contato

16 de Maio, 2024

Autoridade espanhola multa banco em €70.000 por tratamento indevido de dados pessoais

image 22

A Agência Espanhola de Proteção de Dados (AEPD) confirmou uma multa de €70.000 imposta a Caixabank Payments & Consumer EFC, EP, S.A.U. por tratar dados pessoais sem base legal, em um caso de fraude de identidade ligado ao cartão de crédito da Ikea. Em 14 de dezembro de 2023, a AEPD concluiu que o banco tratou os dados da reclamante, que foi vítima de furto de identidade, sem nenhum fundamento jurídico. A reclamação inicial foi feita em 24 de novembro de 2021, após a reclamante ter seu pedido de empréstimo negado devido a uma dívida registrada erroneamente em seu nome. Destaque para o fato de que não foram solicitados todos os documentos apresentados no FAQ da instituição, além da assinatura da reclamante ser diferente do seu documento de identidade.

A dívida associada ao cartão de crédito foi inicialmente ativada por um vendedor da Ikea em janeiro de 2020, acumulando um montante de €690,25 até junho de 2020, sendo posteriormente vendida como parte de um portfólio de dívidas, apesar de não corresponder à reclamante. A AEPD rejeitou a aplicação do Artigo 20 da LOPDGDD, argumentando que a dívida não era certa, vencida e exigível, já que não pertencia à reclamante. Ademais, a autoridade descartou o argumento de interesse legítimo, sob o Artigo 6(1)(f) do GDPR, dado que os interesses do banco não superavam os direitos da vítima.

O banco apelou internamente em 14 de novembro de 2023, alegando não ter culpa no processo de transferência da dívida, uma vez que desconhecia a fraude no momento da transação. No entanto, a AEPD manteve sua decisão, destacando a negligência do banco na verificação da identidade da pessoa contratante, e reafirmou que as medidas tomadas pelo banco para garantir a transação se concentram em assegurar que o empréstimo fosse para uma conta bancária existente, independentemente de quem fosse o titular.  

Comentário: As contratações digitais e à distância demandam dos controladores cuidados aprofundados para a identificação dos contratantes. Como perde-se a o caráter presencial da operação, medidas adicionais de verificação e confirmação devem ser tomadas pelos agentes de tratamento. Para além dos aspectos das questões financeiras relacionadas à fraude, a tendência mundial representada pela decisão espanhola demonstra que os danos são ampliados a partir do momento em que há o tratamento inadequado e ilícito de dados pessoais. As instituições devem manter protocolos fortes, documentados e frequentemente testados, a fim de demonstrar a tomada de medidas adequadas para evitar fraudes. Ademais, como houve uma cessão de crédito, o cessionário deve certificar-se de que as medidas de segurança foram tomadas pelo cedente.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4, complementado por análises e comentários adicionais de Guilherme Damasio Goulart

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites
20 de Novembro, 2024

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos
20 de Novembro, 2024

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais
20 de Novembro, 2024

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram