Em 11 de junho de 2018, um titular de dados fez um pedido de acesso e um pedido de exclusão ao Groupon (controlador) via e-mail. O controlador direcionou o titular ao seu portal online, que exigia o upload de uma foto da identificação para verificar a identidade.
O titular considerou isso um obstáculo para exercer seus direitos sob o GDPR e apresentou uma reclamação à Autoridade de Proteção de Dados de Baden-Württemberg em 19 de junho de 2018. A autoridade transferiu o caso para a Comissão de Proteção de Dados da Irlanda (DPC), considerada a principal autoridade supervisora neste caso.
Posteriormente, o controlador atendeu aos pedidos do reclamante sem exigir verificação de identidade. No entanto, o titular ainda estava preocupado se seus dados haviam sido completamente excluídos.
A DPC analisou duas questões principais:
- A solicitação de identificação pelo controlador para verificar a identidade do titular estava em conformidade com o GDPR?
- O controlador demonstrou adequadamente que os dados pessoais do reclamante foram completamente excluídos em resposta ao pedido de exclusão?
A DPC concluiu que o controlador violou os Artigos 5(1)(c), 6(1), 12(2), 15(1), 15(3) e 17(1) do GDPR ao exigir uma identificação para verificar a identidade do titular dos dados. Foi emitida uma advertência sem penalidade monetária. Ela determinou que o controlador infringiu o Artigo 12(2) do GDPR ao solicitar informações adicionais sobre a identidade do titular dos dados. Segundo o Artigo 12(6) do GDPR, um controlador só pode solicitar informações adicionais quando tiver dúvidas razoáveis sobre a identidade da pessoa que faz o pedido. O controlador não demonstrou tais dúvidas neste caso.
Além disso, exigir uma cópia da identificação para verificar a identidade em pedidos de acesso e exclusão violou o Artigo 5(1)(c) do GDPR. As obrigações de minimização de dados requerem que qualquer solicitação de informações adicionais seja necessária, proporcional e consistente. Neste caso, não foi necessária tal verificação para abrir uma conta inicialmente; portanto, o controlador não poderia comparar as identidades reivindicadas. O controlador poderia ter usado meios menos intrusivos para verificar a identidade do titular. De fato, em outubro de 2018, o controlador alterou seus procedimentos para não mais exigir identificação fotográfica nessas circunstâncias.
Adicionalmente, o controlador violou os Artigos 15(1) e 15(3), bem como o Artigo 17(1) do GDPR, ao não cumprir com os pedidos iniciais de acesso ou exclusão do titular sem uma base legal para não atender. A DPC também determinou que o controlador violou o Artigo 6(1) do GDPR ao continuar processando os dados pessoais do reclamante após o recebimento do pedido inicial de exclusão.
Finalmente, a DPC não encontrou violação quanto à demonstração de que os dados pessoais do titular foram completamente excluídos.
A DPC emitiu uma advertência sem penalidade monetária, considerando que o controlador não exigia mais a identificação fotográfica para verificar a identidade do titular para exercer os direitos sob o GDPR.
Com informações GDPRHub
Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.
