Direito Digital e Compliance

Categorias


Direito Digital e Compliance

Multa por insuficiência de medidas técnicas e organizacionais

Autoridade polonesa de proteção de dados entendeu que a Morele.net não adotou medidas adequadas de segurança da informação.

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

A autoridade polonesa de proteção de dados aplicou uma multa superior a 2,8 milhões de PLN (aproximadamente 645 mil euros) à varejista Morele.net por insuficiência de medidas técnicas e organizacionais. A falta de medidas de segurança teria levado à violação dos dados pessoais de 2,2 milhões de pessoas.1

Na Polônia, até o momento, esta é a maior sanção aplicada por uma violação ao RGPD.2 No caso em questão, após um incidente ter resultado na subtração e no uso ilícito de dados pessoais, verificou-se que a empresa vítima, Morele.net, não havia tomado medidas adequadas de segurança.

Em novembro de 2018, a Morele.net tomou conhecimento de uma violação em seus sistemas. Clientes relataram ter recebido mensagens SMS exigindo pagamentos adicionais para concluir os pedidos feitos pela loja online. As mensagens continham um link para um falso gateway de pagamento eletrônico controlado pelos golpistas.

No ocasião, os dados pessoais de aproximadamente 2,2 milhões de clientes, tais como nomes, endereços de entrega, e-mails e números de telefone foram comprometidos. Desses, 35 mil tiveram dados adicionais vazados, incluindo informações sobre parcelas de pagamento, nível educacional, fonte de renda e receita líquida, custos de manutenção das famílias e estado civil.

Apesar da empresa ter relatado o caso às autoridades, após uma investigação da autoridade polonesa de proteção de dados pessoais, concluiu-se que as medidas organizacionais e técnicas usadas pelo Morele.net não eram suficientes.

Ao não implementar medidas técnicas e organizacionais necessárias para proteção dos dados pessoais, a empresa violou o artigo 5º, nº 1, alínea f, e o artigo 32, ambos do RGPD. Como resultado, ocorreu acesso não autorizado aos dados pessoais dos clientes. A autoridade entendeu que um meio ineficaz de autenticação de acesso aos dados havia sido usado.

Artigos mencionados do RGPD:

Artigo 5º – Princípios relativos ao tratamento de dados pessoais
1. Os dados pessoais são:
f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e confidencialidade»);

Artigo 32º – Segurança do tratamento
1. Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:
a) A pseudonimização e a cifragem dos dados pessoais;
b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;
d) Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
2. Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
3. O cumprimento de um código de conduta aprovado conforme referido no artigo 40.º ou de um procedimento de certificação aprovado conforme referido no artigo 42.º pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas no n.o 1 do presente artigo.
4. O responsável pelo tratamento e o subcontratante tomam medidas para assegurar que qualquer pessoa singular que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, só procede ao seu tratamento mediante instruções do responsável pelo tratamento, exceto se tal lhe for exigido pelo direito da União ou de um Estado-Membro.

Referências

  1. Decyzje Prezesa UODO ZSPR.421.2.2019: https://uodo.gov.pl/decyzje/ZSPR.421.2.2019
  2. Regulamento Geral sobre a Proteção de Dados: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.