A Agência Espanhola de Proteção de Dados (AEPD) confirmou uma multa de €70.000 imposta a Caixabank Payments & Consumer EFC, EP, S.A.U. por tratar dados pessoais sem base legal, em um caso de fraude de identidade ligado ao cartão de crédito da Ikea. Em 14 de dezembro de 2023, a AEPD concluiu que o banco tratou os dados da reclamante, que foi vítima de furto de identidade, sem nenhum fundamento jurídico. A reclamação inicial foi feita em 24 de novembro de 2021, após a reclamante ter seu pedido de empréstimo negado devido a uma dívida registrada erroneamente em seu nome. Destaque para o fato de que não foram solicitados todos os documentos apresentados no FAQ da instituição, além da assinatura da reclamante ser diferente do seu documento de identidade.
A dívida associada ao cartão de crédito foi inicialmente ativada por um vendedor da Ikea em janeiro de 2020, acumulando um montante de €690,25 até junho de 2020, sendo posteriormente vendida como parte de um portfólio de dívidas, apesar de não corresponder à reclamante. A AEPD rejeitou a aplicação do Artigo 20 da LOPDGDD, argumentando que a dívida não era certa, vencida e exigível, já que não pertencia à reclamante. Ademais, a autoridade descartou o argumento de interesse legítimo, sob o Artigo 6(1)(f) do GDPR, dado que os interesses do banco não superavam os direitos da vítima.
O banco apelou internamente em 14 de novembro de 2023, alegando não ter culpa no processo de transferência da dívida, uma vez que desconhecia a fraude no momento da transação. No entanto, a AEPD manteve sua decisão, destacando a negligência do banco na verificação da identidade da pessoa contratante, e reafirmou que as medidas tomadas pelo banco para garantir a transação se concentram em assegurar que o empréstimo fosse para uma conta bancária existente, independentemente de quem fosse o titular.
Comentário: As contratações digitais e à distância demandam dos controladores cuidados aprofundados para a identificação dos contratantes. Como perde-se a o caráter presencial da operação, medidas adicionais de verificação e confirmação devem ser tomadas pelos agentes de tratamento. Para além dos aspectos das questões financeiras relacionadas à fraude, a tendência mundial representada pela decisão espanhola demonstra que os danos são ampliados a partir do momento em que há o tratamento inadequado e ilícito de dados pessoais. As instituições devem manter protocolos fortes, documentados e frequentemente testados, a fim de demonstrar a tomada de medidas adequadas para evitar fraudes. Ademais, como houve uma cessão de crédito, o cessionário deve certificar-se de que as medidas de segurança foram tomadas pelo cedente.
Com informações GDPRHub
Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4, complementado por análises e comentários adicionais de Guilherme Damasio Goulart
