Análise das multas aplicadas com base no RGPD pela Autoridade de Proteção de Dados da Espanha

O Regulamento Geral sobre a Proteção de Dados[1] 2016/679 (RGPD) do Parlamento Europeu e do Conselho visa proteger os dados pessoais das pessoas singulares em relação ao tratamento de dados pessoais, bem como a transferência desses dados pessoais para fora da União Europeia (UE) e do Espaço Econômico Europeu (EEE). A legislação foi proposta em 2012, sendo aprovada pela União Europeia em 27 de abril de 2016, entrando em vigor no dia 25 de maio de 2018.

Atualmente, a União Europeia é formada por 27 países que foram aderindo, com o passar do tempo, aos seis países fundadores: Alemanha (Ocidental), Bélgica, França, Itália, Luxemburgo e Países Baixos (Holanda). Tal formação teve início quando da assinatura do Tratado de Roma, em 25 de março de 1957, entrando em vigor em 01 de janeiro de 1958, de modo que surgiu a “Europa dos Seis”. Essa integração dos países europeus se deu após a Segunda Guerra Mundial, em razão não só da necessidade de reconstruir uma nova Europa, mas de evitar novos confrontos entre os seus povos, visando também uma futura integração econômica-comercial entre os países.

Em 1º de janeiro de 1986, ocorre a adesão da Espanha à União Europeia. Ainda existem quatro países que não fazem parte da União Europeia: Islândia, Noruega, Suíça e Liechtenstein. Porém, esses quatro países fazem parte do Espaço Schengen, assim como os três microestados: Mônaco, Vaticano e San Marino[2].

Neste sentido, a Espanha sempre teve tradição em relação às questões de privacidade e proteção de dados, uma vez que, desde 29 de Outubro de 1992, ela possuía a Lei Orgânica nº 5/1992, que regulamentava o tratamento automatizado de dados pessoais[3], que ficou conhecida como LORTAD (Ley Orgánica de regulación del tratamiento automatizado de los datos de carácter personal) e visava atender aos comandos normativos da Diretiva 95/46/EC. A LORTAD era dividida em sete títulos, que totalizavam 48 artigos, sendo regulamentada pelo Decreto Real nº 1332, de 20 de junho de 1994. Era uma lei bastante moderna à época, se comparada a diversas outras legislações internacionais, uma vez que legislava sobre: (a) aplicabilidade aos dados pessoais contidos em arquivos dos setores públicos e privados, (b) tratamento automatizado, (c) princípios da proteção de dados (como, por exemplo, consentimento, qualidade e segurança dos dados, dados sensíveis, transparência de coleta de dados e transferência dos dados pessoais), (d) direitos dos titulares, (e) infrações e penalidades e, no art. 34, (f) a criação da Agência de Proteção de Dados[4], dentre outras disposições.

Outras legislações foram aprovadas posteriormente, em especial, a Lei nº 15, de 13 de Dezembro de 1999, a Lei Orgânica de Proteção de Dados (LOPD), que revogou a supracitada LORTAD, porém se manteve como uma continuação desta legislação, ao passo que reproduziu grande parte dos artigos da LORTAD, visando atender aos comandos normativos da Diretiva 95/46/CE. Antes da Espanha, já havia alguns países que contavam com legislações de proteção de dados, dentre eles: Suécia (1973) e, em 1978, a Alemanha (Ocidental), Dinamarca, Áustria, França, Noruega e Luxemburgo.

Assim, a Lei Orgânica nº 15/1999 foi aprovada pelo Decreto Real nº 1720 de 2007 e adaptou o sistema legislativo às disposições da Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro de 1995, com a finalidade de “garantir e proteger, no que diz respeito ao tratamento de dados pessoais, as liberdades públicas e os direitos fundamentais das pessoas singulares, e especialmente de sua honra e privacidade pessoal” [5], incluindo o processamento automatizado e não automatizado de dados pessoais. Por fim, a Lei Orgânica Espanhola nº 03/2018 (LOPDGDD), de 05 de dezembro de 2018, regulamentou a proteção de dados pessoais, em conformidade com o RGPD[6], dispondo sobre temas de altíssima relevância tais como: dados de pessoas falecidas, princípios de proteção de dados, direitos dos titulares, tratamento de dados de contato, empresários individuais e profissionais liberais, sistemas de informação de crédito, tratamento de captura de imagens para fins de vigilância, registro das atividades de tratamento, bloqueio de dados, oficial de proteção de dados, códigos de conduta, transferências de dados internacionais, regime de sanções, dentre outros aspectos.

O art. 55 do RGPD dispõe que as autoridades de controle “são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado-Membro”. Neste cenário, a Agência Espanhola de Proteção de Dados[7] (AEPD) tem desempenhado um papel relevante com a finalidade de proteger a honra e a privacidade pessoal e familiar dos cidadãos espanhóis. Segundo a ferramenta GDPR Enforcement Tracker[8], a Agência Espanhola de Proteção de Dados é a autoridade de proteção de dados mais atuante na Europa, com aproximadamente 35% do total de multas aplicadas.

No artigo anterior, intitulado “A importância do registro de multas aplicadas com base no RGPD e a ferramenta GDPR Enforcement Tracker[9], de nossa autoria, publicado pela EXIN, discorremos sobre formas de buscar prever os futuros riscos dos impactos das sanções da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil, com base na análise criteriosa e crítica da atuação das autoridades de proteção de dados na Europa, eis que o RGPD está há alguns anos à frente da LGPD. Neste sentido, defendemos que “as empresas terão que aprender a lidar com os dados pessoais de maneira segura e ética, aplicando as medidas técnicas e organizacionais adequadas para assegurar um nível de segurança que proteja a confidencialidade, a integridade e a disponibilidade desses dados pessoais”[10].

Neste contexto, a GDPR Enforcement Tracker é uma ferramenta que registra, detalha e contabiliza as penalidades aplicadas por infrações aos artigos do RGPD. Atualmente, até a data de elaboração deste artigo, foram aplicadas 896 penalidades, sendo que 313 foram aplicadas pela Agência Espanhola de Proteção de Dados, ou seja, 34,93%. Porém, conforme já frisamos anteriormente, mais importante do que a quantidade de multas ou o valor total das multas aplicadas, é justamente o motivo da violação que exigiu a autuação pela autoridade de proteção de dados.

Casos Concretos – Agência Espanhola de Proteção de Dados

No dia 26/10/2021, a Agência Espanhola de Proteção de Dados (AEPD) multou a Vodafone Servicios, S.L.U.[11] em 40.000 euros por ferir o art. 6 (1) do RGPD, eis que a empresa processou ilegitimamente os dados pessoais da reclamante em seu sistema de informações, sem ter comprovado perante a AEPD a existência de execução de contrato, a legitimidade para a coleta e posterior tratamento de dados pessoais ou qualquer outra causa que tornasse legal o tratamento efetuado, materializando-se, portanto, em uma contratação fraudulenta. A título de contexto, em 08/02/2021, a supracitada reclamante alegou a ocorrência de faturas e encargos para pagamento de alguns serviços da Vodafone, cuja propriedade pertenceria a um terceiro. A AEPD apurou que constavam os seguintes dados do titular: nome, sobrenome, NIF, e-mail e sua conta bancária. Além disso, verificou que o contrato não estava assinado e que a empresa não teria verificado corretamente a identidade do contratante, não tomando os cuidados necessários para evitar o tratamento ilegítimo. Neste caso, a penalidade inicial foi de 50.000 euros, mas como a empresa reconheceu a sua responsabilidade dentro do prazo das alegações, ocorreu uma redução de 20% sobre o valor da multa a ser imposta, o que totalizou 40.000 euros.

No dia 26/10/2021, a Vodafone España, S.A.U. [12] também foi autuada em 64.000 euros, com base no art. 6 (1) do RGPD, ao exigir uma dívida indevida de um consumidor da empresa, em virtude de serviços não contratados de linhas telefônicas de terceiros. A AEPD entendeu que a empresa não verificou corretamente a personalidade de quem contratou os serviços e não tomou os cuidados necessários para que estes fatos não ocorressem. Neste caso, a penalidade inicial foi de 80.000 euros, mas como a empresa reconheceu a sua responsabilidade dentro do prazo das alegações, ocorreu uma redução de 20% sobre o valor da multa a ser imposta, o que totalizou 64.000 euros. Em ambos os casos, o pagamento das multas implicou o encerramento do procedimento, mediante a comprovação do cancelamento das cobranças e exclusão dos dados ilegítimos.

Em 21/10/2021, a CAIXABANK PAYMENTS & CONSUMER EFC, EP, S.A.U. [13] foi autuada em 3 milhões de euros, com base no art. 6 (1) c/c art. 83 (5) do RGPD, em penalidade classificada como muito grave para efeito de prescrição do art. 73 da LOPDGDD, ao incluir os dados pessoais de um ex-cliente em uma campanha de créditos pré-aprovados para o uso de cartões de crédito, mantendo seu perfil (com o monitoramento da capacidade contínua de reembolso/solvência e risco de inadimplência) para oferecer-lhe esse serviço financeiro sem solicitar o seu consentimento, uma vez que o contrato de financiamento com o supracitado ex-cliente teria sido finalizado em 2014. A AEPD ainda exigiu, no prazo de 6 meses, que a empresa adote as medidas necessárias para se adaptar ao RGPD, em especial, os procedimentos através dos quais recolhe o consentimento de seus clientes para criar perfis comerciais. O valor da multa não levou apenas em consideração o faturamento da empresa em 2020, mas também o grande volume de dados pessoais que permitiria realizar um perfil exaustivo de seus clientes.

Em 13/10/2021, a Vodafone España, S.A.U. [14] já tinha sido anteriormente autuada em 40.000 euros por infringir os artigos 5 (1), alínea “f” e 32, ambos do RGPD, eis que a empresa estava enviando contas de telefone de terceiros para o endereço de e-mail do titular reclamante, mesmo tendo por este sido avisada por e-mail do equívoco. A empresa teve a sua disposição um mês para solucionar tal equívoco, tendo informado a AEPD e ao titular que o incidente teria sido resolvido. Porém, o titular continuou a receber faturas, eis que seu e-mail não foi excluído da base de dados, conforme restou evidenciado por cópias das faturas recebidas após o prazo concedido.

Em 11/10/2021, a MAF.COM ESQUI CLUB[15] foi multada em 10.000 euros por infringir o art. 7 do RGPD, uma vez que o clube de esqui publicou um vídeo em que a filha menor da parte reclamante aparecia no site da empresa. A parte reclamante alegou que não deu seu consentimento e que era contrária a tal tratamento, de acordo com as cópias de e-mails enviados que foram entregues a AEPD em um CD. A AEPD entendeu que o tratamento de imagem realizado (divulgação comercial) violava o princípio da limitação da finalidade (curso de esqui). Além disso, a autoridade verificou que o formulário de cadastro pressupunha a aceitação da política de privacidade e o processamento de dados pessoais na web de forma obrigatória, com a caixa pré-marcada na opção “aceitar”. Ou seja, para que houvesse a prestação dos serviços oferecidos por este clube de esqui era necessário que a titular concordasse com o tratamento das imagens da sua filha menor, o que não ocorreu, bem como não determinava o tempo de tratamento das imagens. A penalidade foi aplicada da seguinte forma: (1) 5.000 euros por violação do art. 7 do RGPD ao efetuar o tratamento dos dados pessoais para finalidades diferentes e (2) 5.000 euros por infringir o art. 7 do RGPD, quanto ao tratamento ilícito de dados pessoais da menor (imagens obtidas durante as atividades esportivas), sem o consentimento expresso da responsável pela menor.

Em 29/09/2021, a ACONCAGUA JUEGOS, S.A.[16] foi penalizada em 10.000 euros, por ferir o art. 37 do RGPD, ao não atender as reivindicações do direito de exclusão da titular dentro do prazo legalmente estabelecido e por não possuir um DPO nomeado para cuidar de tais reivindicações. Neste caso, a Sub-Diretoria Geral de Inspeção de Dados da AEPD verificou que na lista de DPO nomeados do banco de dados da AEPD não constava nenhum registro de DPO nomeado da empresa reclamada, embora a Política de Privacidade de seu site alegasse haver um Encarregado de Proteção de Dados. A empresa, mesmo tendo sido notificada pela AEPD, não nomeou um DPO (ou Delegado de Proteção de Dados – DPD, na Espanha), considerando tal atitude um falta grave de diligência. Além disso, a AEPD levou em conta o número de partes interessadas afetadas e o tratamento de dados pessoais em grande escala.

Em 25/08/2021, o Banco Bilbao Vizcaya Argentaria, S.A.[17] foi autuado em 120.000 euros por infração ao art. 32 do RGPD. A parte reclamada alegava que o banco fornecia os detalhes dos últimos movimentos do cartão de afinidade, através de um sistema telefônico automatizado que solicitava apenas o Documento Nacional de Identificação (DNI) do cliente, não adotando qualquer outra medida de segurança para confirmar a veracidade da identidade do solicitante. No mesmo sentido, a AEPD entendeu que o banco não adotou as medidas de segurança adequadas para verificar se o solicitante era realmente o proprietário do DNI informado, visto que qualquer pessoa que usasse o serviço telefônico automatizado e fornecesse o número do DNI, fosse ou não proprietário do cartão de afinidade poderia obter informações associadas a esse DNI junto ao supracitado banco.

A Subdirecção-Geral de Inspecção de Dados da AEPD investigou o caso, com base nos poderes de investigação concedidos às autoridades de controle no artigo 57 (1) do RGPD e, especificamente, à AEPD de acordo com as disposições da Lei Orgânica no 3/2018 de Proteção de Dados Pessoais e Garantia de Direitos Digitais (LOPDGDD). A AEPD entendeu também que a não adoção de medidas de segurança adequadas não respeitava os princípios do artigo 5 (1), alínea “f”, do RGPD para evitar o tratamento não autorizado ou ilegal de dados pessoais, bem como infringia o artigo 32 do RGPD, ao não adotar as medidas técnicas e organizacionais adequadas para garantir a confidencialidade das informações.

Por fim, considerou como fatores agravantes: O alto número de clientes afetados (art. 83 (2), “a”), a negligência em não adotar as medidas de segurança adequadas (art. 83 (2), “b”), bem como, a sua responsabilidade em atuar na prevenção de fraudes em entidades bancárias, que não restou configurada, por não adotar as medidas de segurança esperadas (art. 83 (2), “d”), além de não apresentar alegações, solicitando apenas a paralisação do procedimento. A AEPD entendeu que era apropriado impor uma multa de 200.000 euros pela violação do artigo 32 do RGPD, porém, o banco fez uso do reconhecimento de sua responsabilidade dentro do prazo concedido para formulação das alegações e efetuou o pagamento voluntário da sanção, obtendo uma redução de 20% do valor da multa inicial, o que implicou na redução de 20% da pena total a ser imposta no presente procedimento, sendo a sanção fixada em 160.000 euros.

Em 09/08/2021, o CLUB GIMNASIA RÍTMICA SAN ANTONIO[18] foi autuado pela AEPD no valor de 5.000 euros por infração ao art. 6 do RGPD (c/c art. 83 (5), “b”), sendo considerada uma violação muito grave[19], de acordo com o art. 72 (1), “a”, da LOPDGGD, uma vez que o clube fotografou e filmou as filhas da parte reclamante sem o seu consentimento, bem como publicou tais imagens em suas redes sociais. Neste caso, a reclamante, mãe de duas meninas, de 10 e 12 anos, praticantes de ginástica olímpica, solicitou, no dia 05/02/2021, ao clube que removesse de suas redes sociais todas as fotos e vídeos de suas filhas, uma vez que não havia concedido autorização para o tratamento dessas imagens. Porém, não foi atendida dentro do prazo de um mês pelo clube, não tomando as medidas necessárias para remover as imagens das filhas menores da reclamante. A AEPD, além de impor a sanção, exigiu que o clube adote as medidas necessárias para retirar as imagens das duas menores, de acordo com o art. 6 (1), “a”, bem como que disponibilize à AEPD as provas que comprovam o cumprimento de tais medidas.

Em 29/07/2021, a UNIVERSIDAD A DISTANCIA DE MADRID, S.A. (UDIMA) [20] foi penalizada em 3.000 euros por não ter concluído com efetividade a solicitação de exclusão e de oposição ao tratamento de todos os dados, para qualquer tipo de finalidade, de um titular (que comprovou a sua identidade ao anexar cópia do seu documento de identidade ao e-mail). A parte reclamante comprovou à AEPD que recebeu um e-mail do DPD (ou DPO) da UDIMA de resposta ao seu pedido, afirmando que seus dados pessoais não eram mais necessários, em relação aos fins para os quais foram tratados e que a UDIMA procedeu a remoção desses dados de todos os seus registros. Um mês depois, a parte reclamante recebeu novos e-mails de publicidade da UDIMA, intitulados “Convite para Feira de Emprego Virtual” e “Sessões online gratuitas UDIMA”, que posteriormente foram juntados ao procedimento da AEPD.

Neste caso, verificou-se que o exercício dos direitos da parte interessada foi processado, de modo que os trâmites para solicitação ao departamento que gerencia as comunicações por e-mail[21] para a exclusão dos dados pessoais da reclamante se iniciaram no dia seguinte, conforme restou documentado à AEPD, tendo sido completada a localização dos dados e subsequente solicitação ao gerente de sistemas para eliminá-los, bem como, a confirmação da exclusão desses dados do CRM e do banco de dados da UDIMA. Porém, ao final, a AEPD apurou que tal solicitação do titular não foi plenamente cumprida, restando o e-mail da parte reclamante em alguns bancos de dados da UDIMA. Ou seja, mesmo possuindo uma lista específica de exclusão de publicidade com versionamento, a UDIMA não cumpriu com o art. 17 (1) do RGPD, acerca do direito ao apagamento (ou direito ao esquecimento), uma vez que, além dos dados pessoais não serem mais necessários em relação aos fins para os quais foram coletados, a parte reclamante se opôs ao tratamento. Assim, a AEPD entendeu que ocorreu uma nítida falta de “due diligence” [22] por parte da entidade reclamada.

Sanções administrativas da AEPD

A título de conhecimento, atualmente, a Espanha possui quatro[23] autoridades de proteção de dados. A Agência Espanhola de Proteção de Dados foi criada em 1992. A Autoridade Catalã de Proteção de Dados, em 2002. A Agência Basca de Proteção de Dados, em 2004 e, por último, o Conselho Andaluz para a Transparência e Proteção de Dados, em 2014.

A Agência Espanhola de Proteção de Dados dispõe em seu website de uma variedade de informações acerca de dúvidas sobre o RGPD, os trâmites do procedimento administrativo, dentre outros esclarecimentos. Assim, a AEPD informa aos titulares que protege os seus direitos acerca de seus dados pessoais, porém, antes de iniciar uma reclamação junto a AEPD, a parte reclamante deve se dirigir ao responsável pelo tratamento dos dados pessoais, através de um meio que permita comprovadamente a resposta do responsável ao titular. Por essa razão, normalmente é usado o e-mail de contato do DPD ou da área de proteção de dados da empresa. A AEPD ainda informa que, se responsável não responder dentro de um mês ou se a resposta não for adequada, a parte poderá registrar uma reclamação junto a AEPD[24].

Conforme discorremos, a AEPD é a autoridade de proteção de dados mais atuante na Europa, com aproximadamente 35% do total de multas aplicadas (313 multas das 896 multas aplicadas até 11/11/2021), totalizando 36.311.110 milhões de euros em multas. Assim, das 313 penalidades aplicadas, 129 delas se referem à base legal ausente ou insuficiente para o processamento de dados pessoais, ou seja, 41,21% das multas. Em relação às outras categorias de violação de dados, foram apuradas 27 multas por violação de medidas técnicas e organizacionais ausentes ou insuficientes para garantir a segurança da informação (8,63%) e 82 multas em virtude da violação de não conformidade com os princípios gerais de processamento de dados pessoais (26,20%). Além disso, outros motivos de violação foram: cumprimento insuficiente dos direitos dos titulares dos dados (17 multas ou 5,43%) e das obrigações de informação (41 multas ou 13,10%), cooperação insuficiente com a autoridade supervisora ​​(12 multas ou 3,83%), inclusive a cooperação insuficiente do encarregado (ou responsável) da proteção de dados – DPO (3 multas ou 0,96%), dentre outras 2 multas restantes (0,64%).

(Tabela elaborada pelo autor)

Conclusão

No ano de 2021, o RGPD completou três anos de vigência, serviu de inspiração para a criação de diversas leis sobre proteção de dados em torno do mundo e foi substrato para aplicação de mais de 900 milhões de euros em multas. Conforme verificamos nos casos concretos analisados neste artigo, algumas empresas já sofreram punições por não cumprirem as normas do RGPD. Soma-se a isso o fato de que o volume de infrações e o valor das multas aplicadas pelas autoridades de proteção de dados da União Europeia tiveram um aumento de dois dígitos ao longo dos últimos 24 meses, forçando ainda mais as organizações a se adequarem aos comandos normativos, seja em relação aos princípios, seja em relação ao compartilhamento internacional ou ao nível de proteção adequado contra o acesso não autorizado de dados pessoais. As penalidades aplicadas também fornecem às autoridades, em segundo plano, recursos financeiros para subsidiar a realização de investigações complexas e custosas, em face das grandes empresas de tecnologia e de comércio eletrônico da atualidade.

Conforme discorremos, a AEPD autuou empresas de pequeno a grande porte por processar ilegitimamente dados pessoais; por não verificar a identidade da parte contratante para evitar cobranças indevidas; por manter perfil de monitoramento da solvência e de risco de inadimplência de ex-clientes ou de clientes atuais, para oferecer crédito sem solicitar o seu consentimento; por não solucionar ou não dar a devida atenção ao pedido de exercício de direitos dos titulares dentro do prazo legal do RGPD, mesmo que o titular esteja devidamente identificado; por efetuar o tratamento das imagens de menores, sem o consentimento expresso do responsável; por não determinar o tempo de tratamento das imagens e dos demais dados; por possuir uma Política de Privacidade em seu site, sem efetivamente possuir um Encarregado de Proteção de Dados nomeado; por não adotar medidas de segurança para confirmar a veracidade da identidade do titular; por não adotar as medidas técnicas e organizacionais adequadas para garantir os pilares da segurança da informação, como confidencialidade, integridade, disponibilidade, autenticidade e legalidade (ou CIDAL).

Das 896 penalidades aplicadas até o momento na Europa, 33% das multas se referem à ausência de base legal para o processamento de dados pessoais. E, aproximadamente, 40% do total de multas tratam de medidas técnicas e organizacionais insuficientes para garantir a segurança dos dados pessoais e de não conformidade com os princípios gerais de processamento de dados pessoais do RGPD. Portanto, acima da quantidade ou somatório de multas aplicadas, devemos nos ater a uma reflexão direta acerca da principal razão das sanções: Mais importante do que a quantidade de multas ou o valor total das multas aplicadas é justamente os motivos das violações que exigiram a autuação pela autoridade de proteção de dados (seja AEPD ou qualquer outra).

Caso as empresas não estejam adequadas aos comandos normativos do RGPD, existem sanções administrativas, tanto no RGPD quanto na LGPD, que são infinitamente mais danosas do que o simples valor da multa. Por exemplo, a suspensão parcial do uso do banco de dados ou a proibição parcial ou total da atividade de tratamento, de modo que estas últimas sanções podem até inviabilizar a atividade econômica do infrator. Desse modo, é imprescindível que os responsáveis pelo tratamento dos dados estejam atentos aos tópicos abordados acima, a fim de evitar penalidades que possam prejudicar a continuidade dos negócios da empresa, em especial, o seu core business.

*************************************************************************************************************************************

Marcelo José dos Santos é advogado, bacharel em Direito e em Administração, com MBA em Marketing, possui dez pós-graduações, sendo nove em Direito e uma em Segurança da Informação. Também atua com consultorias de adequação LGPD/RGPD, em relação à proteção de dados pessoais e segurança da informação. Certificado DPO (Data Protection Officer), ISO (Information Security Officer) e Green IT pela EXIN em 2021.

 

[1] EU. EUR-Lex. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. Fonte: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=uriserv%3AOJ.L_.2016.119.01.0001.01.POR&toc=OJ%3AL%3A2016%3A119%3AFULL – Acesso em: 28/10/2021.

[2] Neste sentido: ETIAS. Há diferença entre a União Europeia e os países do Schengen? Fonte: https://www.etiasvisa.com/br/faq/paises-do-schengen – Acesso em: 07/11/2021.

[3] ESPANHA. Lei Orgânica 5/1992, de 29 de outubro, que regulamenta o tratamento automatizado de dados pessoais. Fonte: https://www.boe.es/buscar/doc.php?id=BOE-A-1992-24189 – Acesso em: 07/11/2021

[4] Neste sentido, o art. 34 assim dispõe: “Artículo 34. Naturaleza y régimen jurídico. 1. Se crea la Agencia de Protección de Datos. 2. La Agencia de Protección de Datos es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio que será aprobado por el Gobierno, así como por aquellas disposiciones que le sean aplicables en virtud del artículo 6.5 de la Ley General Presupuestaria.”.

[5] ESPANHA. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Fonte: https://boe.es/buscar/act.php?id=BOE-A-2008-979 – Acesso em: 09/11/2021

[6] ESPANHA. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Fonte: https://www.boe.es/eli/es/lo/2018/12/05/3 – Acesso em: 09/11/2021

[7] ESPANHA. Agência Espanhola de Proteção de Dados. Fonte: https://www.aepd.es – Acesso em: 09/11/2021

[8] GDPR Enforcement Tracker. Fonte: https://www.enforcementtracker.com/ – Acesso em: 09/11/2021.

[9] SANTOS, Marcelo José dos. A importância do registro de multas aplicadas com base no RGPD e a ferramenta GDPR Enforcement Tracker. Site da EXIN. Fonte: https://www.exin.com/br-pt/a-ferramenta-gdpr-enforcement-tracker/ – Acesso em: 09/11/2021

[10] Idem.

[11] ESPANHA. Agência Espanhola de Proteção de Dados. Fonte: https://www.aepd.es/es/documento/ps-00242-2021.pdf – Acesso em: 09/11/2021

[12] ESPANHA. Agência Espanhola de Proteção de Dados. Fonte: https://www.aepd.es/es/documento/ps-00249-2021.pdf – Acesso em: 09/11/2021

[13] ESPANHA. Agência Espanhola de Proteção de Dados. Fonte: https://www.aepd.es/es/documento/ps-00500-2020.pdf  – Acesso em: 09/11/2021

[14] ESPANHA. Agência Espanhola de Proteção de Dados. Fonte: https://www.aepd.es/es/documento/ps-00111-2021.pdf  – Acesso em: 09/11/2021

[15] ESPANHA. Agência Espanhola de Proteção de Dados. Fonte: https://www.aepd.es/es/documento/ps-00104-2021.pdf  – Acesso em: 09/11/2021

[16] ESPANHA. Agência Espanhola de Proteção de Dados. Fonte: https://www.aepd.es/es/documento/ps-00231-2021.pdf  – Acesso em: 09/11/2021

[17] ESPANHA. Agência Espanhola de Proteção de Dados. Fonte: https://www.aepd.es/es/documento/ps-00362-2021.pdf – Acesso em: 10/11/2021

[18] ESPANHA. Agência Espanhola de Proteção de Dados. Fonte: https://www.aepd.es/es/documento/ps-00209-2021.pdf  – Acesso em: 11/11/2021

[19] Segundo a LOPDGDD, em seu art. 72, acerca das infrações consideradas muito graves, dispõe: “1. En función de lo que establece el artículo 83.5 del Reglamento (U.E.) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquél y, en particular, las siguientes: (…) a) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE)2016/679.”

[20] ESPANHA. Agência Espanhola de Proteção de Dados. Fonte: https://www.aepd.es/es/documento/ps-00310-2021.pdf – Acesso em: 11/11/2021

[21] Sobre o envio de e-mails de publicidade sem consentimento, de acordo com o art. 43, número 1, parágrafo segundo, da Lei no 34/2002, sobre Serviços da Sociedade da Informação e Comércio Eletrônico (LSSI), a AEPD é competente para iniciar e resolver este Procedimento Sancionador.

[22] O art. 72.1, k) da LOPDGDD, considera muito grave, para efeitos de prescrição: “O impedimento ou a obstrução ou a repetida falta de atenção do exercício dos direitos previstos nos artigos 15.º a 22.º do Regulamento”.

[23] As quatro agências de proteção de dados da Espanha são: Agencia de Protección de Datos, Autoridad Catalana de Protección de Datos, Agencia Vasca de Protección de Datos e o Consejo de Transparencia y Protección de Datos de Andalucía.

[24] Neste sentido: ESPANHA. Agência Espanhola de Proteção de Dados. En que podemos ayudarte como ciudadano. Fonte: https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/detallePreguntaFAQ.jsf?idPregunta=FAQ%2F00000  – Acesso em: 12/11/2021