O Gabinete do Comissário da Informação do Reino Unido (ICO) acaba de levantar um recorde de £ 183,39 milhões contra a British Airways por violação de dados em 2018.
Em seguida, foi aplicada outra multa de tirar o fôlego: a multa proposta de 99,2 O milhão de libras esterlinas visa o hack do grupo de hotéis Marriott International em novembro de 2018, que revelou dados de 339 milhões de clientes em todo o mundo.
As duas multas são apenas o mais recente desenvolvimento do Regulamento Geral de Proteção de Dados (GDPR) na Europa e preocupam quem trabalha em uma grande empresa de segurança cibernética.
Essas penalidades recordes provam que a mordida do GDPR é realmente tão ruim quanto sua casca. Abaixo, explicaremos tudo o que você precisa saber sobre as violações das regras da BA e da Marriott.
Por que a British Airways foi multada?
A multa que surge US $ 229,54 milhões em dólares americanos é o resultado da violação da British Airways do Regulamento Geral de Proteção de Dados da UE (GDPR), que entrou em vigor em 25 de maio de 2018.
A violação de dados da BA aparentemente começou em junho de 2018. O tráfego no site da British Airways foi redirecionado para um site fraudulento criado por fraudadores para coletar informações do cliente.
Os dados de cerca de 500.000 clientes da British Airways foram comprometidos. A British Airways relatou o evento à OIC em setembro de 2018.
E o Marriott's Fine?
A história da Marriott International é semelhante: o hack ocorreu em novembro de 2018, muito depois da entrada em vigor do GDPR, e revelou informações pessoais de 339 milhões de clientes, incluindo detalhes de cartão de crédito, números de aporte e datas de nascimento.
Segundo a OIC, 30 milhões dos clientes afetados vivem no Espaço Econômico Europeu e 7 Milhões na Grã-Bretanha. De acordo com a investigação da OIC, o principal problema veio do grupo de hotéis Starwood que a Marriott adquiriu em 2014, mas seus sistemas de TI não pareciam ser adequadamente inspecionados. Esses sistemas comprometidos levaram a violações de dados.
O que é o GDPR?
Chamado a "mudança mais importante nas regulamentações de proteção de dados nos últimos 20 anos", o GDPR é um regulamento da UE que visa revisar as regulamentações de proteção de dados em um momento em que os usuários da Internet estão apenas começando a perceber o quanto sua privacidade foi comprometida por gigantes da tecnologia com fome de dados .
Entre outras coisas, o GDPR estabelece várias disposições que determinam que tipo de empresas de dados podem transferir para seus clientes, quanto tempo elas podem armazenar esses dados, com quem as compartilham e como os dados são processados.
De acordo com as regras do RGPD, as empresas que violarem os regulamentos podem ser multadas em 20 milhões de euros, que é o que 4% do faturamento anual mundial corresponde – o que for maior. Nessa perspectiva, a British Airways se saiu mal: poderia enfrentar uma multa de até 500 milhões de libras.
Como o GDPR está em vigor desde maio de 2018, este é um dos primeiros exemplos de uma multa grande que uma grande empresa aplica por violações de dados. O caso da British Airways permite à OIC provar que o objetivo é a aplicação da lei adequada, e não a regulamentação desdentada.
O GDPR da British Airways está OK?
Uma multa tão grande é o "novo normal" neste mundo depois do RGPD? A resposta curta é que não temos dados suficientes para estarmos seguros. Como o GPDR é relativamente novo, não tivemos a chance de fazer uma comparação de linha de base pela severidade de uma multa de £ 183,39 milhões.
De acordo com a lei da UE anterior, a Lei de Proteção de Dados de 1998, a penalidade máxima era uma quantia comparável e indulgente de £ 500.000. De acordo com essa definição de "normal", essa nova multa é cerca de 366 vezes maior.
Mais recentemente, o Facebook O escândalo de dados da Cambridge Analytica multou a OIC em £ 500.000. Dignidade Facebook seus padrões de dados foram reforçados mais rapidamente se eles enfrentam uma penalidade muito maior? Alguém poderia esperar.
Se alguma coisa, a multa BA define um novo padrão para os valores de violação de dados. A multa de US $ 229 milhões para uma empresa por publicar seus 500.000 dados de clientes é de aproximadamente US $ 457 por cliente. Segundo essa lógica, 143 milhões de pessoas afetadas pela violação do Equifax poderiam ter sido multadas em US $ 65,35 bilhões, segundo um cálculo.
No entanto, vimos multas mais altas no ado, se não no GDPR. No início deste ano, a Comissão Europeia multou o Google 1,7 Bilhões de dólares impostos por violar as regras antitruste da UE.
O que acontece depois?
Assim como o Google sempre se opôs às multas da UE, a British Airways planeja recorrer dessa multa. Tem uma janela de 28 dias para fazer isso.
"Tomaremos todas as medidas necessárias para defender vigorosamente a posição da companhia aérea, incluindo quaisquer remédios legais que possam ser necessários", disse Willie Walsh, CEO da IAG, à BBC.
Alex Cruz, presidente e diretor executivo da British Airways, acrescentou que a empresa ficou "surpresa e decepcionada" com a descoberta da OIC. “A British Airways respondeu rapidamente a um crime para roubar dados de clientes. Não encontramos evidências de atividades fraudulentas / fraudulentas em contas relacionadas a roubo. Pedimos desculpas aos nossos clientes por qualquer inconveniente causado por este evento. "
A Marriott também planeja apelar.
Aconteça o que acontecer, esse incidente deve incentivar os profissionais de segurança cibernética a não deixarem nada ao acaso quando se trata de proteger os dados de seus clientes. Para aqueles que não cumprem os padrões GDPR, uma multa de seis dígitos pode não estar muito longe.
Leia mais sobre as últimas notícias sobre segurança cibernética no Tech.co
