Sanção da AEPD por apagar dados privados e pessoais do dispositivo de um antigo funcionário

A Agência Espanhola de Proteção de Dados (AEPD) sancionou um banco por ter apagado dados pessoais de um terminal empresarial que foi adquirido por um antigo empregado para uso pessoal. Na sequência da queixa apresentada pelo trabalhador, a AEPD concluiu que a eliminação dos dados pelo banco implicava o tratamento dos dados sem uma base legal de legitimação. O que precisa de saber:

• A Agência Espanhola de Proteção de Dados (AEPD) sancionou uma entidade bancária por ter eliminado dados pessoais de um dispositivo empresarial que tinha sido adquirido por uma antiga empregada após o fim da sua relação laboral.
• Embora a entidade dispusesse de políticas internas que previam a possibilidade de eliminar dos dispositivos a informação contida nas aplicações empresariais, a AEPD conclui que a entidade não dispunha de base legal para proceder à eliminação da informação pessoal da ex-funcionária, que ia para além dos dados contidos nas aplicações empresariais.
• A sanção analisada realça a importância de definir claramente o âmbito das políticas internas e de analisar a sua adaptação aos princípios e obrigações da regulamentação em matéria de proteção de dados.

A Agência Espanhola de Proteção de Dados (AEPD) sancionou uma instituição bancária por ter procedido ao apagamento de dados pessoais e informações privadas de um terminal empresarial posteriormente adquirido pelo ex-empregado para uso pessoal. A AEPD, na sequência da queixa apresentada pelo trabalhador, concluiu que a eliminação dos dados pela entidade implicava o tratamento dos dados sem base legal de legitimação. (I) Motivos da queixa A entidade sancionada tinha um programa que oferecia aos seus trabalhadores a possibilidade de adquirirem dispositivos empresariais para seu uso pessoal. Fazendo uso da possibilidade oferecida pela entidade, a parte interessada, depois de terminar a sua relação laboral com a entidade, concordou em adquirir o terminal corporativo com o qual trabalhava. A queixosa indica à AEPD que, meses após a cessação da sua relação laboral com a entidade, o terminal deixou de estar ativo e, por isso, após contactar a entidade, esta indicou-lhe que deveria restaurá-lo para as definições de fábrica, o que implicava a perda de toda a informação contida no terminal. A queixosa queixou-se de que esta prática significava que as suas informações pessoais tinham sido apagadas sem autorização ou aviso prévio e que tinha perdido o controlo sobre os seus dados. Perante estes factos, a entidade sancionada argumentou que tinha o direito de apagar os dados do dispositivo a qualquer momento durante a relação laboral entre as partes ou no final dessa relação laboral. Para o efeito, a entidade argumenta que a política interna para a aquisição dos dispositivos prevê expressamente que a entidade pode apagar, física ou remotamente e em qualquer altura durante a relação laboral ou posteriormente, todos os dados de aplicações empresariais contidos no dispositivo sem aviso prévio. (II) Obrigações violadas A AEPD considera que, embora as condições de utilização do dispositivo empresarial concedessem à entidade o direito de apagar todos os dados contidos nas aplicações empresariais contidas no dispositivo, tal não implicava a possibilidade de apagar os dados não incluídos nessas aplicações empresariais e que afectavam os dados e informações pessoais do queixoso contidos no dispositivo adquirido. Conclui, por conseguinte, que a possibilidade de eliminar os dados estabelecida na política interna da Entidade só deveria ser aplicável às informações contidas nas aplicações empresariais, mas não abrangia a eliminação de dados que não faziam parte dessas aplicações, ou seja, dados e informações de natureza pessoal do queixoso armazenados no dispositivo adquirido pelo queixoso. Além disso, a Agência considera que a eliminação de dados após um período de tempo decorrido desde a cessação da relação de trabalho deve ter um carácter excecional. Por conseguinte, a Agência considera que, em conformidade com as disposições do RGPD, não foi comprovado que a Entidade tivesse qualquer base legítima para o tratamento de dados efectuado (neste caso, para proceder ao apagamento das informações). Para impor o montante da sanção aplicada, a AEPD tem em conta:

• a natureza e a gravidade da infração, na medida em que considera que a atuação da Entidade afecta a legitimidade enquanto princípio básico do tratamento de dados, considerado de maior gravidade pela regulamentação;
• a intencionalidade ou negligência da entidade, devido ao incumprimento dos seus próprios procedimentos internos e à falta de diligência por parte do responsável pelo tratamento de dados. Esta afirmação baseia-se na jurisprudência do Supremo Tribunal de Justiça, que considera que existe imprudência sempre que um dever legal de cuidado é desrespeitado, ou seja, quando o infrator não se comporta com a diligência exigida; diligência que deve ser ponderada em função do profissionalismo do infrator.

De igual modo, o volume de vendas da entidade sancionada é tido em conta como fator agravante. (III) Conclusões Esta resolução é relevante porque destaca a importância de definir claramente o âmbito das políticas internas e analisar a sua adaptação aos princípios e obrigações dos regulamentos de proteção de dados. Assim, o desenvolvimento e a implementação de qualquer processo ou procedimento interno, especialmente aqueles com maior impacto no tratamento de informações e dados pessoais, devem ser concebidos tendo em conta os princípios e obrigações contemplados nos regulamentos de proteção de dados e o impacto nos direitos e liberdades dos titulares dos dados, integrando no seu desenvolvimento e implementação uma abordagem de risco que reforce a diligência do responsável pelo tratamento de dados e permita prevenir conflitos e possíveis infracções aos regulamentos de proteção de dados.