A incapacidade de cumprir as obrigações de retenção e segurança de dados da GDPR (General Data Protection Regulation) levou a uma multa na Alemanha de €14,5 milhões de euros.
No final de outubro de 2019, a cúpula responsável pela prática da lei impôs uma multa administrativa de cerca de 14,5 milhões de euros à Deutsche Wohnen SE por violações do cumprimento na segurança de dados.
A Deutsche Wohnen SE, empresa imobiliária, foi acusada de ter usado um sistema de arquivamento para o armazenamento de dados pessoais de inquilinos, permitindo a manutenção de dados que deveriam, em teoria, ser apagados.
De acordo com a autoridade alemã de proteção de dados, os dados afetados incluíam informações sobre as circunstâncias pessoais e financeiras dos inquilinos, como holerites, formulários de auto-divulgação, extratos de contratos de emprego e treinamento, dados fiscais, previdência social e dados de seguro de saúde e bancários.
A autoridade já havia sinalizado essa suposta não conformidade com as regras de proteção de dados após uma auditoria no local em junho de 2017. Outra auditoria, em março de 2019, mostrou que a Deutsche Wohnen SE ainda não conseguia excluir por completo os dados armazenados.
A imobiliária iniciou um projeto para remediar tecnicamente a potencial não conformidade com a segurança de dados. Ainda assim, a autoridade alemã de proteção de dados concluiu que essas medidas não levaram ao estabelecimento de um estado legal de armazenamento dos dados. A autoridade não pôde, no entanto, provar que os dados pessoais foram acessados ou divulgados ilegalmente a terceiros.
A autoridade alemã considera arquivamento de dados desnecessário e acredita que sua prática seja uma violação do requisito de proteção de dados por projeto, nos termos do artigo 25. GDPR, bem como dos princípios gerais de processamento estabelecidos no artigo 5 do GDPR:
- O Artigo 25 (1) do GDPR exige que os controladores de dados – sujeitos a pré-condições adicionais – prevejam medidas técnicas e organizacionais apropriadas, projetadas para implementar princípios de proteção de dados, como minimização de dados, de maneira eficaz e integrar as salvaguardas necessárias ao processamento para atender aos requisitos do RGPD e proteger os direitos dos titulares dos dados;
- O Artigo 5 (1) do RGPD inclui, entre outras coisas, a obrigação de que os dados pessoais sejam adequados, relevantes e limitados ao necessário em relação aos fins para os quais são processados (‘minimização de dados’) e mantidos de uma forma que permita a identificação de titulares dos dados por um período não superior ao necessário para os fins para os quais os dados pessoais são processados (‘limitação de armazenamento’), ou seja, os dados precisam ser excluídos ou anonimizados ao término do período de retenção de dados.
PALESTRA LGPD BRASIL SOBRE SEGURANÇA DE DADOS
Como sua empresa está se preparando para a LGPD? O processo como um todo é complexo e envolve revisão dos processos internos além de diversas áreas da empresa. A revisão dos cadastros e das bases ligadas é uma das tarefas iniciais e mais desafiadoras e, por isso, é bom começar o mais rápido possível.
A LGPD Brasil oferece consultorias especializadas e realiza uma palestra por mês na própria sede para sanar dúvidas a respeito do tema e avaliar os impactos da lei.
SERVIÇO
Palestra LGPD e os desafios dentro da sua empresa
Dia 21/11, das 15h às 17h
Rua Tenente Negrão, 166 – 7º andar| Itaim Bibi, São Paulo – SP
Evento gratuito
Clique aqui para fazer a inscrição
