A autoridade de controlo italiana, o Garante (Garante per la Protezione Dei Dati Personali), aplicou uma coima de 20 milhões de euros à empresa CLEARVIEW AI, sediada nos Estados Unidos, cujo escopo consiste na captação de selfies aos rostos dos titulares de dados para preenchimento do seu banco de dados, com cerca de 10 milhões de imagens faciais, alimentando assim o seu serviço de correspondência de identidade, comercializado para diversas autoridades.
Segundo o Garante, “As conclusões revelaram que os dados pessoais detidos pela empresa, incluindo os dados biométricos e de geolocalização, são tratados de forma ilegal, sem uma base legal adequada, o que certamente não pode ser o interesse legítimo da empresa.”
A par destas considerações, foi ainda referido estar em causa a violação do Regulamento Geral sobre a Proteção de Dados, no que diz respeito à obrigação de transparência ao nível da informação junto dos titulares dos dados, tratamento de dados para fins diferentes dos que constavam na política de privacidade, violação do princípio da limitação da conservação de dados, e ainda, a violação da confidencialidade e do direito a não ser discriminado.
Esta decisão vem confirmar uma vez mais, a necessidade de conformidade do tratamento dos dados com o RGPD. As operações de tratamento devem respeitar o princípio segundo o qual, as finalidades devem ser explícitas e legítimas e o tratamento deve cumprir com as finalidades determinadas na política de privacidade (al. b) do art.º 5.º do RGPD). Os fins do tratamento devem ser dados a conhecer aos titulares de dados, de forma clara, acessível, e acima de tudo, transparente (al a) n.º 1 do art.º 5.º do mesmo Regulamento). Uma política/informação obscura ou até incompleta, poderá levar à falta de clareza na informação a prestar por quem de direito, a quem legitimado a receber essa informação.
As autoridades de controlo têm vindo cada vez mais a endurecer as coimas a aplicar às entidades que não respeitem as regras e os princípios do RGPD, relacionados com a prevenção e mitigação que deve trespassar as empresas e as suas atividades de tratamento, em nome da proteção de dados e da segurança da informação.
É caso para dizer: mais vale prevenir do que remediar.
|