O Banco Santander foi multado em 70 mil euros pela Autoridade de Proteção de Dados Espanhola (DPA) por divulgar informações excessivas sobre um titular de dados a terceiros, devido à falta de medidas de segurança adequadas. 

Em 31 de março de 2005, o titular dos dados adquiriu uma casa através de um empréstimo hipotecário concedido pelo Banco Santander. O empréstimo era garantido por um penhor sobre a casa e também por outra propriedade pertencente a uma empresa. Esta última foi posteriormente vendida pela empresa a outra pessoa. Em 5 de outubro de 2021, o titular dos dados recebeu um pedido da empresa para quitar o empréstimo. Anexado ao pedido, havia um certificado emitido pelo banco, declarando erroneamente que o titular devia uma certa quantia.

O titular dos dados solicitou esclarecimentos, pois o empréstimo só venceria em 2040. Ele questionou por que o banco havia transmitido informações adicionais sobre sua situação de empréstimo à empresa após a venda da casa. O banco se desculpou e argumentou que já havia adotado medidas de segurança para evitar esse tipo de incidente, atribuindo o erro a um funcionário.

A DPA considerou que o banco forneceu o certificado à empresa, um terceiro, mesmo sem haver dívida no momento. Isso foi considerado uma transferência excessiva de dados, violando o Artigo 5(1)(f) do GDPR, resultando em uma multa de 50 mil euros.

Além disso, a DPA constatou que o banco não implementou medidas de segurança apropriadas, levando a um incidente de segurança. A autoridade não aceitou o argumento de erro humano, afirmando que não basta ter medidas apropriadas, mas é necessário aplicá-las corretamente. Por violar o Artigo 32(1) do GDPR, o banco recebeu uma multa adicional de 20 mil euros.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.