Direito Digital e Compliance

Categorias


Direito Digital e Compliance

Grupo de telecomunicações é multado em 400 mil euros por violar o GDPR

A autoridade grega de proteção de dados constatou que a OTE violou o princípio da proteção de dados desde a concepção, dentre outros.

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

A Autoridade Helênica de Proteção de Dados multou a Hellenic Telecommunications Organization (OTE) em 400 mil euros por violar o Regulamento Geral de Proteção de Dados (RGPD).1

A multa decorre de uma investigação sobre reclamações relacionadas a erros da OTE ao lidar com solicitações dos seus assinantes que não queriam receber chamadas de propaganda de terceiros para promoção de produtos e serviços.

Os consumidores da companhia, mesmo contra sua vontade, ficaram sujeitos a ligações telefônicas de terceiros, pois foram mantidos fora da lista dos clientes que não autorizavam contatos de anunciantes.

A investigação também revelou que a OTE não havia implementado medidas apropriadas para responder aos pedidos dos titulares de dados que desejam cancelar o recebimento de chamadas.

A autoridade de proteção grega constatou que esse incidente atingiu inúmeros assinantes, constituindo-se em violações do artigo 25 (proteção de dados desde a concepção) e do artigo 5 (1) (d) (princípio da exatidão), ambos do Regulamento Geral sobre Proteção de Dados (RGPD). Em função dessa violação, aplicou-se multa administrativa de 200 mil euros com base nos critérios estabelecidos no artigo 83.º, n.º 2, do RGPD.2

Quanto à dificuldade dos titulares de dados em cancelar suas inscrições na lista de destinatários de mensagens publicitárias, tendo em vista que o link “cancelar inscrição” não funcionava, também foi arbitrada multa de 200 mil euros, levando em conta, da mesma forma, o artigo 83.º, n.º 2, do RGPD.

Nesse caso, a Autoridade constatou uma violação do direito de contestar o tratamento de dados pessoais para fins de marketing direto, de acordo com o artigo 21 (3), bem como o Artigo 25 (proteção de dados por projeto), ambos do regulamento europeu.

Artigos mencionados do RGPD:

Artigo 5.º – Princípios relativos ao tratamento de dados pessoais
1. Os dados pessoais são:
d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);

Artigo 21.º – Direito de oposição
1. Caso o titular dos dados se oponha ao tratamento para efeitos de comercialização direta, os dados pessoais deixam de ser tratados para esse fim.

Artigo 25.º – Proteção de dados desde a concepção e por defeito
1. Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.
2. O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.
3. Pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas nos n.os 1 e 2 do presente artigo, um procedimento de certificação aprovado nos termos do artigo 42.º.

Referências

  1. Administrative fines imposed on a telephone service provider: https://edpb.europa.eu/news/national-news/2019/administrative-fines-imposed-telephone-service-provider_pt
  2. Regulamento Geral sobre a Proteção de Dados: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.