Já diz o ditado: “em casa de ferreiro o espeto é de pau”. Ou para quem prefere, “santo de casa não faz milagre”. E o ditado chegou à proteção de dados pessoais.
Uma grande companhia de compliance foi multada pela Autoridade Supervisora da Grécia em 150.000 euros. O motivo foi uma infração ao princípio da transparência presente no Regulamento Geral de Proteção de Dados (RGPD). O mais curioso é que um dos serviços oferecidos por esta grande companhia é justamente o de consultoria em proteção de dados.
O que diz a propaganda da empresa
“O programa GDPR da empresa é liderado por equipes experientes que utilizam uma ampla rede de recursos. Nossa equipe ajuda empresas a realizar avaliações de risco detalhadas com base nos requisitos da GDPR; repensar a estratégia de governança de dados; e implementar aprimoramentos holísticos de privacidade de dados e processos de monitoramento de conformidade”.
O que diz a DPA da Grécia
A DPA considerou que a empresa, na função de responsável pelo tratamento (controlador):
- Tratou ilegalmente os dados pessoais dos seus empregados em violação do disposto no artigo 5.º, n.º 1, alínea a) do RGPD, uma vez que utilizou uma base jurídica inadequada;
- Tratou os dados pessoais dos seus empregados de uma forma injusta e não transparente, contrária ao disposto no artigo 5.º, n.º 1, alíneas b) e c) do RGPD, dando-lhes a falsa impressão de que estavam tratando os seus dados sob a base legal de consentimento, de acordo com o artigo 6.º, n.º 1, alínea a) do RGPD, quando na realidade estava tratando seus dados sob uma base legal diferente sobre a qual os funcionários nunca haviam sido informados;
- Embora fosse responsável na sua qualidade de responsável pelo tratamento, não foi capaz de demonstrar o cumprimento do artigo 5.º, n.º 1, do RGPD, e violou o princípio da responsabilidade estabelecido no artigo 5.º, n.º 2, do RGPD, ao transferir o ónus da prova de conformidade aos titulares dos dados.
O que a companhia deverá fazer
De acordo com a Autoridade Supervisora da Grécia, a companhia deverá, em três meses:
- Fazer com que as operações de tratamento dos dados pessoais de seus funcionários, conforme descrito no Anexo I apresentado pela empresa, esteja em conformidade com as disposições do RGPD;
- Restabelecer a correta aplicação do disposto no n.º 1, alínea a), e no n.º 2, ambos do artigo 5.º, em conjugação com o n.º 1 do artigo 6.º do RGPD, em conformidade com os fundamentos da decisão;
- Subsequentemente restabelecer a correta aplicação do resto das disposições presentes no artigo 5.º, n.º 1, alíneas b) a f) do RGPD, na medida em que a infração constatada afeta a organização interna e o cumprimento das disposições do RGPD, tomando todas as medidas necessárias sob o princípio da responsabilidade.
Isto, é claro, sem desconsiderar a multa de 150.000 euros.
A síntese da decisão (3 páginas) em inglês pode ser lida aqui.
A lição que se tira desta situação é simples. Não adianta querer “vender” a proteção de dados se ela não é praticada internamente. Como já disse em outro texto, de nada vale uma empresa oferecer o “DPO as a service” se ela mesma não coloca em prática os princípios basilares do RGPD. Não é à toa que algumas pessoas já estão sendo avisadas a respeito de informações negligentes na área.
A proteção de dados veio para ficar – mas que fique, de preferência, em boas mãos.
Você concorda com a ideia de que “em casa de ferreiro o espeto é de pau”?
Deixe abaixo seus comentários ou, se preferir, entre em contato para conversarmos.
Um abraço e até a próxima,
Prof. Matheus Passos