RGPD : la jurisprudence se précise !

GDPR: a jurisprudência está ficando mais clara!

GDPR: a jurisprudência está ficando mais clara! A CNIL já havia se destacado ao impor uma multa recorde de 50 milhões de euros ao Google em janeiro passado por não informar seus clientes ao usar o Android, uma multa confirmada em junho pelo Conselho de Estado.

Hoje, o Carrefour France e o Carrefour Banque foram multados em 2.250.000 e 800.000 euros, respectivamente, pela Autoridade Francesa de Proteção de Dados.

Embora a CNIL já tenha tomado inúmeras ações repressivas desde que o GDPR entrou em vigor, a deliberação de 18 de novembro nos diz um pouco mais sobre sua avaliação das violações da lei e os motivos que norteiam suas decisões.

Gatilhos para uma investigação

Em termos gerais, a CNIL inicia uma investigação após a apresentação de uma denúncia ou de um relatório específico, ou por iniciativa própria, no âmbito das suas missões de monitorização.

Neste último caso, os controles abrangerão mais amplamente os responsáveis por um setor previamente identificado. 

A CNIL definiu assim na sua estratégia de controlo para 2020 várias prioridades que estão sujeitas a verificações mais aprofundadas: dados de saúde, geolocalização para serviços locais, bem como cookies e outros rastreadores.

Neste caso, as duas empresas Carrefour France e Carrefour Banque foram alvo de uma investigação após a apresentação de 15 queixas à CNIL entre junho de 2018 e abril de 2019.

Essas reclamações diziam respeito a práticas de prospecção comercial e ao desrespeito aos direitos de acesso e eliminação de dados.

A CNIL realizou diversas verificações on-line nas instalações das empresas e iniciou uma investigação formal no final de janeiro de 2019.

O procedimento contraditório deu origem a diversas trocas de observações entre a empresa e o relator da CNIL, culminando na sua deliberação oficial em 18 de novembro.

 

Razões para a decisão

A CNIL constata incumprimentos de vários artigos do RGPD:

  • A obrigação de informar os indivíduos (Artigo 13.º do RGPD)

As informações fornecidas aos indivíduos sobre o processamento de seus dados eram de difícil acesso, incompletas e enterradas em longos textos sobre outros tópicos.

A CNIL critica a utilização de termos demasiado vagos: A utilização, quase sistemática (…), de termos como "esses tratamentos incluem, em particular, por um ou mais dos seguintes motivos" Ou “seus dados podem ser usados” não permitir que as pessoas envolvidas compreendam completamente o processamento implementado.

  • Cookies (artigo 82 da Lei de Proteção de Dados)

Ao chegar ao site, cada visitante recebeu 39 cookies antes mesmo de ter a oportunidade de aceitá-los ou rejeitá-los.

Três desses cookies pertenciam à solução Google Analytics, com o objetivo de direcionar publicidade aos internautas.

Os dados dos visitantes do site Carrefour.fr foram, portanto, coletados em violação ao Artigo 82 da Lei de Proteção de Dados.

Para mais informações sobre o rastreamento de usuários da internet, a CNIL publicou uma atualização de suas diretrizes em 1º de outubro.

  • Período de retenção de dados (artigo 5.1.e do RGPD)

A CNIL considera que o período de retenção dos dados dos clientes (4 anos) é excessivo: um cliente que não negoceia com a empresa há vários anos já não deve ser considerado um cliente ativo. 

A Comissão remete para a sua doutrina sobre a matéria que recomenda um prazo máximo de conservação de três anos: cita a antiga norma simplificada n.º 48 relativa aos ficheiros de clientes potenciais e às vendas online, e o seu recente projecto de quadro de referência relativo ao tratamento de dados pessoais implementado para efeitos de gestão de actividades comerciais.

  • Exercício de direitos (Artigo 12 do RGPD)

O procedimento implementado pelo Carrefour França exigia prova de identidade dos requerentes em circunstâncias em que isso não era necessário porque a identidade dos clientes havia sido estabelecida.

Além disso, os tempos de processamento das solicitações excederam os requisitos legais em vários casos.

  • Respeito pelos direitos (artigos 15, 17 e 21 do RGPD e L34-5 do Código Postal e das Comunicações Eletrónicas)

A CNIL registrou diversos casos de falta de resposta aos pedidos de acesso, oposição e eliminação de dados dos reclamantes.

  • Obrigação de processar dados de forma justa (Artigo 5.º do RGPD)

Certos dados (endereço postal, número de telefone, número de filhos) comunicados no momento da inscrição on-line em um cartão de crédito Carrefour (cartão Pass) foram transmitidos ao programa de fidelidade Carrefour, em contradição com as informações fornecidas às pessoas em questão.

  • Violação de segurança (Artigo 32 do RGPD)

A CNIL finalmente constatou uma vulnerabilidade que permite o acesso on-line às faturas dos clientes e ressalta que a medida implementada, ou seja, a adição de uma sequência de caracteres aleatórios, não é suficiente por si só para superar tal vulnerabilidade.

A CNIL ressalta que a ANSSI vem alertando sobre essa vulnerabilidade vinculada a endereços URL desde 2013.

Um sistema de pré-autenticação obrigatório deveria ter sido implementado após a descoberta da vulnerabilidade.

Esforços de conformidade e sanções apropriadas

As empresas cooperaram com a CNIL durante o procedimento e tomaram todas as medidas necessárias para que o processamento de seus dados estivesse em conformidade com a lei.

Embora a CNIL destaque essa cooperação, ela sanciona os responsáveis, devido à gravidade das violações: elas dizem respeito a falhas graves e afetam um número significativo de pessoas.

No entanto, ainda estamos longe da penalidade máxima que a CNIL poderia ter imposto, que equivale a 4% de volume de negócios. 

Para calcular esse volume de negócios, que serve de base para o cálculo da multa, a CNIL primeiro identifica a empresa em questão.

Considera que, para apreciar o conceito de empresa nos termos dos artigos 101.º e 102.º do TFUE, é adequado ter em conta o volume de negócios realizado pela empresa CARREFOUR FRANCE e pelas filiais que detém e que beneficiaram do tratamento. 

O volume de negócios desta empresa (…) ascende assim a 14,9 mil milhões de euros em 2019.

A formação restrita da CNIL, contudo, também leva em consideração a natureza específica do modelo econômico de distribuição em massa, caracterizado por uma rotatividade particularmente alta, mas margens baixas. 

Esses elementos levaram-na a decidir aplicar uma multa de 2.250.000 euros ao Carrefour França e de 800.000 euros ao Carrefour Banque.

A gravidade das violações também justifica a publicidade da decisão e constitui um meio de informar as muitas pessoas envolvidas.

Remédios

A decisão da CNIL constitui um ato de autoridade administrativa, passível de recurso perante o Conselho de Estado no prazo de dois meses a contar da sua notificação. 

E também

França:

  • O evento organizado pela CNIL no dia 23 de novembro sobre o portabilidade de dados está disponível on-line no site da autoridade.
  • Com o objetivo de sensibilizar os municípios e as intermunicipalidades para os riscos – muito reais – dos ataques cibernéticos, a ANSSI está a publicar uma guia para questões de segurança cibernéticaEste guia tem como objetivo convencer autoridades eleitas a investir no desenvolvimento da proteção de seus sistemas de informação.

Europa:

  • A autoridade belga de privacidade concluiu um acordo em 26 de novembro memorando de entendimento com a DNS Bélgica suspender os nomes de domínio “.be” de sites que violem o RGPD.
  • Antes de 8 de Janeiro, a Comissão Europeia decidirá sobre aGoogle adquire FitBit, uma aquisição que levanta questões nas áreas de proteção de dados e concorrência.
  • A Comissão Europeia publicou seu rascunho de cláusulas contratuais padrão em 12 de novembro, um rascunho aberto para comentários por quatro semanas.

Esta versão revista visa remediar as consequências da agora famosa decisão Schrems II e permitir que a transferências de dados para os Estados Unidos em conformidade com a legislação europeia.

Também nos referimos às recomendações do Comitê Europeu de Proteção de Dados sobre o mesmo assunto, adotadas em 10 de novembro.

  • A nova regulamentação europeia sobre serviços digitais deverá ser publicada no início de dezembro.

O objectivo da Comissão é regular as “grandes tecnologias” permitindo também que as VSEs/PMEs desenvolvam seus serviços, capacitem os players digitais e combatam a desinformação online.

Internacional:

  • A nova lei canadense de proteção de dados pessoais se tornou mais eficaz, com multas substanciais para violações de seus princípios.
  • Estados Unidos: o Lei de Direitos de Privacidade da Califórnia (“CPRA”) foi adotada em 3 de novembro.

Este novo texto estabelece uma autoridade supervisora, a Agência de Proteção à Privacidade da Califórnia, com o poder de impor penalidades financeiras.

É a primeira autoridade supervisora neste setor nos Estados Unidos.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.

 

Descubra Viqtor®
pt_PTPT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL pt_PTPT