Dados pessoais – Coima de 150.000 €

Dados pessoais – Coima de 150.000 €

Citamos Lexpoint

A Autoridade de Proteção de Dados (APD) da Grécia considerou que a PriceWaterhouseCoopers Soluções de Negócios SA (PWC BS) processou ilegalmente os dados pessoais dos seus empregados em violação do Regulamento Geral de Proteção de Dados (RGPD). Em consequência, aplicou medidas corretivas a implementar pela empresa e aplicou-lhe uma coima administrativa de 150 mil euros.

A congénere da CNPD conduziu uma investigação relativa à legalidade do processamento de dados pessoais dos funcionários da PWC BS após ter recebido uma queixa que denunciava a situação dos funcionários serem obrigados a dar o consentimento para o processamento de seus dados pessoais.

A ilegalidade no tratamento dos dados pessoais dos seus funcionários pela PWC BS foi confirmada nos seguintes aspetos, para além de o ter feito fundamentado numa base jurídica inadequada, já por si ilegal:

  • por um lado, processou os dados pessoais dos seus empregados de uma forma desleal e não transparente, dando-lhes a entender que estava a processar os seus dados com a cobertura legal do consentimento prevista no RGPD, quando na realidade os processava sob uma base legal diferente sobre a qual os funcionários nunca tinham sido informados.
  • por outro lado, embora fosse responsável na sua qualidade de responsável pelo controlo, não conseguir demonstrar a licitude, lealdade e transparência dos tratamentos em relação ao titular dos dados, violando assim o princípio da responsabilidade ao transferir o ónus da prova de conformidade aos titulares dos dados.

Na sequência da sua investigação, a APD grega entendeu existirem infrações ao GDPR e decidiu exercer os seus poderes de correção,impondo à empresa medidas a cumprir num prazo máximo de três meses:
– tornar as operações de processamento dos dados pessoais dos seus funcionários conformes com o RGPD;
– aplicar corretamente a regra do tratamento lícito, leal e transparente dos dados, em conjugação com as exigências do RGPD sobre a licitude dos tratamentos, em particular o consentimento;
– restabelecer a correta aplicação dos restante princípios relativos ao tratamento de dados pessoais do GDPR, na medida em que a infração detetada afete a organização interna e o cumprimento das disposições do RGPD, tomando todas as medidas necessárias ao abrigo do princípio da responsabilização.

Nos termos do RGPD, têm de ser respeitados os seguintes princípios no tratamento de dados pessoais:

  • licitude, lealdade e transparência: os dados pessoais devem ser objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
  • limitação das finalidades: os dados pessoais devem ser recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades (o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais);
  • minimização dos dados: os dados pessoais devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
  • exatidão: os dados pessoais devem ser exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;
  • limitação da conservação: os dados pessoais devem ser conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados;
  • integridade e confidencialidade: os dados pessoais devem ser tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas;
  • responsabilidade: o responsável pelo tratamento é responsável pelo cumprimento dos princípios e tem de poder comprová-lo.

A licitude do tratamento depende da verificação de, pelo menos, uma das seguintes situações: 

  • o titular dos dados ter dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
  • o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
  • o tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
  • o tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
  • o tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
  • o tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

Referências 
Decisão n.º 26/2019 da Autoridade de Proteção de Dados Grega
Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27.04.2016, artigos 5.º, 6.º,

Source: MRA Newsletter

Compartilhar

Miguel Reis