Em julho de 2022, um titular de dados apresentou uma queixa ao Garante per la protezione dei dati personali (Garante), a Autoridade de Proteção de Dados da Itália, contra seu ex-empregador. Durante o emprego, ele participou de cursos de segurança e recebeu certificados. Após a demissão, ele solicitou acesso a seus dados pessoais, incluindo esses certificados.

O controlador respondeu parcialmente ao pedido, enviando uma cópia do certificado médico emitido pelo médico do trabalho, mas não dos outros certificados. Em 7 de junho de 2022, o controlador alegou que, após o término do contrato de trabalho, havia deletado os certificados, pois não tinha mais obrigação de mantê-los e continham dados sensíveis. No entanto, em 28 de junho de 2022, o controlador informou ao titular que ainda possuía os certificados, mas que iria deletá-los por ele não ser mais funcionário da empresa.

Primeiro, o Garante destacou que as informações contidas nos certificados de segurança se enquadram na definição de dados pessoais, conforme o Artigo 4(1) do GDPR. Em segundo lugar, o Garante constatou que o controlador não respondeu de forma completa e rápida ao pedido de acesso do titular. O controlador falhou em enviar uma cópia dos certificados ao titular.

O Garante especificou que, mesmo que o controlador não estivesse mais armazenando os certificados, ele deveria ter informado o titular das razões específicas para não tomar uma ação e informado sobre a possibilidade de apresentar uma reclamação à autoridade supervisora ou buscar um recurso judicial, conforme previsto no Artigo 12(4) do GDPR. Portanto, o Garante encontrou uma violação dos Artigos 12 e 15 do GDPR e aplicou uma multa de €10.000.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.