contato

27 de Agosto, 2024

Empresa multada por perder pendrive descriptografado

thumbdrive pendrive

Uma empresa especializada em consultoria jurídica, teve a mochila de um de seus funcionários roubada. Dentro da mochila havia documentos pessoais e um pendrive que continha uma grande quantidade de dados pessoais relacionados a um processo judicial. O pendrive não estava criptografado.

Após o incidente, a empresa realizou uma investigação interna e informou a Autoridade Espanhola de Proteção de Dados (AEPD) 13 dias depois do ocorrido. Em 2 de julho de 2021, a AEPD ordenou que a empresa comunicasse a violação aos titulares dos dados. Em 24 de junho de 2022, a AEPD iniciou um processo sancionador contra a empresa, propondo uma multa de €160.000, alegando que houve uma divulgação não autorizada de dados pessoais devido à falta de criptografia do pendrive, caracterizando negligência, o que foi considerado um fator agravante para a multa.

A empresa argumentou que não havia evidências de que terceiros tivessem acessado as informações contidas no pendrive, caracterizando a violação de confidencialidade como hipotética. Além disso, a empresa defendeu que protegia seus dados de forma diligente, implementando medidas de segurança adequadas, incluindo auditorias de TI e instruções aos funcionários sobre suas responsabilidades. A empresa também contestou a aplicação da multa com base na falta de criptografia do pendrive, argumentando que o Artigo 32 do GDPR não impõe uma lista fechada de medidas de segurança obrigatórias, mas sim a aplicação de medidas adequadas.

Sobre a demora na notificação do incidente à AEPD, a empresa justificou que utilizou os 13 dias para realizar uma investigação interna, argumentando que o prazo de 72 horas estabelecido no Artigo 33 do GDPR não é imperativo.

A AEPD concluiu que a empresa violou os Artigos 5(1)(f) e 32 do GDPR, impondo uma multa de €45.000, ao reconhecer que empresa possuía medidas técnicas e organizacionais em vigor e que o incidente ocorreu devido a um ato criminoso, e não pela ausência de medidas de segurança por parte da empresa. No entanto, o fato de o pendrive não estar criptografado e sem mecanismos para restringir o acesso não autorizado configura uma violação do princípio de confidencialidade, conforme o Artigo 5(1)(f) GDPR.

A AEPD observou que, apesar das alegações da empresa sobre suas medidas de segurança, o pendrive específico não tinha qualquer tipo de proteção contra acesso não autorizado (como criptografia). A ausência de tais medidas representa uma falha no cumprimento do Artigo 32 GDPR, que é infringido tanto pela falta de medidas de segurança quanto pela não observância adequada dessas medidas. A AEPD enfatizou que, como uma empresa que lida com dados pessoais sensíveis, incluindo aqueles relacionados a infrações criminais, a empresa deveria ter tomado mais cuidados para cumprir suas obrigações de segurança.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites
20 de Novembro, 2024

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos
20 de Novembro, 2024

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais
20 de Novembro, 2024

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram