Violação do Regulamento Geral da Proteção de Dados

Joaquim adquiriu um bilhete de avião junto da companhia aérea portuguesa VOARALTO, a quem confiou os seus dados, apenas para efeitos da referida compra. Posteriormente, começou a receber chamadas e e-mails de forma constante e invasiva da sua privacidade, para adesão a variados serviços, sem nunca ter facultado os seus dados a estas entidades. Ao perceber que os seus dados foram facultados após uma falha de proteção de dados por parte da companhia aérea, Joaquim pretende saber como poderá agir.

Todas as empresas portuguesas passaram a estar abrangidas pelo novo Regulamento Geral da Proteção de Dados (RGPD), inserido pelo Regulamento (UE) n.º 679/2016, de 27 de Abril, que estabelece as regras relativas à proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais e quanto à livre circulação desses dados, definindo quais os seus direitos e liberdades fundamentais nesse âmbito.

Nesse sentido, consideram-se dados pessoais todas as informações relativas a uma pessoa singular identificada ou identificável, que se considere como titular desses dados, devendo estes ser tratados pela Entidade Responsável.

As empresas responsáveis pelo tratamento de dados, neste caso a Companhia Aérea, têm de cumprir e conseguir provar que cumprem com as regras do RGPD na gestão das suas bases de dados, de forma contínua, nomeadamente, devem:

  • Tratar os dados de forma lícita e transparente.
  • O tratamento dos dados deve ser adequado e pertinente à finalidade, que deve ser determinada, explícita e legítima.
  • Garantir a exatidão e a atualização dos dados pessoas para a finalidade prevista do seu tratamento.
  • Os dados pessoais não podem ser utilizados para finalidades distintas da que foi consentida expressamente pelo seu titular.
  • Os dados pessoais devem ser conservados apenas durante o tempo necessário para a finalidade prevista, ou seja, durante o mínimo de tempo possível, devendo as empresas estabelecer prazos para apagarem ou reverem os dados guardados.
  • As empresas responsáveis pelo tratamento dos dados pessoais devem garantir a segurança deste, incluindo a sua proteção, de modo a evitar o seu tratamento não autorizado ou ilícito.

O tratamento dos dados pessoas apenas é lícito quando o titular destes apresentar o seu consentimento de forma expressa, livre, específica, informada e explícita, mediante o qual aceita que os seus dados pessoais sejam objeto de tratamento para determinada finalidade.

Ora, Joaquim apenas autorizou o tratamento dos seus dados pessoais à Companhia Aérea para efeitos da compra do seu bilhete, não tendo autorizado que estes fossem facultados a outras entidades, nem tão pouco autorizou o tratamento dos seus dados por estas, nem que para mero efeito de publicidade. Claramente existiu uma violação da proteção dos dados pessoais de Joaquim, sendo óbvia a existência de uma violação da segurança, que fez com que os seus dados pessoais, nomeadamente, o seu contacto telefónico e o seu endereço de e-mail, dados confiados à Companhia Aérea somente para efeitos da compra do bilhete de avião, fossem divulgados sem existir expressa autorização de Joaquim, seu titular.

Desta forma, Joaquim terá direito a apresentar reclamação junto da autoridade de controlo existente em Portugal, a Comissão Nacional de Proteção de Dados (CNPD), por ter sido violado o disposto no RGPD. Se ainda assim não concordar com a decisão juridicamente vinculativa tomada pela CNPD, poderá recorrer desta através da via administrativa ou judicial.

Joaquim terá ainda direito a ser indemnizado por todos os danos materiais ou imateriais que sofra relativamente à violação do disposto no RGPD, que deverá ser-lhe paga pela Companhia Aérea, que seria a responsável pelo tratamento dos seus dados.

A indemnização a ser atribuída, deverá sê-lo de forma proporcional e dissuasiva, tendo em conta todas as circunstâncias que antecederam e que procederam a violação dos dados pessoais, desde a natureza e gravidade dessa violação, até à atuação por dolo ou negligência do responsável pelo tratamento dos dados, nos termos do artigo 83.º do RGPD, e tendo em consideração as normas previstas na Lei n.º 58/2019, de 08 de Agosto (Lei da Proteção de Dados Pessoais).

Caso a situação não se enquadre no âmbito do artigo anterior, deverão ser estabelecidas regras relativas à sanção a aplicar em virtude da violação, devendo ser tomadas todas as medidas necessárias para garantir a sua aplicação (artigo 84.º).

Se gostou deste artigo, divulgue-o e partilhe-o nas redes sociais. Quem sabe não ajuda pessoas com dúvidas e questões sobre este tema! Se precisar do nosso apoio, estão disponíveis os nossos contactos para o ajudar e esclarecer no que for preciso.

Este artigo foi escrito por Fátima Costa segundo as regras do Novo Acordo Ortográfico.

Deixe um comentário

Your email address will not be published.

This field is required.

You may use these <abbr title="HyperText Markup Language">html</abbr> tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*This field is required.

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.