Além das multas milionárias
As penalidades de menor expressão econômica já aplicadas na União Européia após um ano de GDPR
A GDPR (General Data Protection Regulation) está em vigor há mais de um ano na União Européia, sendo que neste período foi possível observar a aplicação de multas milionárias que estamparam os portais de notícias, tais como as sofridas pela Google e pela British Airways.
No entanto, existem outras que, embora em quantias menos expressivas, demonstram a forma rigorosa com que é feita a fiscalização e apuração de incidentes decorrentes da aplicação desta nova legislação.
Além disso, muitas delas nos permitem criar expectativas no que tange ao cenário de aplicação no âmbito brasileiro, com a entrada em vigor da LGPD que ocorrerá em agosto de 2020. Faço abaixo um breve resumo de algumas dessas decisões.
Ex-funcionária com fotos expostas nas redes sociais
A Autoridade Tcheca de Proteção de Dados (UOOU) aplicou uma multa no valor de 10.000 CZK ao empregador que deixou de remover as fotos de uma ex-funcionária das redes sociais da empresa, mesmo após três solicitações.
A ex-funcionária acionou a autoridade alegando já estar trabalhando em outro local, e que não gostaria que os novos clientes lhe associassem ao antigo emprego.
Fonte: UOOU
Violação do direito ao esquecimento
A Inspecção do Estado de Dados (DSI) da Letônia aplicou uma multa no valor de 7.000,00 euros a uma loja on-line devido a violação do direito ao esquecimento de um titular.
De acordo com a DSI, responsável pela proteção de dados do país, o usuário fez a reclamação após ter solicitado inúmeras vezes a loja que excluísse seus dados sem ter obtido êxito na solicitação. Na aplicação a DSI levou em conta os elementos: natureza da infração, a colaboração com a autoridade supervisora, número de titulares afetados e o faturamento anual da empresa.
Fonte: DVI
A lista do café da manhã
A operadora do World Trade Center Bucharest S.A foi multada em 15.000,00 euros pela Autoridade Nacional Supervisora Romena para Processamento de Dados Pessoais (ANSPDCP), tendo em vista a exposição de uma lista impressa contendo os dados de 46 clientes para os quais seriam servidos o café da manhã. A lista ainda teria sido fotografada por pessoas não autorizadas, e divulgadas em ambiente on-line.
De acordo com a autoridade, o operador não implementou medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco de processamento gerado, o que levou a violação dos dados pessoais de 46 clientes.
Fonte: ANSPDCP
O Princípio da transparência
A Autoridade Helênica de Proteção de Dados (HDPA), da Grécia, conduziu uma investigação ex officio para apurar a legalidade do processamento de dados dos funcionários da PWC Business Solutions, que resultou em uma multa de 150.000,00 euros.
De acordo com a autoridade, foi solicitado aos funcionários o consentimento destes para o tratamento dos dados pessoais, quando na verdade esta não era a base legal correta a ser aplicada, pois o consentimento dos titulares dos dados no contexto das relações de trabalho não pode ser considerado livremente devido ao claro desequilíbrio entre as partes.
Portanto, entendeu-se que a empresa violou o princípio da transparência quando deu aos funcionários a falsa impressão de que iria processar seus dados pessoais sob a base legal do consentimento, enquanto na realidade iria processar seus dados sob uma base legal diferente sobre a qual os funcionários não foram informados.
Fonte: HDPA
O interesse legítimo para cobrança de dívidas
A Autoridade Nacional Húngara para Proteção de Dados e Liberdade de Informação (NAIH) aplicou uma multa no valor de 3.200,00 euros à uma instituição financeira que recusou-se a cumprir a solicitação do titular de exclusão sob alegação de possuir interesse legítimo.
O usuário teria solicitado à instituição que deletasse seu número de telefone, o que foi negado sob alegação de que havia um interesse legítimo da empresa processar esse dado para impor uma eventual reivindicação de dívida contra o usuário.
A decisão da autoridade frisou que o número de telefone não é necessário para fins de cobranças de dívidas, e que tal conduta da empresa era contrária aos princípios de minimização de dados e limitação de objetivos.
Fonte: NAIH