A Comissão Europeia oferecerá alívio a pequenas empresas de meia capital sobrecarregadas pelo escopo atual do Regulamento Geral de Proteção de Dados (GDPR) em um pacote de simplificação de regras conhecido como um omnibus a ser publicado na quarta-feira, de acordo com um documento de trabalho visto pela Euronews.
Atualmente, empresas com menos de 250 funcionários estão isentas das regras de privacidade de dados para reduzir seus custos administrativos, a Comissão agora propõe estender essa derrogação às chamadas pequenas empresas de médio porte.
Pequenas empresas de capitalização intermediária podem empregar até 500 funcionários e fazer rotações mais altas. De acordo com o plano – o quarto omnibus da Comissão – essas empresas só terão que manter um registro do processamento dos dados dos usuários quando for considerado “alto risco”, por exemplo, informações médicas privadas.
A mudança ocorre sete anos depois que o GDPR entrou em vigor. Desde então, o livro de regras protegeu os dados do consumidor de gigantes de tecnologia dos EUA, mas também é percebido como oneroso para empresas menores e de médio porte que geralmente não tinham os meios para contratar advogados de proteção de dados.
A maior multa publicado De acordo com as regras até agora, é de 1,2 bilhão de euros na gigante da tecnologia dos EUA Meta: a Autoridade de Proteção de Dados Irish multou a Companhia em 2023 para transferências inválidas de dados.
Embora as multas sejam geralmente mais baixas para empresas menores, em até 20 milhões de euros ou 4% da rotatividade anual, elas permanecem significativas.
Na Holanda, por exemplo, o VoetBaltv, uma plataforma de vídeo para jogos de futebol amador, foi multado em € 575.000 pelo regulador holandês de privacidade em 2018. Embora a empresa tenha recorrido e o tribunal anule a multa, ela teve que pedir falência.
Multas mais baixas
Tanto o legislador da UE Axel Voss (Alemanha/EPP), que esteve envolvido na direção da legislação através do Parlamento Europeu, e ativistas da privacidade austríaca Max Schrems, cuja organização Noyb apresentou inúmeras queixas de proteção de dados com reguladores, chamado Para regras diferentes para empresas menores no início deste ano.
Sob o plano, 90% das empresas-pequenos varejistas e fabricantes-enfrentariam apenas pequenas tarefas de conformidade e não precisariam mais de um oficial interno de proteção de dados, sem documentação excessiva e multas administrativas mais baixas, limitadas a 500.000 €.
Voss disse que sua proposta não enfraqueceria os padrões de privacidade da UE, mas a tornará “mais executável e mais proporcional”.
Chamadas semelhantes são provenientes dos Estados -Membros: o novo governo alemão enfatizado em sua coalizão plano que funcionará no nível da UE para garantir que “atividades não comerciais (por exemplo, associações), pequenas e médias empresas e processamento de dados de baixo risco estejam isentas do escopo do GDPR”.
Preocupações da sociedade civil
Por outro lado, os grupos da sociedade civil e do consumidor alertaram que o plano da Comissão de aliviar as regras do GDPR poderia ter consequências não intencionais.
Na terça -feira, o grupo de defesa da privacidade Edri declarou em um aberto Letter O fato de a mudança correr o risco de “enfraquecer as principais salvaguardas da responsabilidade”, fazendo com que as obrigações de proteção de dados dependam do tamanho da empresa, e não do risco real para os direitos das pessoas. Também teme que isso possa levar a uma pressão adicional para reverter outras partes do GDPR.
Os defensores do consumidor compartilham preocupações semelhantes, em uma carta do final de abril, o grupo de consumidores pan-europeu Beuc alertou que mesmo pequenas empresas podem causar danos graves por meio de violações de dados. Argumentou que o uso de funcionários ou rotatividade como base para isenções poderia criar incerteza legal e ir contra os direitos fundamentais da UE.
Ambos os grupos dizem que o foco deve estar na melhor aplicação das regras existentes e do apoio mais prático para pequenas empresas.
Conversas paralelas sobre regras de aplicação do GDPR
Enquanto isso, as reformas da lei de privacidade de dados estão em negociação entre o Conselho e o Parlamento Europeu. Espera -se que uma nova rodada de discussões políticas sobre o regulamento processual do GDPR ocorra na quarta -feira.
As instituições da UE estão tentando finalizar um acordo tão esperado para melhorar a cooperação entre as autoridades nacionais de proteção de dados. O regulamento deve abordar atrasos e inconsistências na forma como os casos transfronteiriços são tratados sob o GDPR, harmonizando procedimentos e prazos.
De acordo com especialistas familiarizados com o arquivo, um dos principais pontos de discórdia é se deve introduzir prazos vinculativos para as autoridades nacionais agirem sobre as queixas. Enquanto o Parlamento pressionou os prazos mais claros para acelerar a aplicação, alguns estados membros argumentam que os prazos fixos podem sobrecarregar as autoridades e aumentar os riscos legais.
No entanto, não se espera que essa mudança afete o 4º pacote Omnibus da Comissão.
