Gdpr

A Proton anunciou o lançamento do Proton Meet, um serviço de videoconferência que prioriza a privacidade, oferecendo uma alternativa às plataformas tradicionais como Google Meet, Zoom e Microsoft Teams. O Proton Meet garante chamadas com criptografia de ponta a ponta (E2EE), assegurando a confidencialidade das conversas. O serviço é gratuito para reuniões de até uma hora e 50 participantes, com um plano ‘pro’ disponível a partir de $7,99 por mês para chamadas mais longas.

A Comissão de Proteção de Dados da Irlanda (DPC) iniciou uma investigação formal sobre a plataforma X e seu uso da ferramenta de inteligência artificial Grok, que supostamente gera imagens sexuais não consensuais de pessoas reais, incluindo crianças. A DPC, que atua como a principal autoridade de privacidade da União Europeia para a X, irá avaliar se a subsidiária da empresa na UE, a X Internet Unlimited Company, cumpriu as obrigações fundamentais do Regulamento Geral sobre a Proteção de Dados (GDPR). Isso inclui a análise do processamento legal de dados, a proteção de dados desde a concepção e a realização de avaliações de impacto sobre a proteção de dados. A investigação irlandesa se junta a um esforço multinacional, com o Escritório do Comissário de Informação do Reino Unido e a Comissão Europeia também investigando as operações da Grok. As consequências podem incluir multas significativas, uma vez que a DPC pode aplicar penalidades em todos os 27 estados membros da UE. Além disso, a investigação levanta preocupações sobre a geração de conteúdo sexual explícito não consensual e a possível produção de material de abuso infantil. As autoridades francesas também estão investigando a X, com buscas em seus escritórios em Paris e convocações para entrevistas com executivos da empresa.

A Eurail B.V., operadora que oferece acesso a 250 mil quilômetros de ferrovias na Europa, confirmou que dados roubados em uma violação de segurança ocorrida este ano estão sendo vendidos na dark web. A empresa, com sede na Holanda, administra passes de trem populares entre jovens viajantes europeus. A violação comprometeu informações sensíveis, incluindo nomes completos, detalhes de passaporte, números de identificação, IBAN de contas bancárias, informações de saúde e dados de contato. A Eurail está investigando a extensão do vazamento e notificará os clientes afetados. As autoridades de proteção de dados foram informadas, conforme exigido pelo GDPR, e os clientes devem estar atentos a tentativas de phishing e fraudes. A empresa recomenda que os usuários atualizem suas senhas e monitorem suas contas bancárias para atividades suspeitas. Uma página de perguntas frequentes foi disponibilizada para suporte aos clientes, e dúvidas podem ser enviadas para um e-mail específico.

A Comissão Nacional de Informática e Liberdade (CNIL) da França impôs uma multa de €5 milhões à agência nacional de emprego, France Travail, devido a uma falha na segurança que resultou no vazamento de dados pessoais de 43 milhões de pessoas. O incidente ocorreu no início de 2024 e expôs informações sensíveis, como nomes, datas de nascimento, números de seguro social, endereços de e-mail e números de telefone, abrangendo um período de 20 anos. Embora os dados bancários e senhas não tenham sido comprometidos, a CNIL destacou que os hackers utilizaram técnicas de engenharia social para invadir o sistema, especificamente ao sequestrar contas de conselheiros do CAP EMPLOI, que assistem pessoas com deficiência. Além da multa, a CNIL exigiu que a France Travail apresentasse um cronograma detalhado de medidas corretivas, sob pena de multas diárias de €5.000. Este incidente segue um vazamento anterior em agosto de 2023, que afetou cerca de 10 milhões de indivíduos. A situação levanta preocupações sobre a proteção de dados e a conformidade com o Regulamento Geral sobre a Proteção de Dados (GDPR).

Recentemente, o cenário de cibersegurança tem sido marcado por uma série de incidentes significativos. O MI5, agência de inteligência do Reino Unido, alertou sobre espiões chineses que utilizam o LinkedIn para recrutar parlamentares e coletar informações. Além disso, a Comissão Europeia propôs mudanças no Regulamento Geral sobre a Proteção de Dados (GDPR), permitindo que empresas processem dados pessoais para treinamento de IA sem consentimento prévio, o que gerou críticas por reduzir a proteção de dados. No campo das ameaças, extensões de navegador maliciosas têm sido usadas para roubar dados de usuários, com cerca de 31 mil instalações registradas. Um caso notável de lavagem de dinheiro em criptomoedas também foi reportado, onde um homem da Califórnia se declarou culpado por lavar 25 milhões de dólares de um golpe de 230 milhões. Por fim, vulnerabilidades críticas foram descobertas em produtos da Oracle e em dispositivos inteligentes, que podem permitir o controle total dos sistemas afetados. Esses eventos destacam a necessidade de vigilância constante e atualização das medidas de segurança.

Um grave vazamento de dados na empresa de TI sueca Miljödata comprometeu informações pessoais de mais de 1,5 milhão de pessoas, levando a Autoridade Sueca de Proteção de Dados (IMY) a abrir uma investigação. O incidente, ocorrido no final de agosto, envolveu o roubo de grandes volumes de dados pessoais, que foram posteriormente publicados na Darknet. A IMY está avaliando se a Miljödata e várias organizações do setor público, como a Cidade de Gotemburgo e a Prefeitura de Älmhult, cumpriram as exigências do Regulamento Geral sobre a Proteção de Dados (GDPR). A investigação busca entender como o ataque ocorreu, quais dados foram afetados e se as medidas de segurança da empresa eram adequadas. A IMY enfatizou a necessidade de examinar as práticas de proteção de dados, especialmente em relação a informações sensíveis, como dados de crianças e indivíduos com identidades protegidas. O incidente levanta questões críticas sobre a segurança cibernética e a gestão responsável de dados na Suécia, refletindo preocupações que também podem ser relevantes para o Brasil, especialmente em relação à conformidade com a LGPD.

O Escritório do Comissário de Informação (ICO) do Reino Unido impôs uma multa de £14 milhões à Capita plc e sua subsidiária, Capita Pension Solutions Limited (CPSL), após um grave vazamento de dados ocorrido em março de 2023. O incidente comprometeu informações pessoais de aproximadamente 6,6 milhões de indivíduos. A violação foi facilitada por um arquivo malicioso que infectou o dispositivo de um funcionário, permitindo que cibercriminosos acessassem a rede da Capita. Apesar de um alerta automático ser acionado em dez minutos, o dispositivo infectado não foi isolado por 58 horas, durante as quais os atacantes conseguiram exfiltrar quase um terabyte de dados, incluindo registros de pensões e informações de funcionários. O ICO identificou várias falhas nos controles de segurança da Capita, como a falta de um modelo de contas administrativas em camadas e tempos de resposta inadequados a alertas de segurança. A Capita, que já processa dados pessoais para mais de 600 clientes, ofereceu 12 meses de monitoramento de crédito gratuito para os afetados e estabeleceu um centro de atendimento dedicado. O caso destaca a importância de medidas de segurança robustas e a necessidade de conformidade com regulamentações como o GDPR e a LGPD.

A Comissão Nacional de Informática e Liberdade (CNIL) da França impôs multas significativas a Google e Shein por violarem as regras de consentimento de cookies. Google foi multada em €325 milhões (cerca de R$ 379 milhões) e Shein em €150 milhões (aproximadamente R$ 175 milhões) por instalar cookies de publicidade nos navegadores dos usuários sem obter consentimento adequado. A CNIL destacou que, ao criar uma conta no Google, os usuários eram incentivados a aceitar cookies para anúncios personalizados, sem serem devidamente informados de que essa aceitação era uma condição para acessar os serviços da empresa. Embora Google tenha introduzido uma opção de recusa de cookies em outubro de 2023, a falta de consentimento informado ainda persistiu. Além disso, a CNIL criticou a prática do Google de exibir anúncios em e-mails do Gmail sem o consentimento explícito dos usuários, o que também contraria o Código Postal e de Comunicações Eletrônicas da França. A CNIL deu um prazo de seis meses para que o Google se adeque às normas, sob pena de multas diárias de €100 mil. O caso ocorre em um contexto mais amplo de crescente vigilância sobre a privacidade dos dados, com ações semelhantes sendo tomadas contra outras empresas, como a Disney nos EUA, por violações de privacidade infantil.