contato

6 de Fevereiro, 2024

CNIL Impõe Multa de €32 Milhões à Amazon France por Violação de Dados de Empregados

image 15

Em novembro de 2019, a Comissão Nacional de Informática e Liberdades (CNIL) da França realizou inspeções nas instalações da Amazon France Logistique, com o objetivo de investigar o processamento de dados pessoais de empregados através de scanners e vigilância por vídeo. Durante a inspeção, foi descoberto que os empregados, ao serem designados para tarefas diretas, utilizavam scanners que permitiam a identificação pessoal, recebimento de instruções e escaneamento de etiquetas dos itens processados. Esse sistema possibilitava a coleta contínua de dados relacionados à atividade dos empregados, permitindo medir sua produtividade, especialmente pelo número de unidades processadas em determinado período.

Indicadores de inatividade eram reportados em tempo real para cada empregado. Um desses indicadores, denominado "Stow Gun Machine", permitia ao controlador monitorar cada gesto realizado pelo empregado em suas tarefas, associando um indicador de erro sempre que a velocidade era inferior a 1,25 segundos. Esses dados eram armazenados por 31 dias e podiam ser consultados tanto em formato bruto quanto estatístico. Relatórios de desempenho semanais eram elaborados com base nesses indicadores, contendo estatísticas semanais, diárias e horárias sobre o cumprimento dos procedimentos de qualidade e produtividade.

Após as inspeções e diversos intercâmbios entre a CNIL e a Amazon France Logistique, de novembro de 2019 a janeiro de 2021, a CNIL iniciou um procedimento sancionatório contra a empresa em 28 de janeiro de 2021. A CNIL estabeleceu preliminarmente que a Amazon France Logistique era a controladora dos dados, conforme o Artigo 4(7) do GDPR, considerando que a determinação do processamento estava ligada à gestão de recursos humanos da Amazon na França.

A CNIL se considerou competente para decidir sobre o caso, uma vez que o processamento dos dados pessoais dos empregados era realizado no contexto das atividades do controlador, que tem seu escritório registrado na França, e o processamento em questão afetava apenas empregados trabalhando nos armazéns da empresa localizados na França.

A CNIL observou que o processamento baseado no indicador "Stow Gun Machine" poderia ter repercussões morais nos empregados e os indicadores de inatividade estavam vinculados à identidade de cada empregado, o que, na prática, os obrigava a justificar qualquer tempo considerado não produtivo. A autoridade considerou que essas medidas eram altamente intrusivas e, portanto, não poderiam ser baseadas no Artigo 6(1)(f) do GDPR.

Além disso, o processamento falhou em cumprir com o princípio de minimização de dados (Artigo 5(1)(c) do GDPR), violou os requisitos de informação contidos nos Artigos 12 e 13 do GDPR e não atendeu às exigências de segurança do Artigo 32 do GDPR, especialmente no que diz respeito à vigilância por vídeo. Devido a todas essas violações, a CNIL decidiu impor uma multa administrativa de €32 milhões à Amazon France Logistique. A decisão 7 de Dezembro de 2023.

Com informações - GDPR Hub e CNIL.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites
20 de Novembro, 2024
Guilherme Damasio Goulart
Sem comentários

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos
20 de Novembro, 2024
Guilherme Damasio Goulart
Sem comentários

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais
20 de Novembro, 2024
Guilherme Damasio Goulart
Sem comentários

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram