A Autoridade de Proteção de Dados Italiana (DPA) impôs multa de €2.000 à Emme ci.service. (controladora) por violações relacionadas ao uso contínuo de dados pessoais de ex-funcionários e pela recusa em responder a um pedido de acesso. Dois ex-técnicos da empresa apresentaram queixa à DPA devido ao processamento de seus dados pessoais após o término da relação de emprego, especificamente pelo uso de seus nomes e detalhes de contato no cabeçalho dos boletins da empresa, mesmo após comunicação ao controlador.
Além disso, a controladora manteve as contas de e-mail dos sujeitos de dados ativas por 7 meses após o término do emprego. Eles também alegaram que a controladora falhou em entregar certificados de participação em um curso básico de operação de plataformas elevatórias realizado em 2009.
A controladora justificou que, devido à renúncia repentina e imprevista dos funcionários, continuou a usar os boletins antigos até a chegada dos novos, que não faziam referência aos ex-funcionários, e que nunca acessou as contas de e-mail dos mesmos durante ou após o término do emprego. Afirmou ainda que os sujeitos dos dados poderiam ter excluído a conta a qualquer momento e que não está na posse dos certificados de participação, argumentando que os certificados, válidos por apenas quatro anos, não precisavam ser mantidos por um período tão longo.
A DPA constatou que a continuação do processamento dos dados dos ex-funcionários nos boletins constituiu uma violação dos artigos 5(1)(a), 6, 12, 15 e 17 do GDPR, por falta de uma base legal apropriada e não estar em conformidade com o princípio de justiça. Em relação às contas de e-mail, não foram encontradas evidências de violação das regras de proteção de dados. No entanto, foi encontrada uma violação nos artigos 12 e 15 do GDPR pela falha em responder adequadamente ao pedido de acesso aos certificados, onde a controladora deveria ter informado a incapacidade de fornecer os documentos solicitados e as razões para a não conformidade.
A DPA rejeitou o argumento de que não havia obrigação de responder a pedidos enviados por terceiros, como o advogado dos sujeitos dos dados, destacando que os controladores podem verificar a identidade de terceiros agindo em nome dos sujeitos dos dados. A multa de €2.000 foi imposta por violações dos artigos 5(1)(a), 6, 12, 15 e 17 do GDPR.
Comentário: Embora o caso tenha ocorrido na Itália, a situação também demandaria resolução semelhante com a lei brasileira. Destaca-se aqui o art. 6º, incisos I e III da LGPD, que aborda os princípios da finalidade e necessidade no tratamento de dados. Em relação à finalidade, a lei estabelece que os dados deverão ser tratados para os propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Por outro lado, o princípio da necessidade limita o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Em outras palavras, apenas os dados essenciais para a realização das finalidades devem ser coletados, evitando a coleta excessiva ou desnecessária de informações pessoais. Portanto, quando comparado ao caso aqui apresentado, seria necessário observar a finalidade e a necessidade da empresa utilizar dados de ex-funcionários de forma contínua e o motivo pelo qual as contas de e-mail foram mantidas ativas. Por fim, de acordo com a legislação brasileira, após alcançar a finalidade para a qual os dados foram coletados é necessário encerrar o tratamento desses dados. Desta forma, o art. 16, incisos I ao IV elenca algumas hipóteses que autoriza os controladores aa conservar os dados para finalidades específicas, por exemplo, para o cumprimento de obrigação legal ou regulatória pelo controlador.
Com informações - GDPRHub
Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4, complementado por análises e comentários adicionais de Mariana Ludwig.
