Em uma decisão importante sobre privacidade de dados e anonimização, o Tribunal Distrital de Overijssel concluiu que a Autoridade de Proteção de Dados dos Países Baixos (Dutch DPA) não conseguiu comprovar que os endereços MAC constituem dados pessoais, conforme definido pelo Artigo 4(1) do Regulamento Geral sobre a Proteção de Dados (RGPD). O caso envolveu o município de Enschede, que, em 6 de setembro de 2017, decidiu iniciar o rastreamento via Wi-Fi 24 horas por dia, 7 dias por semana, no centro da cidade para medir a eficácia dos investimentos municipais em vista do uso responsável de fundos públicos. O contrato para essa tarefa foi concedido à City Traffic B.V., agora Bureau RMC, que, por sua vez, contratou uma parte não nomeada para instalação e manutenção dos sensores, além da coleta e validação dos dados obtidos.

Os dados coletados incluíam endereços MAC criptografados com hash, data e hora da detecção, intensidade do sinal e ID do sensor, armazenados por um período de 6 a 7 meses. A partir de 1º de janeiro de 2019, os endereços MAC hashados também foram truncados. Em 30 de abril de 2020, o município instruiu o Bureau RMC a desligar os sensores de rastreamento.

A Dutch DPA concluiu que o método de anonimização escolhido, truncando uma pequena parte do endereço MAC criptografado com hash, não excluía suficientemente os riscos de identificação individual, vinculação ou dedução da identidade de uma pessoa com base em um identificador pseudônimo + carimbo de data/hora + informação de localização. Segundo a Dutch DPA, os funcionários do controlador poderiam identificar pessoas de três maneiras: observando quem passava pelo sensor, monitorando o momento de entrada e saída do alcance do sensor e determinando padrões de movimento com base nas leituras de vários sensores.

Contudo, o tribunal sustentou que a Dutch DPA não fundamentou adequadamente sua alegação de que os funcionários da empresa seriam capazes de identificar a pessoa natural conectada a um endereço MAC. Devido ao uso de suposições não comprovadas, o tribunal concluiu que a Dutch DPA não provou que os endereços MAC constituem dados pessoais. Portanto, não se provou que o controlador infringiu o RGPD, resultando na anulação da decisão anterior da Dutch DPA e da multa de €600.000 imposta ao município.

Com informações GDPRHub

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

28 de Março, 2024

Tribunal holandês anula multa da DPA sobre rastreamento via Wi-Fi

Quer ficar por dentro das ultimas notícias na área?

Posts recentes