contato

31 de Maio, 2024

Ordenada exclusão de dados por falha em informar coleta de dados de candidato a emprego

image 26

Trata-se de uma situação em que o titular dos dados estava registrado como candidato a emprego no Serviço Público de Emprego da Áustria. Ele recebeu ofertas de emprego não solicitadas de uma empresa (o "controlador") por mensagem de texto (ou seja, um controlador diferente daquele que inicialmente ele fornecera os dados). A empresa informou ao titular dos dados, por telefone, que havia obtido suas informações de contato do Serviço Público de Emprego da Áustria ("AMS").

O titular dos dados solicitou a exclusão de seus dados ao controlador por e-mail, mas não obteve resposta e continuou a receber mensagens de texto com ofertas de emprego.

Diante disso, o titular dos dados apresentou uma reclamação à Autoridade de Proteção de Dados da Áustria ("Datenschutzbehörde").

O controlador argumentou que, como o titular dos dados estava registrado como candidato a emprego no AMS no momento do primeiro contato, não seria ilegal enviar ofertas de emprego. Portanto, a empresa alegou ter o direito de processar os dados do titular para fins comerciais, conforme os interesses legítimos previstos no Artigo 6(1)(f) do GDPR. O controlador não abordou o direito de exclusão dos dados do titular em sua defesa.

O titular dos dados afirmou que não questionava a legalidade da coleta de seus dados, mas queria exercer seu direito à exclusão. Ele explicou que havia suspendido todos os seus anúncios de emprego no portal online do AMS, pois não precisava mais do suporte do AMS. No entanto, continuou recebendo mensagens de texto do controlador com ofertas de emprego, apesar de várias solicitações de exclusão.

A Autoridade de Proteção de Dados da Áustria determinou que o controlador deve não apenas justificar a legalidade do processamento dos dados conforme o Artigo 6 do GDPR, mas também cumprir os princípios de processamento estabelecidos no Artigo 5 do GDPR. De acordo com o Artigo 5(2) do GDPR, o controlador é obrigado a demonstrar conformidade com esses princípios, o que não foi feito.

Conforme o Artigo 5(1)(a) do GDPR, os dados pessoais devem ser processados de forma legal, justa e transparente. A Autoridade explicou que desse princípio de transparência decorre o Artigo 14 do GDPR, que impõe a obrigação de informar quando os dados não são coletados diretamente do titular. A Autoridade afirmou que o controlador obteve os dados do titular de um anúncio de emprego criado pelo próprio titular no e-Job-Room do AMS, sem sua participação e conhecimento. Assim, a exceção à obrigação de informar, prevista no Artigo 14(5)(a) do GDPR, não se aplicava. O controlador deveria ter fornecido ao titular as informações previstas no Artigo 14 do GDPR, no mais tardar, no momento da primeira mensagem de texto. A Autoridade concluiu que o controlador não fez isso, violando o princípio da transparência e processando os dados do titular de forma ilegal.

Quanto ao pedido de exclusão, a Autoridade afirmou que, segundo o Artigo 17(1)(d) do GDPR, o titular tem direito à exclusão sem demora injustificada e o controlador é obrigado a excluir os dados pessoais sem demora quando esses dados forem processados ilegalmente. A Autoridade considerou desnecessário abordar outros possíveis motivos para exclusão, como a objeção do titular ao processamento nos termos do Artigo 17(1)(c) do GDPR.

Portanto, a Autoridade determinou que o controlador deveria ter excluído os dados do titular imediatamente após receber a solicitação de exclusão, ou, no máximo, dentro do prazo de um mês, conforme o Artigo 12(3) do GDPR. Ao não fazê-lo, o controlador violou o direito do titular à exclusão, previsto no Artigo 17 do GDPR.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4, com revisão humana.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites
20 de Novembro, 2024

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos
20 de Novembro, 2024

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais
20 de Novembro, 2024

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram