Direito Digital e Compliance

Categorias


Direito Digital e Compliance

Aplicação de uma base legal inadequada rendeu multa

A autoridade grega de proteção de dados emitiu multa de 150 mil euros à PwC por violações ao RGPD.

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

A PwC na Grécia foi multada em 150 mil euros pela Hellenic Data Protection Authority (HDPA) por ter aplicado, indevidamente, o consentimento como base legal para o tratamento de dados pessoais dos seus funcionários.1

A HDPA recebeu uma reclamação apontando que os funcionários da empresa estavam sendo obrigados a consentir com o tratamento dos seus dados pessoais.

No caso em questão, a autoridade de proteção de dados considerou que a PwC, na posição de controladora:

i. processou ilegalmente os dados pessoais de seus funcionários, contrariamente às disposições do artigo 5 (1) (a) do RGPD, uma vez que utilizava uma base legal inadequada.

ii. processou os dados pessoais de seus funcionários de maneira ilícita e não transparente, contrariamente às disposições do artigo 5 (1) (a), (b) e (c) do RGPD, dando-lhes a falsa impressão de que estava processando seus dados sob a base legal do consentimento, nos termos do artigo 6 (1) (a) do RGPD, enquanto na realidade processavam seus dados sob uma base diferente sobre a qual os funcionários nunca haviam sido informados.

iii. embora fosse responsável na sua qualidade de responsável pelo tratamento, não conseguiu demonstrar a conformidade com o artigo 5 (1) do RGPD e violou o princípio de responsabilidade estabelecido no artigo 5 (2) do RGPD, transferindo para si o ônus da prova de conformidade com os titulares dos dados.

Desse modo, pedir o consentimento quando há outra base legal para o tratamento, é um equívoco e, como destacado neste caso, poderá violar o RGPD.2

Portanto, os empregadores devem ser cautelosos, evitando usar de forma indiscriminada em contratos de trabalho o consentimento como base legal. Em vez disso, é preciso identificar a base legal de tratamento mais adequada, sem deixar de informar sobre isso aos funcionários.

Tendo em vista as circunstâncias identificadas no presente caso e nos termos do artigo 58 (2) (i), foi aplicada a multa administrativa, no valor de 150 mil euros, proporcional ao ilícito e com fim dissuasivo, de acordo com o Artigo 83 do RGPD.

Além de aplicação da multa, a HDPA determinou que o empregador alinhasse em três meses suas operações de tratamento de dados pessoais em relação aos seus funcionários, de acordo com o GDPR.

Artigos mencionados do RGPD:

Artigo 5.º – Princípios relativos ao tratamento de dados pessoais
1. Os dados pessoais são:
a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados («licitude, lealdade e transparência»);
b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.o, n.o 1 («limitação das finalidades»);
c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);

Artigo 5.º – Princípios relativos ao tratamento de dados pessoais
2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.º 1 e tem de poder comprová-lo («responsabilidade»).

Artigo 6.º – Licitude do tratamento
1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

Artigo 58.º – Poderes
1. Cada autoridade de controlo dispõe dos seguintes poderes de correção:
i) Impor uma coima nos termos do artigo 83.º, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso;

Artigo 83.º – Condições gerais para a aplicação de coima.
1. Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os n.os 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva.

Referências

  1. Company fined 150,000 euros for infringements of the GDPR: https://edpb.europa.eu/news/national-news/2019/company-fined-150000-euros-infringements-gdpr_fr
  2. Regulamento Geral sobre a Proteção de Dados: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.