A Autoridade Italiana de Proteção de Dados (Garante) aplicou uma multa de €80.000 à Selectra S.p.A. por diversas violações das normas de proteção de dados relacionadas ao monitoramento de e-mails de um ex-agente comercial. A investigação revelou que a empresa acessou e-mails de um ex-colaborador por meio de um software de backup (MailStore), sem fornecer informações claras sobre a retenção de dados, o acesso às comunicações e as razões para tal monitoramento.

O ex-funcionário, que havia terminado sua colaboração com a empresa em fevereiro de 2021, apresentou uma queixa ao Garante em dezembro de 2021. Ele alegou que a empresa havia mantido ativa sua conta de e-mail e acessado sua correspondência eletrônica após o término do vínculo. Esses e-mails foram posteriormente utilizados como prova em um processo judicial movido pela Selectra, que acusava o ex-funcionário de violação de segredos comerciais.

Durante a investigação, a Selectra justificou que os backups das caixas de e-mail eram realizados automaticamente para garantir a segurança dos dados, com retenção por até três anos após o fim da relação de trabalho. Contudo, a Autoridade Italiana concluiu que a empresa violou as obrigações previstas no GDPR, em especial os princípios de transparência, proporcionalidade e minimização de dados.

Principais violações encontradas:

1. Ausência de informações claras: A Selectra não informou adequadamente o ex-funcionário sobre os períodos de retenção dos backups e as possíveis investigações de dados após o término do vínculo, violando o Artigo 5(1)(a) e o Artigo 13 do GDPR.
2. Período excessivo de retenção de dados: A empresa manteve os backups de e-mails por três anos após o fim do contrato, sem uma justificativa proporcional ou necessária, em violação ao Artigo 5(1)(c) e 5(1)(e) do GDPR.
3. Controle indevido de atividades: O uso do software MailStore permitia o monitoramento extensivo das atividades dos funcionários e ex-funcionários, sem as garantias exigidas pelo Artigo 88 do GDPR e o Artigo 114 do Código de Proteção de Dados da Itália, que regula o controle das atividades no ambiente de trabalho.

O Garante destacou que, apesar de a empresa alegar que o acesso aos e-mails era necessário para a continuidade do negócio e proteção de segredos comerciais, essas justificativas não eram suficientes para justificar a extensão do controle e a retenção prolongada dos dados. A Autoridade concluiu que a Selectra violou os princípios de minimização e limitação da conservação, previstos no GDPR, ao armazenar e-mails de forma automática e por um período excessivo, além de não implementar salvaguardas adequadas para proteger os direitos dos trabalhadores.

Como medida corretiva, além da multa, a Selectra foi obrigada a cessar o tratamento dos dados obtidos por meio do software de backup e a revisar suas políticas de privacidade para garantir a conformidade com as normas de proteção de dados. A empresa também foi instada a comunicar ao Garante as ações tomadas para implementar essas medidas dentro de 90 dias.

O Garante considerou fatores como a natureza das violações, a falta de conformidade com os princípios do GDPR e o número de pessoas potencialmente afetadas, já que a empresa tinha 151 funcionários em 2023, para determinar a multa. A Selectra cooperou com a Autoridade durante o processo, suspendendo o uso do software de backup e demonstrando disposição para ajustar suas práticas de proteção de dados, o que foi levado em consideração na decisão.

Com informações GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.