Barcelona: Em setembro e dezembro de 2022, um titular de dados solicitou que a ID FINANCE SPAIN, S.A.U., uma empresa de tecnologia financeira que oferece empréstimos, excluísse seus dados pessoais de seus sistemas de informação de crédito. O titular afirmou que nunca havia solicitado um empréstimo à empresa e anexou um boletim de ocorrência ao seu pedido. A empresa respondeu apenas ao último pedido, recusando-se a excluir os dados com base em uma suposta dívida não paga, ignorando o boletim de ocorrência anexado e afirmando que um boletim era necessário para todas as solicitações de exclusão.

Em 23 de janeiro de 2023, o titular dos dados apresentou uma queixa à Agência Espanhola de Proteção de Dados (AEPD), buscando a exclusão de seus dados. A queixa também alegou que a empresa transmitiu indevidamente seus dados aos arquivos de solvência da associação nacional de financiadores de crédito ASNEF-EQUIFAX.

A empresa argumentou que seu processamento era baseado em consentimento e apresentou um contrato e um certificado de dívida. Nenhum dos documentos estava assinado pelo titular dos dados. Além do contrato não assinado, a empresa alegou que verificou a identidade do solicitante do empréstimo com base em:

Mensagens SMS com o número de telefone listado pelo solicitante. A investigação da AEPD revelou que o número fornecido na solicitação de empréstimo não pertencia ao titular dos dados.
Respostas de um endereço IP. A AEPD observou que a empresa não verificou se o endereço IP pertencia ao titular dos dados.
Um certificado de título bancário. A investigação da AEPD revelou que a conta bancária listada na solicitação de empréstimo não pertencia ao titular dos dados.
Verificação do nome e número de identificação nacional do solicitante do empréstimo. A empresa utilizou os serviços da DEYDE Calidad de Datos, S.L., que cruzou o nome e o número de identificação nacional fornecidos na solicitação com o censo da Agência Estatal de Administração Tributária. Este processo verificou que o nome e o ID fornecidos eram consistentes com o registro da Administração Tributária, mas não verificou a identidade do solicitante.

A AEPD concluiu que a empresa carecia de uma base legal, falhou em atender ao pedido de exclusão e não tinha um encarregado de proteção de dados (DPO), violando os Artigos 6, 17 e 37(7) do RGPD. A empresa foi multada em €180.000. O titular dos dados não solicitou um empréstimo à empresa. Portanto, não forneceu consentimento para o processamento de seus dados em conexão com este empréstimo e uma base legal sob o Artigo 6(1) do RGPD não existia. A AEPD rejeitou a defesa da empresa de que não havia submetido as informações do titular dos dados à ASNEF-EQUIFAX após receber o boletim de ocorrência, pois as incluiu novamente em abril de 2023.

A AEPD também concluiu que a empresa violou repetidamente o direito do titular dos dados à exclusão, conforme o Artigo 17 do RGPD. Rejeitou a alegação da empresa de que a falta de resposta ao pedido de exclusão de setembro de 2022 foi devido a um erro interno involuntário. De fato, em resposta ao segundo pedido de exclusão do titular dos dados, em dezembro de 2022, que anexava o boletim de ocorrência, a empresa rejeitou o pedido e ignorou o anexo. Além disso, a empresa continuou a incluir os dados do titular no arquivo de solvência da ASNEF-EQUIFAX.

Finalmente, a AEPD observou que, em resposta ao pedido de um relatório das ações realizadas pelo DPO, a empresa não conseguiu demonstrar que havia nomeado um DPO ou comunicado isso à AEPD dentro do prazo exigido. Assim, a empresa violou o Artigo 37(7) do RGPD, bem como o Artigo 34(1)(f) da LOPDGDD.

A AEPD recomendou uma sanção de €225.000. De acordo com a Lei 39/2015, uma lei espanhola sobre procedimentos administrativos, a AEPD informou à empresa que ela poderia reconhecer sua responsabilidade pelas violações alegadas e/ou pagar a multa proposta. Cada uma dessas ações reduziria a multa imposta em 20%. A empresa optou por reduzir a multa em 20%, pagando uma multa de €180.000.

Com informações - GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

23 de Julho, 2024

Financeira condenada por não apagar dados de empréstimo não realizado

Quer ficar por dentro das ultimas notícias na área?

Posts recentes