4.000 multa por adicionar uma ex-cliente a um grupo WhatsApp: eles não protegeram seus dados pessoais ou têm seu consentimento

4.000 multa por adicionar uma ex-cliente a um grupo WhatsApp: eles não protegeram seus dados pessoais ou têm seu consentimento

  • 2 Minutos de Leitura
  • quinta-feira, set. 15, 2022

    A Agência Espanhola de Proteção de Dados (AEPD) multou um clube esportivo em Córdoba em 4.000 euros por adicionar um ex-membro a um grupo WhatsApp para fins comerciais sem sua permissão, dez anos após o fim da relação entre os dois e sem garantir a confidencialidade de suas informações pessoais, de acordo com a decisão neste caso. No total, o órgão público considerou a empresa culpada de quatro infrações, cada uma das quais foi multada em 1.000 euros.

    E a multa poderia ter sido ainda maior, uma vez que a AEPD especifica no texto que, no caso de violações deste tipo, a multa pode chegar a 20 milhões de euros ou o equivalente a 4% do faturamento anual no caso de uma empresa. No entanto, a agência considerou neste caso que se trata de um caso de “ação negligente não intencional”, razão pela qual o valor final foi menor.

    A primeira das violações cometidas pela entidade esportiva sancionada foi a retenção dos dados pessoais da reclamante por dez anos após a mulher ter deixado de ser cliente. A lei especifica que as informações pessoais coletadas por uma empresa não devem ser mantidas por mais tempo do que o necessário para os fins para os quais foram coletadas, nem devem ser utilizadas para outros fins.

    Em outras palavras, se a pessoa forneceu seus dados para registro como membro, a fim de obter acesso às instalações esportivas, essa informação deveria ter sido apagada quando ela deixou de ser cliente e, em nenhuma circunstância, ela pode ser usada para tentar recrutá-la novamente.

    A segunda infração diz respeito ao consentimento. A empresa sancionada utilizou o número de telefone do titular dos dados, que é considerado dados pessoais, sem obter seu consentimento para enviar suas informações comerciais, o que também é contrário à lei, que especifica que o processamento só será lícito se o titular dos dados der sua permissão para o processamento de seus dados pessoais para esse ou determinados fins.

    Além disso, ao incluir o número de telefone do sujeito dos dados em um grupo com mais pessoas, o clube esportivo não garantiu a confidencialidade do reclamante, o que equivale a mais duas infrações.

    O caso teria sido muito diferente se, em vez de um grupo para fins comerciais, o reclamante tivesse sido adicionado a uma conversa pessoal de grupo, ou seja, de amigos ou família. Neste caso, a lei especifica que “o regulamento não se aplica ao processamento de dados pessoais realizados por uma pessoa física no exercício de atividades exclusivamente pessoais ou domésticas”.

    comments powered by Disqus