O Gabinete do Comissário da Informação (ICO), que é a autoridade de proteção de dados do Reino Unido, multou a DSG Retail Limited (DSG) em 500 mil libras devido aos danos causados por um incidente de segurança da informação.1 Como o incidente ocorreu antes da entrada em vigor do RGPD, o arbitramento da multa foi baseado na Data Protection Act 1998, a qual estabelece penalidade máxima de 500 mil libras.
A investigação da OIC descobriu que a empresa havia sofrido um ataque no qual um invasor instalou malware em mais de 5 mil pontos de vendas em suas lojas. Entre julho de 2017 e abril de 2018, os dados pessoais de aproximadamente 14 milhões de consumidores teria sido coletados ilicitamente, incluindo nomes completos, códigos postais, endereços de e-mail e dados de cartão de crédito.
A DSG não teria tomados medidas de segurança adequadas para proteger os dados pessoais, como falta de correção de softwares vulneráveis, ausência de firewall, rede insegura e falta de testes rotineiros de segurança.
De acordo com a autoridade de proteção britânica, a violação impactaria negativamente a privacidade e segurança dos consumidores, deixando-os vulneráveis a fraudes financeiras e de identidade.
dsg-mpn-20200107Referências
- National retailer fined half a million pounds for failing to secure information of at least 14 million people: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/01/nationwide-retailer-fined-half-a-million-pounds-for-failing-to-secure-information/ ↩