Direito Digital e Compliance

Categorias


Direito Digital e Compliance

Uber é multada no Reino Unido e na Holanda

Na época, a empresa pagou US$ 100 mil a dois criminosos que tiveram acesso aos dados para que mantivessem o incidente secreto e deletassem a base de dados violada.

Ricardo Córdoba BaptistaRicardo Córdoba Baptista

Autoridades britânicas e holandesas de proteção de dados arbitraram multas à Uber de US$ 490 mil e US$ 678 mil, respectivamente, por não ter protegido adequadamente os dados pessoais de 50 milhões de usuários e 7 milhões de motoristas do aplicativo, durante um ataque ocorrido em outubro de 2016.

No Reino Unido o ataque afetou em torno de 2,7 milhões, enquanto na Holanda foram 174 mil, segundo as autoridades locais. 1

O ataque, que expôs nomes, e-mails e números de telefones de usuários e motoristas, só foi revelado no final de 2017. Além disso, em vez de divulgar a violação na época, a Uber pagou US$ 100 mil a dois criminosos que tiveram acesso aos dados para que mantivessem o incidente secreto e deletassem a base de dados violada. A identidade dos atacantes nunca foi revelada.

De acordo com o comunicado do Diretor de Investigações da OIC (Information Commissioner’s Office), Steve Eckersley:2

Essa não foi apenas uma falha grave de segurança de dados por parte da Uber, mas um completo desrespeito pelos clientes e motoristas, cujas informações pessoais foram violadas. Na época, nenhuma medida foi tomada para informar as pessoas afetadas pela violação ou para oferecer ajuda e suporte. Isso os deixou vulneráveis.

Steve Eckersley acrescentou:

Pagar aos atacantes e depois se calar sobre isso não foi, em nossa opinião, uma resposta apropriada ao ataque.

Embora na antiga legislação não houvesse obrigação legal de relatar violações de dados, as más práticas de proteção de dados do Uber, suas decisões e condutas subsequentes provavelmente teriam agravado o sofrimento das pessoas afetadas.

A penalidade poderia ter sido muito maior, caso os dados estivessem sob o manto de proteção do Regulamento Geral de Proteção de Dados da União Européia (GDPR). A nova lei estipula multas de 17 milhões de libras ou 4% da receita anual global da empresa, o que for maior, pelas violações de dados.

Multa na Califórnia

Recentemente, vale lembrar, o Departamento de Justiça da Califórnia, nos EUA, determinou que a Uber pagasse multa de US$ 148 milhões.3

Além da multa, os termos do acordo judicial firmado incluem mudanças nas práticas de negócios da Uber, a fim de evitar futuras violações e reformar sua cultura corporativa.

Nos próximos dois anos, a empresa será obrigada a relatar trimestralmente eventuais incidentes de segurança de dados e a implementar um programa abrangente de segurança da informação, supervisionado por um diretor executivo que assessore a equipe executiva e a diretoria da Uber.

Na época, Dara Khosrowshahi, CEO da Uber, quando anunciada a violação, demitiu dois dos principais responsáveis pela segurança. Recentemente, foi contratado um diretor de privacidade e um diretor de segurança.

Referências

  1. British and Dutch regulators fine Uber for 2016 data hack: https://www.reuters.com/article/us-uber-fine/british-and-dutch-regulators-fine-uber-for-2016-data-hack-idUSKCN1NW0VR
  2. ICO fines Uber £385,000 over data protection failings: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/11/ico-fines-uber-385-000-over-data-protection-failings/
  3. Uber to pay $148 million to settle data breach cover-up with U.S. states: https://www.reuters.com/article/us-uber-databreach/uber-to-pay-148-million-to-settle-data-breach-cover-up-with-u-s-states-idUSKCN1M62AJ

Advogado com pós-graduações em Direito Digital, Compliance e Segurança da Informação. Graduação em Filosofia. Certificado EXIN Data Protection Officer (PDPP). Membro da Internet Society. Faz parte do escritório Silva, Santana & Teston Advogados.

Comments 0
There are currently no comments.