contato

16 de Maio, 2024

Autoridade espanhola multa banco em €70.000 por tratamento indevido de dados pessoais

image 22

A Agência Espanhola de Proteção de Dados (AEPD) confirmou uma multa de €70.000 imposta a Caixabank Payments & Consumer EFC, EP, S.A.U. por tratar dados pessoais sem base legal, em um caso de fraude de identidade ligado ao cartão de crédito da Ikea. Em 14 de dezembro de 2023, a AEPD concluiu que o banco tratou os dados da reclamante, que foi vítima de furto de identidade, sem nenhum fundamento jurídico. A reclamação inicial foi feita em 24 de novembro de 2021, após a reclamante ter seu pedido de empréstimo negado devido a uma dívida registrada erroneamente em seu nome. Destaque para o fato de que não foram solicitados todos os documentos apresentados no FAQ da instituição, além da assinatura da reclamante ser diferente do seu documento de identidade.

A dívida associada ao cartão de crédito foi inicialmente ativada por um vendedor da Ikea em janeiro de 2020, acumulando um montante de €690,25 até junho de 2020, sendo posteriormente vendida como parte de um portfólio de dívidas, apesar de não corresponder à reclamante. A AEPD rejeitou a aplicação do Artigo 20 da LOPDGDD, argumentando que a dívida não era certa, vencida e exigível, já que não pertencia à reclamante. Ademais, a autoridade descartou o argumento de interesse legítimo, sob o Artigo 6(1)(f) do GDPR, dado que os interesses do banco não superavam os direitos da vítima.

O banco apelou internamente em 14 de novembro de 2023, alegando não ter culpa no processo de transferência da dívida, uma vez que desconhecia a fraude no momento da transação. No entanto, a AEPD manteve sua decisão, destacando a negligência do banco na verificação da identidade da pessoa contratante, e reafirmou que as medidas tomadas pelo banco para garantir a transação se concentram em assegurar que o empréstimo fosse para uma conta bancária existente, independentemente de quem fosse o titular.  

Comentário: As contratações digitais e à distância demandam dos controladores cuidados aprofundados para a identificação dos contratantes. Como perde-se a o caráter presencial da operação, medidas adicionais de verificação e confirmação devem ser tomadas pelos agentes de tratamento. Para além dos aspectos das questões financeiras relacionadas à fraude, a tendência mundial representada pela decisão espanhola demonstra que os danos são ampliados a partir do momento em que há o tratamento inadequado e ilícito de dados pessoais. As instituições devem manter protocolos fortes, documentados e frequentemente testados, a fim de demonstrar a tomada de medidas adequadas para evitar fraudes. Ademais, como houve uma cessão de crédito, o cessionário deve certificar-se de que as medidas de segurança foram tomadas pelo cedente.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de versão original com o uso do ChatGPT versão 4, complementado por análises e comentários adicionais de Guilherme Damasio Goulart

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Incidente de segurança na XP
2 de Maio, 2025

A XP informou ter tomado conhecimento, em 22 de março de 2025, de um acesso não autorizado a uma base de dados hospedada por um de seus fornecedores externos. A empresa declarou que bloqueou imediatamente o acesso assim que o incidente foi detectado e assegurou que nenhum sistema interno da XP foi comprometido. Segundo o […]

Ler Mais
Fiscalização da ANPD garante nomeação de encarregados em 20 grandes empresas
2 de Maio, 2025

Vinte empresas ajustaram suas operações para cumprir a Lei Geral de Proteção de Dados Pessoais (LGPD) após uma ação de fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), iniciada em novembro do ano passado. O processo foi concluído em 24 de Abril, com todas as companhias fiscalizadas atendendo às determinações da Autoridade. A fiscalização […]

Ler Mais
Discord enfrenta ação judicial por negligência na proteção de crianças
23 de Abril, 2025

O Procurador-Geral de Nova Jersey moveu uma ação judicial contra a plataforma de mensagens Discord, acusando a empresa de práticas comerciais enganosas e irresponsáveis que expõem crianças a conteúdos violentos e sexuais, além de predadores online. A investigação revelou que Discord teria enganado os pais quanto à eficácia de seus controles de segurança, oferecendo garantias […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram