A Autoridade de Proteção de Dados da Bélgica/Gegevensbeschermingsautoriteit (APD/GBA) ocupa uma posição incomum entre as DPAs da UE. A Bélgica abriga a sede da UE, a sede da OTAN e mais instituições financeiras internacionais do que qualquer outro país da UE, exceto Luxemburgo. A APD é, consequentemente, tanto o padrão de conformidade do GDPR de fato para o setor financeiro quanto a autoridade supervisora da decisão mais consequente sobre o quadro de consentimento do continente.
A Decisão do IAB Europe: A Decisão Mais Consequente da APD
A decisão da APD em fevereiro de 2022 contra o Quadro de Transparência e Consentimento (TCF) do IAB Europe afetou o mecanismo subjacente a aproximadamente €220 bilhões em publicidade digital europeia anualmente.
O que a APD descobriu: A "string de consentimento" do TCF — o sinal de licitação em tempo real que codifica as preferências de rastreamento do usuário usado por todos os principais editores da UE — constitui dados pessoais, porque está vinculada a um identificador pseudônimo de um usuário. O IAB Europe foi considerado um controlador conjunto desses dados, responsável por como centenas de milhares de editores e licitantes os processam.
A multa de €250.000 foi simbólica. A exigência consequente foi um redesenho fundamental do TCF — afetando todos os editores da UE que usam plataformas de gerenciamento de consentimento, todos os anunciantes programáticos e todos os fornecedores de tecnologia publicitária no mercado europeu.
Para profissionais de conformidade: a decisão da APD demonstra que a infraestrutura em todo o setor pode violar o GDPR, não apenas organizações individuais.
Setor Financeiro da Bélgica: Conformidade Dupla NIS2 + GDPR
A Bélgica abriga a Autoridade Bancária Europeia (EBA), EIOPA e a sede global da SWIFT. As instituições financeiras belgas devem satisfazer tanto o Artigo 32 do GDPR quanto o Artigo 21 da NIS2 (cibersegurança para serviços essenciais). Os dois quadros se sobrepõem significativamente:
Requisitos do Artigo 21 da NIS2 para serviços financeiros essenciais:
- Gestão de riscos cobrindo riscos humanos, físicos e digitais
- Tratamento de incidentes com relatório inicial em 24 horas
- Continuidade de negócios e recuperação de desastres
- Avaliações de segurança da cadeia de suprimentos
- Criptografia para dados em trânsito e em repouso
- Autenticação multifatorial para controle de acesso
Requisitos do Artigo 32 do GDPR:
- Pseudonimização e criptografia de dados pessoais
- Capacidade de restaurar o acesso a dados pessoais após incidentes
- Testes e avaliação de medidas de segurança
- Medidas técnicas apropriadas ao risco
A sobreposição é substancial: criptografia, controle de acesso, resposta a incidentes e segurança da cadeia de suprimentos aparecem em ambos. As instituições financeiras belgas que implementam o Artigo 32 do GDPR satisfazem de forma abrangente a maioria dos requisitos do Artigo 21 da NIS2 — tornando a documentação de conformidade integrada a abordagem mais eficiente.
Aplicação da APD em 2024: Foco no Setor Financeiro
A APD emitiu 82 decisões de aplicação em 2024 — um aumento de 56% em relação a 2023 em casos do setor financeiro. Temas de aplicação:
Perfilamento comportamental sem consentimento adequado: Instituições financeiras belgas que usam dados de transações de clientes para perfilamento (análise de gastos, modelagem de solvência, recomendação de produtos) devem satisfazer os requisitos de interesse legítimo do GDPR ou de consentimento explícito. A APD considerou "melhoria de serviços" insuficiente como interesse legítimo quando o perfilamento usa dados de transações.
Pontuação de crédito com IA: Decisões de crédito automatizadas sob o Artigo 22 do GDPR exigem mecanismos de revisão humana e explicabilidade. A APD encontrou várias empresas fintech usando modelos de crédito com IA sem as salvaguardas adequadas do Artigo 22.
Consolidação de banco de dados de marketing: Bancos e companhias de seguros que fundiram bancos de dados de clientes de aquisições — combinando dados de diferentes escopos de consentimento originais — frequentemente violaram a limitação de propósito do GDPR.
Falhas na cadeia de subprocessadores: Instituições financeiras que terceirizaram TI para países terceiros (Índia, Marrocos, Filipinas) sem mecanismos de transferência adequados e DPAs enfrentaram ações de aplicação.
Para organizações com operações no setor financeiro belga: a documentação de conformidade integrada GDPR/NIS2 cobrindo criptografia, registro de acesso, resposta a incidentes e avaliação de subprocessadores fornece a postura técnica mais defensável antes da auditoria da APD.
Fontes: