A GDPR (General Data Protection Regulation) está em vigor há mais de um ano na União Européia, sendo que neste período foi possível observar a aplicação de multas milionárias que estamparam os portais de notícias, tais como as sofridas pela Google e pela British Airways. 

No entanto, existem outras que, embora em quantias menos expressivas, demonstram a forma rigorosa com que é feita a fiscalização e apuração de incidentes decorrentes da aplicação desta nova legislação.

Além disso, muitas delas nos permitem criar expectativas no que tange ao cenário de aplicação no âmbito brasileiro, com a entrada em vigor da LGPD que ocorrerá em agosto de 2020. Faço abaixo um breve resumo de algumas dessas decisões.

 

Ex-funcionária com fotos expostas nas redes sociais

 

A Autoridade Tcheca de Proteção de Dados (UOOU) aplicou uma multa no valor de 10.000 CZK ao empregador que deixou de remover as fotos de uma ex-funcionária das redes sociais da empresa, mesmo após três solicitações.

A ex-funcionária acionou a autoridade alegando já estar trabalhando em outro local, e que não gostaria que os novos clientes lhe associassem ao antigo emprego. 

Fonte: UOOU

 

Violação do direito ao esquecimento

 

A Inspecção do Estado de Dados (DSI) da Letônia aplicou uma multa no valor de 7.000,00 euros a uma loja on-line devido a violação do direito ao esquecimento de um titular.

De acordo com a DSI, responsável pela proteção de dados do país, o usuário fez a reclamação após ter solicitado inúmeras vezes a loja que excluísse seus dados sem ter obtido êxito na solicitação. Na aplicação a DSI levou em conta os elementos: natureza da infração, a colaboração com a autoridade supervisora, número de titulares afetados e o faturamento anual da empresa.

Fonte: DVI

 

A lista do café da manhã

 

A operadora do World Trade Center Bucharest S.A foi multada em 15.000,00 euros pela Autoridade Nacional Supervisora Romena para Processamento de Dados Pessoais (ANSPDCP), tendo em vista a exposição de uma lista impressa contendo os dados de 46 clientes para os quais seriam servidos o café da manhã. A lista ainda teria sido fotografada por pessoas não autorizadas, e divulgadas em ambiente on-line. 

De acordo com a autoridade, o operador não implementou medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco de processamento gerado, o que levou a violação dos dados pessoais de 46 clientes.

Fonte: ANSPDCP

 

O Princípio da transparência

 

A Autoridade Helênica de Proteção de Dados (HDPA), da Grécia, conduziu uma investigação ex officio para apurar a legalidade do processamento de dados dos funcionários da PWC Business Solutions, que resultou em uma multa de 150.000,00 euros.

De acordo com a autoridade, foi solicitado aos funcionários o consentimento destes para o tratamento dos dados pessoais, quando na verdade esta não era a base legal correta a ser aplicada, pois o consentimento dos titulares dos dados no contexto das relações de trabalho não pode ser considerado livremente devido ao claro desequilíbrio entre as partes.

Portanto, entendeu-se que a empresa violou o princípio da transparência quando deu aos funcionários a falsa impressão de que iria processar seus dados pessoais sob a base legal do consentimento, enquanto na realidade iria processar seus dados sob uma base legal diferente sobre a qual os funcionários não foram informados.

Fonte: HDPA

 

O interesse legítimo para cobrança de dívidas

 

A Autoridade Nacional Húngara para Proteção de Dados e Liberdade de Informação (NAIH) aplicou uma multa no valor de 3.200,00 euros à uma instituição financeira que recusou-se a cumprir a solicitação do titular de exclusão sob alegação de possuir interesse legítimo.

O usuário teria solicitado à instituição que deletasse seu número de telefone, o que foi negado sob alegação de que havia um interesse legítimo da empresa processar esse dado para impor uma eventual reivindicação de dívida contra o usuário.

A decisão da autoridade frisou que o número de telefone não é necessário para fins de cobranças de dívidas, e que tal conduta da empresa era contrária aos princípios de minimização de dados e limitação de objetivos.

Fonte: NAIH