Cinco novas multas na Europa

Ontem indiquei rapidamente a ocorrência de cinco novas multas na Europa com base em infrações ao Regulamento Geral de Proteção de Dados (RGPD). Quatro vieram da Romênia e uma da Polônia. Vamos a elas.

Polônia

Começando pelo país que nos presenteou com apenas uma multa, a autoridade supervisora polonesa aplicou a primeira multa administrativa a uma entidade pública.

Valor: 40.000 PLN (pouco mais de 9.400 euros).

Motivo: o prefeito da cidade não concluiu um contrato de tratamento de dados pessoais com as entidades para as quais transferiu os dados.

Violação do art. 28 do RGPD. Em consequência houve o compartilhamento de dados pessoais sem base legal. Também houve infração aos princípios da limitação da conservação, da integridade e da confidencialidade, além do princípio da responsabilidade. O registro do tratamento estava incompleto, novamente infringindo o princípio da responsabilidade.

O responsável pelo tratamento terá 60 dias para sanar todos os problemas encontrados pela DPA da Polônia.

Mais detalhes aqui.

Romênia

Primeiro caso:

O Raiffeisen Bank S.A. violou as disposições do artigo 32, parágrafo 4, em conjunto com o artigo 32, parágrafos 1 e 2, do RGPD, o que levou à imposição de uma multa administrativa no valor de 150.000 euros.

O Vreau Credit S.R.L. violou as disposições do artigo 32, parágrafo 4, em conjunto com o artigo 32, parágrafos 1 e 2, do RGPD, bem como do artigo 33, parágrafo 1, do RGPD, o que levou à aplicação de uma multa administrativa no valor de 20.000 euros.

Mais detalhes aqui.

Segundo caso:

A autoridade supervisora finalizou uma investigação em relação à empresa Artmark Holding SRL e constatou que violava as disposições do artigo 13, parágrafo 1, alínea q) da Lei n. 506/2004, corroborado com o artigo 13, parágrafo 5, da Lei n. 506/2004 e com o artigo 7 da Portaria no. 2/2001. A Artmark Holding SRL foi sancionada com uma multa no valor de 10.000 lei (pouco mais de 2.100 euros).

A sanção foi aplicada ao responsável pelo tratamento porque este não provou que obteve o consentimento prévio expresso e inequívoco para a transmissão de mensagens comerciais por e-mail, violando as disposições relativas às comunicações não solicitadas fornecidas pelo artigo 13, parágrafo 1, alínea q) da Lei n. 506/2004, sobre o tratamento de dados pessoais e a proteção da privacidade no setor de comunicações eletrônicas.

Mais detalhes aqui.

Terceiro caso:

A autoridade supervisora finalizou uma investigação em relação à empresa Elefant Online S.A. e constatou que violava as disposições do artigo 13, parágrafo 1, alínea q) da Lei n. 506/2004, corroborado com o artigo 13, parágrafo 5, da Lei n. 506/2004 e com o artigo 7 da Portaria no. 2/2001. A Elefant Online S.A. foi sancionada com uma multa no valor de 10.000 lei (pouco mais de 2.100 euros).

O motivo é o mesmo do caso anterior: falta de consentimento prévio expresso e inequívoco para a transmissão de mensagens comerciais por e-mail.

Mais detalhes aqui.

Quarto caso:

A Inteligo Media SA violou do disposto nas alíneas a) e b) do n.º 1 do artigo 5.º, na alínea a) do n.º 1 do artigo 6.º e no artigo 7.º do RGPD, o que levou à imposição de uma multa administrativa no valor de 9.000 euros.

O caso concreto diz respeito à situação de criação de uma nova conta no site avocatnet.ro – pertencente à Inteligo Media SA, sendo então exibida uma caixa desmarcada com um texto com o seguinte conteúdo: “Não desejo receber ‘atualizações personalizadas’, informações enviadas diariamente, gratuitamente, por e-mail, pelo avocatnet.ro”.

De acordo com essas condições estabelecidas pelo responsável pelo tratamento, na medida em que um usuário omite a verificação da caixa de seleção ele/ela é automaticamente inscrito, de maneira que seu respectivo e-mail seja inserido automaticamente no banco de dados de assinantes interessados nessas informações.

Assim, a assinatura na mailing list ocorreria na ausência de manifestação de vontade por parte dos usuários, o que indicaria a aceitação do tratamento para a finalidade estabelecida pelo responsável pelo tratamento.

Durante a investigação o responsável pelo tratamento não pôde provar que obteve um consentimento explícito de 4357 usuários, nas condições previstas no artigo 7.º do RGPD, em relação os quais tratou seus dados pessoais.

Além disso, para a transmissão de informações diárias por e-mail o responsável pelo tratamento processou os dados com base em uma base legal que não é apropriada para a finalidade, a saber, a “execução de um contrato” – e não, por óbvio, o consentimento.

Mais detalhes aqui.

Deixe um comentário