Uma empresa especializada em consultoria jurídica, teve a mochila de um de seus funcionários roubada. Dentro da mochila havia documentos pessoais e um pendrive que continha uma grande quantidade de dados pessoais relacionados a um processo judicial. O pendrive não estava criptografado.

Após o incidente, a empresa realizou uma investigação interna e informou a Autoridade Espanhola de Proteção de Dados (AEPD) 13 dias depois do ocorrido. Em 2 de julho de 2021, a AEPD ordenou que a empresa comunicasse a violação aos titulares dos dados. Em 24 de junho de 2022, a AEPD iniciou um processo sancionador contra a empresa, propondo uma multa de €160.000, alegando que houve uma divulgação não autorizada de dados pessoais devido à falta de criptografia do pendrive, caracterizando negligência, o que foi considerado um fator agravante para a multa.

A empresa argumentou que não havia evidências de que terceiros tivessem acessado as informações contidas no pendrive, caracterizando a violação de confidencialidade como hipotética. Além disso, a empresa defendeu que protegia seus dados de forma diligente, implementando medidas de segurança adequadas, incluindo auditorias de TI e instruções aos funcionários sobre suas responsabilidades. A empresa também contestou a aplicação da multa com base na falta de criptografia do pendrive, argumentando que o Artigo 32 do GDPR não impõe uma lista fechada de medidas de segurança obrigatórias, mas sim a aplicação de medidas adequadas.

Sobre a demora na notificação do incidente à AEPD, a empresa justificou que utilizou os 13 dias para realizar uma investigação interna, argumentando que o prazo de 72 horas estabelecido no Artigo 33 do GDPR não é imperativo.

A AEPD concluiu que a empresa violou os Artigos 5(1)(f) e 32 do GDPR, impondo uma multa de €45.000, ao reconhecer que empresa possuía medidas técnicas e organizacionais em vigor e que o incidente ocorreu devido a um ato criminoso, e não pela ausência de medidas de segurança por parte da empresa. No entanto, o fato de o pendrive não estar criptografado e sem mecanismos para restringir o acesso não autorizado configura uma violação do princípio de confidencialidade, conforme o Artigo 5(1)(f) GDPR.

A AEPD observou que, apesar das alegações da empresa sobre suas medidas de segurança, o pendrive específico não tinha qualquer tipo de proteção contra acesso não autorizado (como criptografia). A ausência de tais medidas representa uma falha no cumprimento do Artigo 32 GDPR, que é infringido tanto pela falta de medidas de segurança quanto pela não observância adequada dessas medidas. A AEPD enfatizou que, como uma empresa que lida com dados pessoais sensíveis, incluindo aqueles relacionados a infrações criminais, a empresa deveria ter tomado mais cuidados para cumprir suas obrigações de segurança.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.