Direito Digital e Compliance

Categorias


Direito Digital e Compliance

Tratamento desproporcional de dados pessoais enseja multa

A Autoridade de Proteção de Dados da Bélgica multou empresa por uso desproporcional do cartão de identificação eletrônica para criação do cartão de fidelidade.

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

Pedir para ter acesso ao cartão eletrônico de identificação (eID) como condição para a prestação de um serviço, qual seja, a emissão de um cartão de recompensas/fidelidade, foi considerado desproporcional e violador do princípio da minimização, de acordo com a autoridade de proteção de dados da Bélgica. A violação ensejou a aplicação de uma multa de 10 mil euros a uma empresa belga.1

Não conformidade com o princípio da minimização

O uso dos dados de cartões de identificação eletrônicos (eID) para emissão de cartões de fidelidade é uma prática comum. No entanto, o RGPD (Regulamento Geral de Proteção de Dados) não permite o acesso àqueles dados pessoais que não forem estritamente necessários para a prestação de um serviço e sem uma base legal válida. Proceder em sentido contrário constitui-se em uma violação ao princípio da minimização. Os dados coletados para identificar um indivíduo precisam ser proporcionais ao objetivo para o qual são usados.

No caso em questão, o consumidor recusou-se a apresentar o seu eID para que fosse emitido o seu cartão de fidelidade. Na ocasião, o consumidor sugeriu que os dados fossem enviados à empresa por escrito. A não entrega do eID o penalizou, não permitindo que ele usufruísse dos benefícios e descontos, já que a empresa controladora dos dados não aceitou essa alternativa.

Prevaleceu o entendimento de que a leitura e o uso de todos os dados pessoais do cartão de identidade eletrônico em um contexto comercial são desproporcionais em relação ao objetivo de criar um cartão de fidelidade.

Artigos mencionados do RGPD:

Artigo 5.º – Princípios relativos ao tratamento de dados pessoais
1. Os dados pessoais são:
c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);
2

Referências

  1. L’Autorité de protection des données sanctionne un commerçant pour l’utilisation disproportionnée de l’eID pour la création d’une carte de fidélité: https://www.autoriteprotectiondonnees.be/news/APD-sanctionne-un-commercant-pour-lutilisation-de-l-eid-pour-une-carte-de-fidelite
  2. Regulamento Geral sobre a Proteção de Dados: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.