A Agência Espanhola de Protecção de Dados (AEPD) tem sancionado com 15.000 euros à companhia de cruzeiros RCL Cruises LDT (Royal Caribbean) por filtrar dados pessoais por erro a terceiras pessoas através de correios electrónicos.
Ainda que os factos ocorreram no ano 2019, a infracção não tem prescrito porque se tem estado levando a cabo de forma continuada, pelo que tem vulnerado o artigo 32 e 5.1.f do Regulamento Geral de Protecção de Dados (RGPD).
Correios com dados de outros clientes
A reclamação teve lugar o 16 de outubro de 2019 por parte de um consumidor que se tinha posto em contacto com a empresa de cruzeiros para solicitar informação geral. No entanto, dias depois recebeu por erro um correio electrónico automático que incluía um documento com uma oferta de cruzeiro dirigido a uma pessoa desconhecida.
Na notificação apareciam os dados pessoais dessa pessoa, os de seu acompanhante e detalhes do viaje objeto da oferta. O consumidor respondeu ao e-mail e disse-lhes que não tinha nada que ver com aquilo e ainda que a oferta foi anulada, não lhe deram nenhum tipo de explicação.
Um consumidor apresenta uma reclamação
É por isso que o cliente decidiu apresentar uma reclamação depois de questionar as medidas de segurança adoptadas pelo responsável para salvaguardar a confidencialidade dos dados pessoais que custodia tendo em conta a relevância da empresa no sector a nível mundial.
O 10 de fevereiro de 2022 a APED pediu explicações a RCL Cruises ao ser o responsável por tratamento dos dados pessoais de clientes espanhóis que utilizam o lugar site para solicitar o orçamento ou reservar um cruzeiro dentro do Espaço Económico Europeu.
A companhia culpa a um trabalhador
A empresa de cruzeiros relatou que o correio o enviou por erro um dos agentes e que, depois de revisar o banco de dados, não há constancia de que os dados do consumidor reclamante se tenham compartilhado com outros clientes "já que o incidente foi um erro unilateral".
Relataram que, face a evitar que num futuro ocorra um erro similar, se tinha formado aos agentes detectar à maior brevedad qualquer tipo de incidente de maneira que se gira e solucione de uma maneira rápida, contribuindo explicações claras aos afectados.
A AEPD não o dá por prescrito
Em junho de 2022 RCL Cruises alegou que tal infracção grave tinha prescrito porque o artigo 73 da Lei Orgânica 3/2018 de 5 de dezembro de Protecção de Dados e Garantias dos direitos digitais estabelece o prazo em dois anos.
No entanto, a AEPD entendeu que a conduta não se podia dar por prescrita já que o artigo 30.2 da Lei 40/2015 de 1 de outubro de Regime Jurídico do Sector Público relata que "no caso de infracções continuadas ou permanentes, o prazo começará a correr desde que finalizou a conduta infractora".
1.250.000 passageiros poderiam ter-se visto afectados
Por outro lado, a AEPD declarou que a actuação negligente do empregado na produção de segurança não exime de responsabilidade à empresa. Por isso, a AEPD tem sancionado com 15.000 euros à empresa. 10.000 por infringir o artigo 5.1.f que faz referência aos princípios relativos ao tratamento e outros 5.000 por vulnerar o 32, que fala sobre a segurança do tratamento. A sanção não é firme e pode ser recorrida ante a Audiência Nacional.
Ademais, tiveram-se em conta que em 2020 um total de 1.250.000 passageiros de RCL Cruises puderam ver-se afectados pela falta de adopção de medidas técnicas e organizativas para evitar brechas de segurança.