenaria à empresa, na sua qualidade como controlador dentro de três (3) meses:

  • trazer as operações de processamento dos dados pessoais de seus funcionários, conforme descrito no Anexo I, apresentadas pela empresa, em conformidade com as disposições do GDPR;
  • restabelecer a correcta aplicação do disposto no n.º 1, alínea a), e no n.º 2 do artigo 5.º, em conjugação com o n.º 1 do artigo 6.º do GDPR, em conformidade com os fundamentos da decisão;
  • para subsequentemente restabelecer a correta aplicação do restante das disposições do Artigo 5 (1) (b) – (f) do GDPR, na medida em que a infração estabelecida afete a organização interna e o cumprimento das disposições do RDBD tomando todas as medidas necessárias sob o princípio da responsabilização.

Além disso, como a medida corretiva supra não é suficiente para restabelecer a conformidade com as disposições do GDPR violadas, o DPA helénico considerou que, com base nas circunstâncias identificadas no presente caso e no artigo 58.º, n.º 2, alínea i), Deve ser aplicada uma coima administrativa proporcional e dissuasiva nos termos do artigo 83.º do GDPR, o que ascende a cento e cinquenta mil euros (150.000,00 euros).

O que isso significa?

Segundo o site Reclaim The Net, O representante grego da PwC é o primeiro dos “Big 4” a ser multado no âmbito do GDPR. Além disso, é a primeira consultoria que realmente ajudou muitos de seus clientes com a conformidade com o GDPR no último ano. Parece espantoso que uma empresa do tamanho e da reputação da PwC, que está ganhando muito dinheiro dando conselhos sobre o GDPR, tenha sido queimada pelo fogo que eles ajudam os clientes a evitar diariamente .

E, no entanto, serve como um bom lembrete de que nenhuma empresa localizada ou hospedada na UE está isenta de ter que cumprir o GDPR. Como mostra o precedente do Google, mesmo os participantes mais influentes de uma indústria não estão imunes. Os 150 mil euros que a PwC deve pagar não correspondem, é claro, à multa de US $ 5 bilhões imposta à gigante de tecnologia.

Por um lado, é menos de 0,5% do volume de negócios anual da empresa grega, o que não está exatamente de acordo com as diretrizes do GDPR. Essa multa era, segundo a Hellenic DPA, “uma sanção eficaz, proporcional e dissuasiva”. Assim, no grande esquema do paradigma em mudança da abordagem à privacidade, não é tanto assim.

A decisão do regulador grego não é insignificante, no entanto. A PwC é líder de mercado em suporte a GDPR, principalmente devido à sua rede global. Muitos clientes em toda a Europa confiaram na empresa para trazer suas políticas e abordagens de acordo com a lei no ano passado. Não seria um grande esforço para essas empresas serem abaladas pelo fato de que a própria consultoria provou ser vulnerável em relação aos seus funcionários e até mesmo perder a confiança no auditor.

Afinal, boa vontade e reputação são ativos inestimáveis ​​em qualquer mercado hoje. E com as violações de GDPR sendo casos altamente divulgados no mundo de hoje, onde a privacidade e a proteção de dados são problemas muito comuns, seria esperado que a PwC precise fazer muito esforço no controle de danos para salvar sua imagem. Com as empresas DPaaS e DRaaS aparecendo em todo o mercado hoje, pode ser o fim do monopólio das Big 4 e dos grandes escritórios de advocacia em questões legais complexas e de conformidade.

Isso não quer dizer, porém, que a reputação da PwC no campo de privacidade de dados está danificada para sempre. Se as outras filiais da consultoria tomam nota do que a Hellenic DPA lhes disse e tomarem medidas para assegurar aos seus clientes que eles aprenderam a lição e estão prontos para usá-la para serem melhores consultores de negócios, pode muito bem ser uma oportunidade e não um fracasso.

Fonte: Reclaim The Net & Hellenic Data Protection Authority 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Berghem traz ao Brasil novas soluções de cybersecurity
  2. Falha no Kaspersky expõe usuários a rastreamento de Cross-Site
  3. O consentimento do empregado, a LGPD e o caso da PWC GRÉCIA – BCD Advogados
  4. LGPD e suas ondas - Zemus

Deixe sua opinião!