Multas, penalidades por violação de dados

Multas, penalidades por violação de dados em 2019 sugerem que os órgãos reguladores estão ficando mais atentos sobre empresas que não protegem adequadamente as informações dos consumidores. No Reino Unido, a British Airways foi penalizada com uma multa de US$ 230 milhões, seguida pelo Marriott, que recebeu multa de US$ 124 milhões. Nos EUA, a Equifax concordou em pagar um mínimo de US$ 575 milhões por uma violação de 2017.

Esses números apareceram depois de um 2018 ativo. O mau gerenciamento da Uber em relação à violação de 2016 custou quase US$ 150 milhões. Dados de saúde pouco protegidos e fortemente regulamentados também custaram muito dinheiro às organizações médicas. Não podemos esquecer ainda a multa recorde que o Facebook recebeu neste ano.

Abaixo, recuperamos as maiores multas por violações de dados já dadas até o momento.

Facebook: US$ 5,5 bilhões

Em julho deste ano, o Facebook recebeu a decisão da Comissão Federal do Comércio dos Estados Unidos de que a companhia deveria pagar uma multa histórica de US$ 5 bilhões de dólares para encerrar a investigação do governo americano sobre suas práticas de privacidade.

A multa é a maior já imposta a qualquer companhia por violar a privacidade dos consumidores. O Facebook concordou em pagar a multa e se submeter a um programa de supervisão de 20 anos como parte de uma ordem da FTC, o que inclui uma punição pela falta de vontade do Facebook em aderir a outro pedido da FTC de 2012 que também regia a privacidade dos dados do usuário. Mas muitos criticaram a decisão. Afinal, a multa de US$ 5 bilhões é um sopro na ferida do Facebook, que registrou US$ 15 bilhões em receita apenas para o trimestre de março de 2019.

Equifax: (pelo menos) US$ 575 milhões

Em 2017, a Equifax perdeu as informações pessoais e financeiras de quase 150 milhões de pessoas por conta de uma falha em um dos seus bancos de dados. A empresa errou na correção da vulnerabilidade e depois falhou em informar o público sobre a violação por semanas após a descoberta.

Em julho de 2019, a agência de crédito concordou em pagar US$ 575 milhões (podendo chegar a US$ 700 milhões) em um acordo com a Federal Trade Commission, o Consumer Financial Protection Bureau (CFPB) e todos os 50 estados e territórios dos EUA pelo “fracasso da empresa” em tomar medidas razoáveis ​​para proteger a sua rede”.

Do montante, US$ 300 milhões serão destinados a um fundo que fornece serviços de monitoramento de crédito aos consumidores afetados (outros US$ 125 milhões serão adicionados se o pagamento inicial não for suficiente para compensar os consumidores), US$ 175 milhões serão destinados a 48 estados, Distrito de Columbia e Porto Rico e US$ 100 milhões serão destinados ao CFPB.

O acordo também exige que a empresa obtenha avaliações de terceiros do seu programa de segurança da informação a cada dois anos. “As empresas que lucram com informações pessoais têm uma responsabilidade extra de proteger esses dados”, disse Joe Simons, presidente da FTC. “A Equifax falhou em tomar as medidas básicas que poderiam ter impedido a violação que afetou aproximadamente 147 milhões de consumidores.”

A Equifax já havia sido multada em US$ 625 mil no Reino Unido por uma violação de 2017, que era a multa máxima permitida pela Lei de Proteção de Dados anterior ao GDPR de 1998.

British Airways: US$ 230 milhões

Apesar de todas as ameaças e escândalos sobre o tamanho das multas, os primeiros 12 meses do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia tiveram relativamente pouco em termos de ação punitiva. As multas emitidas por empresas de proteção de dados em toda a Europa continental relacionadas a violações de dados chegaram a valores relativamente baixos.

Com muito dinheiro sendo gasto em esforços de conformidade e punições aparentemente leves, havia uma preocupação crescente de que o GDPR pudesse realmente ser uma espécie de aborrecimento. Isso mudou rapidamente depois que a British Airways foi multada em um valor de US$ 230 milhões, a maior penalidade de violação de dados na UE até o momento.

A British Airways foi multada pela autoridade de proteção de dados do Reino Unido, a OIC. A OIC disse que a sua investigação constatou que “acordos ruins de segurança na empresa” levaram à violação. A multa da BA mostra que as autoridades de proteção de dados não têm medo de exercer seus poderes.

Uber: US$ 148 milhões

Em 2016, o aplicativo Uber tinha 600 mil motoristas e 57 milhões de contas violadas. Em vez de relatar o incidente, a empresa pagou a um cibercriminoso US$ 100 mil para manter o hack escondido. Essas ações, no entanto, custam caro à empresa.

A companhia foi multada em US$ 148 milhões em 2018 – a maior multa por violação de dados da história na época.

Marriott International: US$ 124 milhões

Dias depois de uma multa recorde para a British Airways, a OIC emitiu uma segunda multa massiva por violação de dados. O Marriott International foi multado em US$ 124 milhões após informações de pagamento, nomes, endereços, números de telefone, endereços de e-mail e passaportes de até 500 milhões de clientes terem sido violadas. A fonte da violação foi a subsidiária Starwood do Marriott.

De acordo com a declaração da OIC, o Marriott “não realizou a devida diligência quando comprou a Starwood e também deveria ter feito mais para proteger seus sistemas”. O CEO do Marriott, Arne Sorenson, disse que a empresa estava “decepcionada” com a multa e planejava contestar a penalidade. A rede de hotéis também foi multada em US$ 265 mil pela autoridade turca de proteção de dados – não sob a legislação do GDPR -, destacando como uma violação pode resultar em múltiplas multas em todo o mundo.

Yahoo: US$ 85 milhões

Em 2013, o Yahoo sofreu uma violação de segurança que afetou todo o banco de dados, cerca de 3 bilhões de contas – quase toda a população da web. A empresa, no entanto, não divulgou essas informações durante três anos. Em abril de 2018, a Comissão de Valores Mobiliários dos EUA (SEC) multou a empresa em US$ 35 milhões por não divulgar a violação. Em setembro, o novo proprietário do Yahoo, Altaba, admitiu que havia decidido em uma ação coletiva pagar US$ 50 milhões. Uma fatura total de US$ 85 milhões para 3 bilhões de contas chega a cerca de US$ 36 por registro.

Tesco Bank: US$ 21 milhões

O Tesco Bank recebeu uma multa de US$ 21,2 milhões em 2018 pela Autoridade de Conduta Financeira (FCA) do Reino Unido, depois que pouco menos de US$ 3 milhões foram roubados de 9 mil contas de clientes em 2016.

A FCA acusou o Tesco de “deficiências” no design do seu cartão de débito, controle de crimes financeiros e em sua equipe de operações de crimes financeiros.

Target: US$ 18,5 milhões

Em 2017, a gigante do varejo Target aceitou um acordo de US$ 18,5 milhões com 47 estados e o Distrito de Columbia, relacionados a uma violação de 2013, na qual cerca de 40 milhões de contas de cartão de crédito e débito foram roubadas durante a corrida de vendas na Black Friday.

Investigações posteriores descobriram nomes, endereços, números de telefone e endereços de e-mail de até 70 milhões de indivíduos. Os custos totais associados à violação atingiram mais de US$ 200 milhões.

fonte: cio.com.br