Violação das obrigações de exclusão de dados pessoais
Violações da proteção de dados ou do Regulamento Geral sobre a Proteção de Dados (RGPD) podem ser sancionadas com multas elevadas. Assim, o Comissário de Hamburgo para a Proteção de Dados e Liberdade de Informação (HmbBfDI) impôs uma multa de 900.000 euros a uma empresa do setor de gestão de cobranças, porque não eliminou oportunamente os dados pessoais.
Com a introdução do Regulamento Geral sobre a Proteção de Dados (RGPD), os requisitos de proteção de dados para as empresas aumentaram significativamente. As empresas devem adotar medidas adequadas para a proteção dos dados durante o processamento de dados pessoais. Além disso, as pessoas afetadas têm direito à eliminação tempestiva dos seus dados. Em caso de violação das normas de proteção de dados ou do RGPD, as empresas estão sujeitas a multas pesadas, segundo o escritório de advocacia MTR Legal Rechtsanwälte, que, entre outros, oferece consultoria em Direito da TI.
Fiscalização de empresas no setor de gestão de cobranças
O armazenamento de seus dados pessoais pode ser uma carga enorme, especialmente para devedores inadimplentes. Isso porque seus dados são regularmente transmitidos para agências de crédito. Isso pode, por exemplo, dificultar significativamente a celebração de um contrato. Portanto, é de extrema importância para os devedores que seus dados sejam excluídos após o vencimento dos prazos correspondentes.
Hamburgo é um local importante no setor de gestão de cobranças. Por isso, o Comissário de Hamburgo para a Proteção de Dados e Liberdade de Informação (HmbBfDI) realizou uma auditoria focada em empresas de destaque no mercado do setor de gestão de cobranças.
Conclusão majoritariamente positiva
Foi verificado, em termos gerais, como os dados pessoais são armazenados e processados nas empresas. Para isso, o encarregado de proteção de dados visitou algumas empresas em suas instalações locais com sua equipe. Os defensores da proteção de dados conseguiram tirar uma conclusão majoritariamente positiva. Em particular, a transparência das empresas perante as pessoas afetadas melhorou, afirmou o encarregado de proteção de dados em um comunicado à imprensa de 12 de novembro de 2024.
Dados armazenados por muito tempo
No entanto, também há exceções. Os auditores descobriram que uma empresa continuava armazenando conjuntos de dados, embora os prazos de exclusão já tivessem expirado há muito tempo. A empresa armazenou conjuntos de dados com dados pessoais na casa das seis cifras sem uma base legal. Isso constitui uma violação do artigo 5, parágrafo 1, alínea a, e artigo 6, parágrafo 1 do RGPD. Apesar dos dados não terem sido transmitidos a terceiros, eles foram armazenados por até 5 anos após o vencimento dos prazos de armazenamento legais e não foram excluídos da base de dados, informou ainda o encarregado de proteção de dados de Hamburgo.
Por esta violação, o encarregado de proteção de dados impôs uma multa de 900.000 euros à empresa. A empresa aceitou a multa. O fato de ter cooperado com a autoridade supervisora no tratamento da violação de proteção de dados foi considerado na determinação do valor da multa. Violações semelhantes também foram encontradas em outra empresa. No entanto, as investigações ainda não foram concluídas.
Quando uma relação com o cliente é encerrada, os dados armazenados devem ser excluídos imediatamente ou após o término dos prazos de armazenamento. Uma violação destas obrigações de exclusão pode ser cara, como demonstra o exemplo da empresa de Hamburgo. Para evitar tais violações, as empresas devem integrar uma compliance eficaz de proteção de dados.
Exclusão tempestiva dos dados
Para lidar legalmente com dados pessoais sensíveis, também deve ser desenvolvido um conceito sistemático de eliminação, para que não sejam armazenados ilicitamente, resultando em uma violação do RGPD. Já na coleta dos dados deve ficar claro se e por quanto tempo eles podem ser armazenados e processados. Assim, podem ser evitadas multas por violações de proteção de dados e a confiança dos clientes pode ser fortalecida.
Deve-se notar que a proteção de dados não desempenha um papel importante apenas no relacionamento externo com os clientes, mas também internamente no relacionamento com os empregados. Isso porque os colaboradores também têm, conforme o RGPD, o direito à informação em relação ao uso de seus dados pessoais pelo empregador.
MTR Legal Rechtsanwälte assessora em Direito da Proteção de Dados e em outras questões de Direito da TI.
Entre em contato conosco!
