Violações ao Regulamento Geral sobre a Proteção de Dados (RGPD) podem ser caras. Foi o que descobriu um banco direto que teve que pagar uma multa de 300.000 euros.
O Regulamento Geral sobre a Proteção de Dados – abreviado RGPD – não é um tigre de papel inofensivo. Cada vez mais empresas estão a descobrir isso, sendo obrigadas a pagar multas devido a violações do RGPD. As autoridades são obrigadas a aplicar multas que sejam significativas, segundo o escritório de advocacia econômico MTR Legal Rechtsanwälte, que aconselha, entre outras coisas, em direito de TI e proteção de dados.
No caso em apreço, o Comissário de Berlim para a Proteção de Dados e Liberdade de Informação (BInBDI) impôs uma multa a um banco por falta de transparência em decisões automatizadas. Referem-se a decisões tomadas por um sistema de TI com base em algoritmos sem intervenção humana. De acordo com o RGPD, existem obrigações especiais de transparência para esses mecanismos, que o banco não cumpriu.
Especificamente, tratava-se de um pedido de crédito que o banco processou com base em algoritmos. O solicitante deve fornecer informações sobre sua profissão, renda e dados pessoais, entre outros. O algoritmo tomou uma decisão automatizada com base nesses e noutros dados e rejeitou o pedido sem mais explicações. O cliente ficou surpreso com a rejeição, pois possui uma renda alta e regular e um bom score de crédito. Ele questionou o banco sobre o motivo da rejeição.
No entanto, o banco forneceu apenas informações gerais sobre o procedimento de pontuação, sem considerar o caso específico. Assim, o cliente não conseguiu compreender com base em quais dados e fatores sua capacidade de crédito foi avaliada negativamente e o pedido foi rejeitado. Sua queixa ao Comissário de Proteção de Dados de Berlim teve sucesso.
Para decisões automatizadas, as empresas são obrigadas a justificá-las de forma fundamentada e compreensível. O banco deveria ter informado sobre as razões principais para a rejeição. No entanto, não fez isso de forma transparente e compreensível mesmo após solicitação. Por isso, segundo o Comissário de Proteção de Dados, violou o Art. 22, parágrafo 3, Art. 5, parágrafo 1, alínea a, e Art. 15, parágrafo 1, alínea h do RGPD.
MTR Legal Rechtsanwälte aconselham em questões de Direito de TI e da proteção de dados.
Entre em contato agora!➤ Advogado de Direito de TI – descubra mais agora!
