contato

20 de Junho, 2024

DPA belga aplica multa por falha na exclusão de dados e sobrecarga do DPO - Lições para o Brasil

image 43

A Autoridade de Proteção de Dados da Bélgica (DPA) multou um controlador em €172.431 por não excluir dados pessoais em campanhas de marketing direto e por sobrecarregar o DPO (Encarregado de Proteção de Dados), impedindo-o de realizar suas tarefas de forma eficaz. Inicialmente, a multa foi de €245.000, mas foi reduzida devido à difícil situação financeira do controlador.

Em 30 de junho de 2022, um titular de dados comprou um produto do controlador e descobriu uma cobrança inesperada de €1,50 referente a uma "contribuição de energia" em sua fatura de maio de 2022. Ele solicitou o reembolso dessa sobretaxa e a exclusão de todos os seus dados pessoais. O controlador recusou o reembolso, mas confirmou que a solicitação de exclusão seria tratada prontamente.

No entanto, o titular continuou a receber comunicações publicitárias. Em 18 de novembro de 2022, solicitou mediação da DPA belga. Em 14 de fevereiro de 2023, sem resposta do controlador, a DPA informou ao titular que ele poderia transformar sua solicitação de mediação em uma queixa, o que foi feito no mesmo dia.

Durante a audiência, o controlador explicou que o processo de exclusão dos dados do titular passava por várias etapas e que houve um erro na compreensão da solicitação pelo antigo DPO, que usou o "código 43" para restringir o tratamento, mas não para excluir os dados. Além disso, o DPO não processou a correspondência com a DPA ou o titular dos dados, nem compartilhou essas informações internamente. Apesar da restrição do processamento e cessação das chamadas comerciais, newsletters continuaram a ser enviadas até dezembro de 2022. Em dezembro de 2022, a situação foi corrigida.

O controlador informou à DPA, em 11 de novembro de 2023, que os dados do titular haviam sido excluídos e comunicou isso ao titular. Em 15 de março de 2024, a APD notificou o controlador sobre a intenção de impor uma multa administrativa, dando-lhe a oportunidade de se defender. A resposta do controlador foi recebida em 5 de abril de 2024.

Assim, a autoridade decidiu que:

  • O controlador falhou em excluir os dados pessoais do titular e em interromper o tratamento para marketing direto, violando os artigos 17 e 21 do GDPR. O controlador também não respondeu adequadamente à solicitação de exclusão e objeção do titular, apesar de medidas corretivas tardias.
  • O controlador violou os princípios de legalidade e transparência estabelecidos no artigo 5(1)(a) do GDPR ao continuar processando dados pessoais sem base legal após a retirada do consentimento do titular. Também falhou em informar o titular sobre as medidas tomadas.
  • O controlador não implementou medidas técnicas e organizacionais adequadas para garantir a conformidade com o GDPR. A sobrecarga do DPO e a falha na resposta aos pedidos destacam a falta de cumprimento das obrigações do GDPR.

A DPA decidiu impor uma multa de €245.000, reduzida para €172.431 devido à difícil situação financeira do controlador, que poderia colocar em risco 400 empregos e levar à cessação das atividades na Bélgica.

Com informações GDPRHub e Autorité de protection des données

Comentário: Destaca-se nesta decisão um aspecto curioso do controle efetuado pela Autoridade: o próprio controle do desempenho das funções do encarregado de proteção de dados. É evidente que o controlador precisa disponibilizar os meios possíveis para que o encarregado realize suas atividades. Deve ser notado, contudo, que o GDPR é mais específico do que a LGPD neste sentido. Em seu artigo 38, estabelece a obrigação do controlador assegurar “que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais". Isso significa que não basta a mera seleção de um funcionário para o cargo, é preciso dar as condições para que ele realize suas atividades definidas em Lei. O referido artigo ainda indica que o controlador deve apoiar o encarregado "no desempenho das funções a que se refere o artigo 39, fornecendo-lhe os recursos necessários para o efeito e para a manutenção dos seus conhecimentos[...]". A decisão ainda cita o documento "Orientações sobre os encarregados para proteção de dados" (wp243) do Grupo do artigo 29º para a Proteção de Dados, para amparar sua fundamentação. Acerca dos recursos necessários para o desempenho de suas funções, o referido documento aponta a garantia de "tempo suficiente para que os EPD exerçam suas funções" destacando que "O incumprimento deste requisito poderia gerar conflitos de prioridades que se sobreporiam ao exercício das atribuições do EPD". 

A decisão destaca, portanto, o fato de que os controladores devem fornecer as condições necessárias para que os encarregados desempenhem suas funções, constituindo uma violação ao GDPR a desconsideração dessa garantia.

Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4, complementado por análises e comentários adicionais de Guilherme Damasio Goulart.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites
20 de Novembro, 2024

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos
20 de Novembro, 2024

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais
20 de Novembro, 2024

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram