Um titular de dados apresentou uma queixa junto à Agência Espanhola de Proteção de Dados (AEPD) contra a IDFinance Spain, S.A.U. (o "controlador"), uma empresa de tecnologia financeira. A queixa alegava que o controlador estava processando ilegalmente seus dados relativos a uma dívida incorreta em seus sistemas de informação de crédito.

Em março de 2023, o titular contestou a dívida judicialmente, com o caso ainda em andamento. Ela também apresentou uma reclamação à AEPD, na qual o controlador afirmou estar deletando os dados da titular de seus sistemas de informação de crédito. No entanto, em 27 de agosto de 2023, um relatório da ASNEF (Asociación Nacional de Establecimientos Financieros de Crédito), incluiu os dados contestados fornecidos pelo controlador. Em 29 de janeiro de 2024, a AEPD iniciou um processo sancionador contra o controlador.

Em sua defesa, o controlador alegou ter deletado os dados da titular dos registros da ASNEF entre março e maio e que possuía medidas de segurança para garantir que apenas dados legais fossem transmitidos aos sistemas de informação. Contudo, reconheceu que um erro técnico havia ocorrido, causando o reenvio dos dados pessoais à ASNEF. Ao perceber o erro, o controlador imediatamente removeu os dados.

A AEPD considerou que o processamento dos dados foi errôneo e resultou de uma falha de confidencialidade devido a um erro técnico. Como resultado, concluiu que não havia base legal para o processamento, violando o Artigo 6(1) do GDPR, e recomendou uma multa de €70.000.

O Artigo 20(1)(b) da LOPD (Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales) cria uma presunção de legalidade para o processamento de dados relativos a dívidas certas, vencidas e exigíveis, cuja existência não tenha sido objeto de reclamação judicial ou administrativa. No entanto, a AEPD concluiu que isso não se aplicava ao caso, pois a dívida era objeto de reclamações e não era certa ou exequível devido aos processos judiciais em andamento.

Ao calcular a multa recomendada, a AEPD considerou como agravante a ligação das atividades do controlador como instituição financeira com o processamento de dados pessoais, dado o risco para o titular dos dados (incluindo o fato de outras entidades oferecendo serviços financeiros estarem implicadas). Rejeitou os argumentos do controlador de que não era uma instituição de crédito, e que, portanto, as circunstâncias agravantes do Artigo 76(2) da LOPDGDD não deveriam se aplicar. Também observou que a natureza não intencional do erro não exonerava o controlador.

A AEPD recomendou uma sanção de €70.000. De acordo com a Lei 39/2015, uma lei espanhola sobre processos administrativos, a AEPD informou o controlador que ele poderia reconhecer sua responsabilidade pelas violações alegadas e/ou pagar a multa proposta. Cada uma dessas ações reduziria a multa imposta em 20%. O controlador optou por reduzir a multa em 40%, reconhecendo sua responsabilidade pelas violações e pagando o valor reduzido da sanção de €56.000.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.

Comentário: No Brasil são bastante frequentes as ações em que há contestação de cobranças ou a revisão de valores cobrados. O elemento de atenção trazido pela decisão espanhola - e que também deve ser observado pelos tribunais brasileiros - é a ligação deste tema com a proteção de dados pessoais. É comum que as situações em que há um tratamento de dados pessoais sejam antecedidas por uma relação de fundo, que justifica aquele tratamento. No caso dos serviços financeiros, o tratamento de dados é realizado por causa da prestação dos serviços contratados pelo titular. Nestes casos, eventuais falhas na prestação dos serviços têm o potencial de não apenas motivarem indenizações relacionadas ao próprio serviço (por exemplo, a cobrança indevida de dívidas), mas também sobre o tratamento ilícito de dados pessoais. Nota-se, aí, uma autonomia de tutelas, o que enseja indenizações autônomas para cada uma das violações.

Guilherme Damasio Goulart

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

11 de Junho, 2024

AEPD multa controlador em €70.000 por falha na remoção de dívida contestada

Quer ficar por dentro das ultimas notícias na área?

Posts recentes