個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

Resumo das Queixas
Print

No: 0132/2013/IP

Título: Divulgação de dados pessoais de terceiro na rede social

Razão: Queixa

Breve:

    Segundo o queixoso, após a ocorrência de um acidente de trânsito envolvendo o proprietário de um outro veículo, verificou que, sem o seu consentimento, a loja A publicou, numa rede social e na aplicação de mensagens instantâneas W, uma mensagem sobre o acidente, onde constavam dados pessoais do queixoso (incluindo o nome, a data de nascimento e fotografia do rosto do queixoso, bem como a matrícula do seu veículo), para comentar o acidente e censurar o queixoso. A partir do teor da mensagem, o queixoso deduziu que o autor da mensagem devia ser familiar do proprietário do veículo acima referido, pelo que solicitou a intervenção do GPDP.

Análise:

    Após a investigação, constatou-se que foi a loja A que criou e utiliza as contas na rede social e na aplicação de mensagens instantâneas W envolvidas no presente caso, com a finalidade de promoção e venda dos seus produtos. Através destas contas, a loja A explorava a sua actividade comercial, que não se inclui entre as actividades exclusivamente pessoais ou domésticas. A par disso, na mensagem em causa, inseria-se um convite à sua partilha. Pelo exposto, a loja A teve a intenção de divulgar publicamente a mensagem acima referida. Neste sentido, o presente caso não se encontra nas situações previstas pelo n.º 2 do artigo 3.º da Lei da Protecção de Dados Pessoais. Nos termos da alínea 1) do n.º 1 do artigo 4.º e do n.º 1 do artigo 3.º da mesma lei, o tratamento dos dados pessoais neste processo é regulado pela Lei da Protecção de Dados Pessoais.
  O responsável da loja A referiu que não sabia do acidente acima referido, nem conhecia os interessados envolvidos no acidente. Disse que as contas da loja eram geridas conjuntamente por vários indivíduos e que a mensagem em causa foi partilhada por um dos administradores das contas. No entanto, o responsável da loja não conseguiu identificar esse administrador, nem explicar a origem da mensagem. Destas declarações conclui-se que mesmo que a mensagem não tivesse sido elaborada originalmente pelo pessoal da loja, a partilha da mesma ainda foi feita em nome da loja. Por outras palavras, a loja A tinha o poder de controlo e decisão para partilhar a mensagem. Nesta situação, a loja poderia ter decidido partilhar ou não a mensagem e acabou por divulgá-la, pelo que deve assumir a respectiva responsabilidade. Nos termos da alínea 5) do n.º 1 do artigo 4.º da Lei n.º 8/2005, o responsável pela loja A é o responsável pelo tratamento de dados neste processo.
  O responsável da loja A disse que nenhum dos administradores da conta de rede social envolvida conhece o queixoso. É evidente que, antes da divulgação da mensagem, a loja A nunca informou o queixoso nem obteve o seu consentimento. Por isso, a loja não tinha a condição de legitimidade sobre a obtenção do consentimento inequívoco do titular dos dados, prevista pelo artigo 6.º da Lei da Protecção de Dados Pessoais. Para além disso, em relação ao facto de que a loja A divulgou os dados pessoais do queixoso na rede social e na aplicação de mensagens instantâneas W, segundo as informações obtidas, não se verificava qualquer das condições de legitimidade previstas nas alíneas 2) a 4) do artigo 6.º da Lei acima referida.
  Por outro lado, as contas da loja A na rede social e no W servem para a exploração de actividades comerciais. É claro que a divulgação da mensagem sobre o acidente de trânsito não corresponde às finalidades da criação dessas contas. A par disso, segundo o que o responsável da loja disse – não tomou conhecimento do acidente, nem conhecia os interessados envolvidos no acidente e nenhum dos administradores das contas conheciam o queixoso –, mostrou que a loja A nunca averiguou a verdade sobre o acidente, mas divulgou arbitrariamente os dados pessoais do queixoso na rede social e no W com críticas ao queixoso. Isso não só poderia prejudicar a reputação do queixoso, mas também não garantiria que os dados pessoais em causa não seriam ilegitimamente transferidos e utilizados por terceiros. Portanto, não se pode considerar que os interesses, direitos, liberdades e garantias do titular dos dados não prevalecem sobre os mesmos do responsável pelo tratamento e, neste sentido, a loja A não tinha a condição de legitimidade prevista pela alínea 5) do artigo 6.º da Lei da Protecção de Dados Pessoais.
  Pelo exposto, em relação à divulgação dos dados pessoais do queixoso na rede social e na aplicação de mensagens instantâneas W, efectuada pela loja A, não se reuniu nenhuma das condições de legitimidade do artigo 6.º da Lei acima referida.

Resultado:

    Considerando os seguintes factos: 1) a mensagem já foi eliminada pela loja A; 2) foi a primeira vez que a loja A violou a Lei da Protecção de Dados Pessoais; 3) a loja A colaborou com o GPDP durante a investigação, o GPDP decidiu aplicar a multa de MOP 8.000 à loja A, nos termos do n.º 2 do artigo 33.º da Lei n.º 8/2005.

Referência:
Consulte a “Lei da Protecção de Dados Pessoais”, artigos 3.º, 4.º, 6.º e 33.º.

Voltar

Avenida da Praia Grande, N.º 804, Edif. China Plaza, 17.º andar, Macau Tel:(853) 2871 6006 Fax:(853) 2871 6116