O Information Commissioner's Office (ICO) impôs uma multa de €8,730 à Associação Cristã de Moços (YMCA) por não cumprir as obrigações de segurança sob o GDPR no Reino Unido. O incidente ocorreu quando um coordenador do Programa de Saúde Positiva, que atende pessoas com HIV, enviou um e-mail para 270 destinatários usando a função CC em vez de BCC, revelando assim os endereços de e-mail de todos os participantes. Esse erro foi agravado quando uma tentativa de desfazer o envio resultou em um segundo e-mail, novamente comprometendo a privacidade dos envolvidos.

A YMCA tomou conhecimento da violação um dia após o envio dos e-mails, quando começou a receber reclamações dos destinatários afetados. A violação expôs os dados de 166 indivíduos, sendo que muitos dos endereços de e-mail incluíam nomes completos ou parciais, aumentando o risco de identificação dos participantes do programa.

Apesar de a YMCA possuir uma política verbal que instruía o uso da função BCC para o envio de convites para eventos, ela falhou em implementar o uso de uma ferramenta de marketing por e-mail que permitiria o envio individualizado e seguro das mensagens. Destaca-se que a falta de uma política escrita contribuiu, portanto, para o incidente. A falta de treinamento específico em proteção de dados para o coordenador, que era um contratado e não um funcionário direto, também contribuiu significativamente para o incidente. Após o ocorrido, apenas 73% dos trabalhadores da organização haviam completado o treinamento necessário em proteção de dados.

A ICO, inicialmente propensa a impor uma multa de €349,000, optou por uma penalidade reduzida após considerar a cooperação da YMCA na investigação, a adoção de medidas corretivas e a ausência de violações anteriores. As ações corretivas incluíram uma auditoria nas comunicações externas e a atualização dos procedimentos e treinamentos em proteção de dados. O caso destaca a importância de medidas técnicas e organizacionais robustas, especialmente ao lidar com categorias especiais de dados pessoais.

Com informações GDPRHub

Este post foi resumido a partir de sua versão original com o uso do ChatGPT versão 4.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

14 de Maio, 2024

YMCA multada por expor dados de participantes HIV-positivos no Reino Unido

Quer ficar por dentro das ultimas notícias na área?

Posts recentes