A Agência de Proteção de Dados Pessoais (AZOP) aplicou uma multa de 1,5 milhão de euros, cerca de R$ 9,75 milhões, a um banco na Croácia por violações do Regulamento Geral de Proteção de Dados (RGPD). A penalidade foi motivada pelo uso de um software na aplicação de mobile banking que coletava informações de 433.922 usuários sem base legal adequada.
O programa instalava-se em dispositivos Android e Huawei, analisava o conteúdo do aparelho e armazenava listas de todos os aplicativos e programas instalados na base de dados central do banco, configurando uma interferência significativa na privacidade dos clientes.
O banco alegou que a coleta de dados tinha respaldo no Regulamento Delegado e na Lei de Transações de Pagamento, mas nenhuma dessas normas prevê a análise de todos os aplicativos instalados nos dispositivos. Além disso, o processo de coleta não foi comunicado de forma clara aos usuários.
As informações sobre o processamento de dados pessoais estavam disponíveis apenas por meio de um link do site do banco, sem referência específica à coleta realizada pelo aplicativo de mobile banking.
Excessos na coleta e riscos à privacidade
A investigação constatou que o banco coletava uma quantidade de dados pessoais superior à necessária para os serviços oferecidos. A análise dos aplicativos instalados nos dispositivos podia expor informações sensíveis, como dados sobre saúde, crenças políticas, orientação sexual e outros elementos pessoais protegidos.
O software não foi configurado para limitar a coleta apenas ao necessário, comprometendo a proporcionalidade do tratamento de dados exigida pelo RGPD. Instituições financeiras devem assegurar que suas soluções digitais respeitem a privacidade e forneçam aos usuários informações claras sobre o processamento de dados.
