Gdpr

Um grave vazamento de dados na empresa de TI sueca Miljödata comprometeu informações pessoais de mais de 1,5 milhão de pessoas, levando a Autoridade Sueca de Proteção de Dados (IMY) a abrir uma investigação. O incidente, ocorrido no final de agosto, envolveu o roubo de grandes volumes de dados pessoais, que foram posteriormente publicados na Darknet. A IMY está avaliando se a Miljödata e várias organizações do setor público, como a Cidade de Gotemburgo e a Prefeitura de Älmhult, cumpriram as exigências do Regulamento Geral sobre a Proteção de Dados (GDPR). A investigação busca entender como o ataque ocorreu, quais dados foram afetados e se as medidas de segurança da empresa eram adequadas. A IMY enfatizou a necessidade de examinar as práticas de proteção de dados, especialmente em relação a informações sensíveis, como dados de crianças e indivíduos com identidades protegidas. O incidente levanta questões críticas sobre a segurança cibernética e a gestão responsável de dados na Suécia, refletindo preocupações que também podem ser relevantes para o Brasil, especialmente em relação à conformidade com a LGPD.

O Escritório do Comissário de Informação (ICO) do Reino Unido impôs uma multa de £14 milhões à Capita plc e sua subsidiária, Capita Pension Solutions Limited (CPSL), após um grave vazamento de dados ocorrido em março de 2023. O incidente comprometeu informações pessoais de aproximadamente 6,6 milhões de indivíduos. A violação foi facilitada por um arquivo malicioso que infectou o dispositivo de um funcionário, permitindo que cibercriminosos acessassem a rede da Capita. Apesar de um alerta automático ser acionado em dez minutos, o dispositivo infectado não foi isolado por 58 horas, durante as quais os atacantes conseguiram exfiltrar quase um terabyte de dados, incluindo registros de pensões e informações de funcionários. O ICO identificou várias falhas nos controles de segurança da Capita, como a falta de um modelo de contas administrativas em camadas e tempos de resposta inadequados a alertas de segurança. A Capita, que já processa dados pessoais para mais de 600 clientes, ofereceu 12 meses de monitoramento de crédito gratuito para os afetados e estabeleceu um centro de atendimento dedicado. O caso destaca a importância de medidas de segurança robustas e a necessidade de conformidade com regulamentações como o GDPR e a LGPD.

A Comissão Nacional de Informática e Liberdade (CNIL) da França impôs multas significativas a Google e Shein por violarem as regras de consentimento de cookies. Google foi multada em €325 milhões (cerca de R$ 379 milhões) e Shein em €150 milhões (aproximadamente R$ 175 milhões) por instalar cookies de publicidade nos navegadores dos usuários sem obter consentimento adequado. A CNIL destacou que, ao criar uma conta no Google, os usuários eram incentivados a aceitar cookies para anúncios personalizados, sem serem devidamente informados de que essa aceitação era uma condição para acessar os serviços da empresa. Embora Google tenha introduzido uma opção de recusa de cookies em outubro de 2023, a falta de consentimento informado ainda persistiu. Além disso, a CNIL criticou a prática do Google de exibir anúncios em e-mails do Gmail sem o consentimento explícito dos usuários, o que também contraria o Código Postal e de Comunicações Eletrônicas da França. A CNIL deu um prazo de seis meses para que o Google se adeque às normas, sob pena de multas diárias de €100 mil. O caso ocorre em um contexto mais amplo de crescente vigilância sobre a privacidade dos dados, com ações semelhantes sendo tomadas contra outras empresas, como a Disney nos EUA, por violações de privacidade infantil.