A diretora sênior de marketing e diretora-gerente de uma empresa belga ("titular dos dados") foi demitida em agosto de 2022, com um período de aviso prévio de seis semanas. Durante esse período, houve uma disputa sobre seu acesso à caixa de correio profissional, que foi cortado em 12 de setembro de 2022. O acesso à caixa de correio foi supostamente concedido ao seu superior, que foi orientado a não acessá-la.

Em 15 de setembro de 2022, a titular dos dados fez uma solicitação de acesso, pedindo confirmação de que ninguém havia acessado sua caixa de correio com base nos logs de TI. Em 25 de janeiro de 2023, o controlador forneceu um resumo dos logs, mostrando que não houve acesso à caixa de correio. No entanto, a titular dos dados alegou que o documento estava impreciso ou incompleto e observou que sua conta de e-mail profissional ainda existia em janeiro de 2023.

A titular dos dados apresentou uma queixa à Autoridade de Proteção de Dados da Bélgica (GBA).

A GBA considerou que o processamento contínuo de uma caixa de correio pode ser legal, desde que algumas condições sejam respeitadas. A caixa de correio pode permanecer ativa por um período limitado após a demissão, com envio automático de comunicações padrão sobre a saída do titular dos dados para assegurar o funcionamento adequado da empresa. Contudo, outras disposições do GDPR devem ser respeitadas.

A GBA estabeleceu que o controlador tem um mês para excluir o endereço de e-mail e a caixa de correio do titular dos dados, a menos que haja acordos diferentes entre as partes. Um período mais longo pode ser concedido dependendo do contexto e da responsabilidade do titular dos dados, mas deve haver consentimento para essa extensão.

No caso em questão, a GBA observou que as modalidades de encerramento não foram definidas e implementadas de forma transparente. Por exemplo, não estava claro quanto tempo o e-mail continuou existindo após a saída da titular dos dados e quem teve acesso a ele. Além disso, a titular dos dados não foi informada sobre o período de transição estendido pelo controlador. A GBA considerou que um período de transição superior a um mês parecia justificado devido à posição de destaque da titular dos dados na empresa, mas o encerramento da caixa de correio se estendeu além dos três meses recomendados, visto que a conta ainda existia em janeiro de 2023. Também surgiram dúvidas sobre o possível acesso de terceiros à caixa de correio da titular dos dados.

Assim, a GBA considerou que o controlador não tomou medidas técnicas e organizacionais para garantir a conformidade com o GDPR. Isso destaca a falta de arranjos transparentes sobre a política de encerramento de caixas de correio de ex-funcionários, o que pode violar o Artigo 5(1)(a) e o Artigo 25 do GDPR. Também houve uma suspeita de violação dos Artigos 6(1) e 5(1)(a) do GDPR, pois a caixa de correio foi mantida aberta sem base legal.

A GBA também discutiu a resposta tardia à solicitação de acesso da titular dos dados. A titular dos dados fez a solicitação em setembro de 2022, e a primeira resposta foi datada de janeiro de 2023. Portanto, o controlador não respondeu em tempo hábil, conforme o Artigo 12(3) do GDPR.

Dessa forma, a GBA emitiu uma advertência preliminar ao controlador pela falta de uma política adequada de encerramento de caixas de correio de ex-funcionários e pelo atraso na resposta à solicitação de acesso.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4, com revisão humana.