contato

2 de Maio, 2024

Multado em €3 milhões por falhas na avaliação de risco e segurança

image 6

A Agência Espanhola de Proteção de Dados (AEPD) impôs uma multa de €3.000.000 ao processador Iberdrola, após uma falha na realização de uma avaliação de risco adequada e na prevenção de vulnerabilidades de segurança evitáveis. Esta falha resultou em uma violação de dados que afetou várias empresas do grupo e quase 3.000.000 de titulares de dados.

O incidente começou em 15 de março de 2022, quando a I-DE Redes Elétricas Inteligentes, S.A.U. (I-DE), marca de distribuição de energia da Iberdrola, detectou um ataque ao seu portal de gestão GEA. Esse ataque levou à extração de dados pessoais de 1,35 milhão de clientes, incluindo nomes, sobrenomes, e-mails, telefones, endereços, números de identificação nacional e códigos de clientes.

A falha na segurança também resultou na lentidão geral dos websites de várias empresas do processador após o ataque, embora o tráfego suspeito tenha cessado em 17 de março de 2022. I-DE comunicou o incidente à AEPD em 18 de março de 2022, e após investigações internas, descobriu-se que dados de clientes de outras duas empresas do grupo, Iberdrola Clientes, S.A. e Curenergía Comercializador de Ultimo Recurso SA, também foram comprometidos.

A AEPD, após investigar o caso, concluiu que houve violações dos artigos 5(1)(f) e 32 do GDPR, destacando a inadequação das medidas de segurança e a insuficiente separação dos dados entre as empresas, o que permitiu que o ataque se alastrasse. O processador argumentou que a rapidez na detecção e resposta ao incidente indicava conformidade com o regulamento, mas a AEPD refutou, afirmando que as medidas reativas não são suficientes sem a prevenção adequada.

Comentário: A sanção da autoridade de proteção de dados espanhola é uma demonstração da importância do processo de gestão de riscos no tratamento de dados pessoais. Apesar de ocorrido na Espanha, o caso também serve como paradigma para o Brasil. É de se notar que a LGPD impõe a segurança como princípio, além do princípio da responsabilização e prestação de contas. Este princípio define o dever de implementar práticas eficazes e que sejam "capazes de comprovar a observância e o cumprimento das normas de proteção". Portanto, avaliações de riscos são um elemento importantíssimo para as atividades de tratamento e podem servir como comprovação da observância de melhores práticas (o que pode reduzir possíveis sanções), além de atenderem os dois princípios acima indicados.

Não basta cumprir as normas de proteção de dados, é preciso demonstrar o cumprimento. Os agentes de tratamento devem conhecer os riscos de suas atividades, até por que o tratamento será irregular quando o risco ultrapassar o que razoavelmente se espera para aquele serviço/produto. 

Nota-se, também, que o estudo preliminar de tratamento de dados de alto risco publicado pela ANPD impõe a proposta de novas regras para este tipo de tratamento. No caso comentado, quase três milhões de titulares foram envolvidos. Nesse sentido, caso ocorresse no Brasil, as medidas de segurança aplicadas pelo agente de tratamento deveriam levar em consideração também as questões relacionadas ao tratamento de alto risco (pelo número de titulares).

Com informações GDPRHub

Este post foi resumido a partir de sua versão original  com o uso do ChatGPT versão 4, complementados por análises e comentários adicionais de Guilherme Damasio Goulart

Quer ficar por dentro das ultimas notícias na área?

Assine nossa newsletter semanal e acompanhe as notícias mais relevantes em segurança da informação e proteção de dados.

Posts recentes

Vulnerabilidades críticas em plugins do WordPress expõem mais de 4 milhões de sites
20 de Novembro, 2024

Duas graves vulnerabilidades foram identificadas em plugins amplamente utilizados no WordPress, expondo milhões de sites a riscos de invasão e controle malicioso. Uma das falhas, rastreada como CVE-2024-10924 (pontuação CVSS: 9.8), foi encontrada no plugin Really Simple Security (antigamente Really Simple SSL). A vulnerabilidade, presente nas versões 9.0.0 a 9.1.1.1 do plugin, permite que atacantes […]

Ler Mais
Falha na segurança e violação da LGPD levam à condenação de bancos
20 de Novembro, 2024

A 2ª Turma Recursal dos Juizados Especiais do Tribunal de Justiça do Paraná manteve a condenação do Banco Bradesco S.A. e do Itaú Unibanco S.A. por falhas na segurança de dados e por violação à Lei Geral de Proteção de Dados (LGPD) em um caso de fraude financeira envolvendo empréstimos consignados. Um cliente foi vítima […]

Ler Mais
Banco condenado por descontos indevidos e falhas na proteção de dados pessoais
20 de Novembro, 2024

O Tribunal de Justiça do Estado de São Paulo negou o recurso do Banco Itaú Consignado S.A. em um processo envolvendo descontos indevidos no benefício previdenciário de um consumidor. A decisão manteve a condenação da instituição ao pagamento de R$ 5.000 por danos morais e à devolução em dobro dos valores descontados irregularmente. No caso, […]

Ler Mais
Av. Senador Alberto Pasqualini, n. 180, sala 2 - Três de Maio/RS
contato@brownpipe.com.br
Comercial: (55) 999164209 - WhatsApp e Signal 

CONECTE-SE CONOSCO
Visit our FacebookVisit our InstagramVisit our TwitterVisit our LinkedIn
Fique atualizado com as notícias mais relevantes em segurança da informação e proteção de dados. Inscreva-se na nossa newsletter semanal! 
Políticas BrownPipe *
Termos de privacidade
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram