unitri

News

Voltar
Share
FacebookTwitterLinkedIn

Publicações - 25/01/21

Agência Espanhola de Proteção de Dados aplica Multa Milionária à Empresa por Violação à Regulação de Proteção de Dados

A Agencia Española de Protección de Dados (“AEPD”), órgão independente do governo responsável por garantir o cumprimento das disposições legais sobre proteção de dados no país, emitiu resolução em 13 de janeiro de 2021, estabelecendo uma multa de 6 milhões de euros ao CaixaBank S.A., em função de violações do banco a dispositivos da Regulação Geral de Proteção de Dados (General Data Protection Regulation, “GDPR”).

Durante o processo investigativo realizado pela AEPD (processo OS/00477/2019) foram encontradas evidências que demonstram violação aos artigos 13 e 14 da GDPR, no sentido que as informações prestadas pelo CaixaBank em documentos e em canais de atendimento não eram uniformes, a política de privacidade da empresa possuía terminologia imprecisa, e as informações a respeito (i) da categoria dos dados pessoais tratados, (ii) dos perfis dos usuários, (iii) da finalidade do uso específico destes e (iv) do exercício dos direitos de retenção de dados eram insuficientes.

Também foram constatadas violações ao artigo 6 da GDPR, uma vez que o banco não apresentou ao órgão regulador justificativas suficientes para a base jurídica para o tratamento de dados pessoais, sobretudo em relação aos dados processados com base no interesse legítimo. Ademais, constatou-se a ausência do cumprimento dos requisitos para a obtenção do consentimento válido do usuário, que, nos termos da lei, deve ser específico, inequívoco e informado. Os processos utilizados pela empresa para obter consentimento dos clientes para o tratamento dos seus dados foram considerados deficientes, tornando a transmissão de dados pessoais a empresas do Grupo CaixaBank ilegal.

A partir das infrações encontradas, o órgão regulador estipulou uma multa de 2 milhões de euros, em função da violação aos artigos 13 e 14 da GDPR, e de 4 milhões de euros em função da violação ao artigo 6 da GDPR. O banco ainda está obrigado a modificar suas políticas e procedimentos internos a fim de implementar as obrigações previstas na GDPR no período de 6 meses.

Esta representa, até o momento, a maior penalidade financeira emitida pela AEPD no seu exercício de garantir o cumprimento da legislação de proteção de dados pessoais.