A primeira coima dinamarquesa

Deficiente pseudonimização pode vir a custar 2,8% da faturação.

A autoridade dinamarquesa de controlo dos dados pessoais (DPA) solicitou a imposição de uma coima de 1,2 milhões de coroas dinamarquesas (€160.751) à empresa de táxis TAXA 4×53, por deficiente pseudonimização e minimização de dados.

A notícia pode ser lida aqui.

A centenária empresa de táxis dinamarquesa com mais de 800 táxis em Copenhaga é líder de mercado e mantém uma base de dados com um histórico de nove milhões de viagens.  

Embora a aplicação da coima esteja reservada ao tribunal, verifica-se que de uma forma geral os tribunais tendem a estar alinhados com as penalidades propostas pelos reguladores. À medida que for sendo criada jurisprudência a DPA dinamarquesa poderá vir a aplicar coimas, mas como este ainda é o primeiro caso, tudo terá que ser resolvido em tribunal.

A política de proteção de dados publicada no site da TAXA (aqui)  refere que os dados pessoais são tratados com a finalidade de ​​realizar a transação comercial associada ao serviço para o qual os dados foram recolhidos. Afirma-se, ainda, que os dados pessoais são apagados ou anonimizados continuamente, à medida que é concluído o objetivo para o qual eles foram recolhidos. É que nem se refere que os dados são pseudonimizados, utiliza-se o conceito de anonimização, o que é uma enorme diferença. A anonimização desqualifica os dados de tal forma que devem deixar de ser considerados como dados pessoais. A pseudonimização reduz a vinculação de um conjunto de dados ao titular dos dados. Trata-se de uma medida de segurança útil, mas que não representa a anonimização.

A empresa de táxis cujo o telefone é 4×35 (35 35 35 35) afirmou à DPA que pseudonimiza as informações dos clientes depois de dois anos, mas a autoridade descobriu que havia apenas excluído os nomes dos clientes, mantendo os números de telefone por mais três anos.

A empresa defendeu-se alegando que tem necessidade de manter os números de telefone para salvaguardar a integridade referencial da base de dados. A DPA contraria esse argumento, afirmando que “não se pode definir um prazo de apagamento que seja três anos mais longo que o necessário, simplesmente porque o sistema informático da empresa dificulta o cumprimento das regras”.

O comunicado da DPA diz que recomendou a coima com base no facto de haver grandes quantidades de dados pessoais que foram conservados sem uma finalidade determinada, explícita e legitima. O princípio da minimização dos dados não foi respeitado, dado que os dados pessoais não foram limitados ao que é necessário relativamente às finalidades.

O documento diz, ainda, que a pseudonimização exige que as empresas deixem de conseguir atribuir a um titular de dados específico determinada informação sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável. Mas, neste caso, apesar do apagamento dos nomes, as informações existentes na base de dados continuam a poder ser atribuídas a uma pessoa por meio de números de telefone e outras informações.

A DPA dinamarquesa alega, assim, que a pseudonimização realizada pela Taxa 4×35 foi inadequada.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)