A Comissão de Proteção de Dados da Irlanda (DPC) investigou uma queixa contra a Apple relacionada à retenção de dados após um pedido de exclusão. Em março de 2019, um usuário solicitou a exclusão de seu Apple ID, e a empresa confirmou que os dados armazenados seriam permanentemente apagados. No entanto, a Apple manteve o hash do endereço de e-mail do usuário, sem informá-lo dessa retenção. O usuário descobriu essa retenção ao tentar criar um novo Apple ID com o mesmo e-mail, o que o levou a registrar uma queixa junto à DPC em outubro de 2021.

Durante a investigação, a Apple argumentou que a retenção do valor hash era necessária para proteger os interesses legítimos da empresa, como demonstrar conformidade com as obrigações de segurança sob o artigo 32 do GDPR, prevenir a reutilização de endereços de e-mail por outros usuários e proteger contra fraudes e violações de segurança. A Apple também afirmou que a retenção permitia comprovar que a solicitação de exclusão do usuário havia sido atendida. Embora a Apple não tivesse estabelecido um prazo específico para a retenção desses dados, comprometeu-se a revisar periodicamente a necessidade de mantê-los.

A DPC analisou se a retenção do valor hash tinha uma base legal válida sob o GDPR e se a Apple cumpriu as obrigações de transparência e de resposta ao pedido de exclusão. A DPC concluiu que a retenção dos dados era justificada pelo artigo 6(1)(f) do GDPR, que permite o tratamento de dados com base em interesses legítimos, desde que esses interesses não sejam superados pelos direitos dos indivíduos. A comissão considerou que a Apple adotou salvaguardas adequadas e que a retenção do valor hash estava dentro do princípio da minimização de dados.

No entanto, a DPC constatou que a Apple falhou em cumprir as obrigações de transparência ao não informar o usuário sobre a retenção do valor hash de seu e-mail, bem como a base legal para essa retenção. Essa falta de comunicação infringiu os artigos 13(1)(c) e 13(1)(d) do GDPR, que exigem que os controladores de dados forneçam informações claras e completas aos titulares dos dados sobre o tratamento de suas informações pessoais.

Como resultado, a DPC emitiu uma reprimenda à Apple por violar as obrigações de transparência e ordenou que a empresa revisasse seus documentos relacionados à exclusão de Apple IDs, especificamente os "Termos e Condições de Exclusão de Apple ID", para corrigir as deficiências de transparência identificadas.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

21 de Agosto, 2024

Apple violou princípio da transparência ao reter hash de e-mails

Quer ficar por dentro das ultimas notícias na área?

Posts recentes