Órgão público dinamarquês deve fornecer logs de segurança de sistema

Em 3 de outubro de 2023, a Autoridade de Proteção de Dados dinamarquesa (DPA) recebeu uma reclamação de um titular de dados indicando que o Ministério do Interior e Saúde havia se recusado a dar-lhe acesso ao log de segurança do Sistema de Registro Civil. O log continha informações sobre a data e hora das consultas, bem como um ID associado à pessoa natural que realizou a busca. Em 20 de novembro de 2023, a DPA encaminhou a reclamação ao controlador, para que reconsiderasse a sua recusa à luz do caso do TJUE C-579/21, ''Pankki S''.Em 4 de janeiro de 2024, o controlador manteve a recusa, argumentando que § 22 da Lei de Proteção de Dados, a legislação nacional que implementa o Artigo 23 do GDPR, introduz uma exceção ao direito de acesso neste caso. O controlador alegou que considerações relativas, entre outras coisas, à proteção da segurança nacional, incluindo a prevenção, investigação, detecção ou repressão de infrações penais, superavam o direito do titular dos dados de acessar as informações que podem ser derivadas do log de segurança do CPR. Além disso, o controlador argumentou que a recusa é justificada pelos recursos que seriam envolvidos no processamento e resposta a um pedido de acesso ao log de segurança do CPR. Finalmente, o controlador enfatizou que o log de segurança do CPR por si só não pode ser usado para verificar se um determinado processamento de dados pessoais é legal, pois não contém informações sobre a finalidade da autoridade ou empresa para o processamento dos dados do titular.Primeiramente, a DPA concordou com o controlador sobre o fato de que § 22 da Lei de Proteção de Dados dinamarquesa contém várias exceções ao Artigo 15 do GDPR. No entanto, a DPA apontou que as notas especiais ao § 22(2) da Lei de Proteção de Dados indicam que uma restrição ao direito de acesso só pode ser feita com base em um equilíbrio concreto dos interesses conflitantes e apenas se houver um risco óbvio de que o interesse público sofrerá dano significativo.Além disso, quanto ao argumento relacionado à falta de recursos, a DPA considerou que § 22 da Lei de Proteção de Dados visa prevenir a divulgação de informações que devem permanecer secretas, pois, se divulgadas, resultariam em um dano ao interesse público. Por outro lado, o interesse (financeiro) do controlador de dados em não usar recursos significativos para responder a um pedido de acesso não pode ser considerado coberto pela disposição. Portanto, a DPA concluiu que o controlador não pode se basear nesta disposição para recusar fornecer ao titular dos dados essas informações.Em segundo lugar, a DPA lembrou que o TJUE, no caso C-579/21, ''Pankki S'', decidiu que o Artigo 15(1) do GDPR implica que informações relativas a operações de consulta realizadas sobre os dados pessoais de um titular e relativas às datas e finalidades dessas operações constituem informações que essa pessoa tem o direito de obter nos termos do Artigo 15(1) do GDPR.Em terceiro lugar, a DPA concluiu que, mesmo que não seja possível usar o log de segurança do CPR isoladamente para verificar a legalidade do processamento, o acesso a ele pode contribuir para isso. Por exemplo, ao obter acesso ao log de segurança do CPR, o titular dos dados poderá contatar a autoridade ou empresa em questão. No entanto, a DPA observou que sua própria opinião mudou após o julgamento do TJUE no caso C-579/21, ''Pankki S'', pois, antes disso, havia considerado que não havia direito de acesso aos logs de segurança. Portanto, a DPA decidiu não emitir uma reprimenda. Por outro lado, considerou que o Ministério do Interior e Saúde deverá processar os pedidos de acesso que receber no futuro de acordo com esta decisão.