As empresas devem ter mais cuidado quando se trata do GDPR

A União Europeia impôs na semana passada multas a duas grandes empresas de viagens ao abrigo da sua lei de privacidade e protecção de dados, que entrou em vigor há um ano.

A Marriott International, a maior empresa hoteleira do mundo, e a British Airways foram condenadas a pagar milhões de dólares em multas ao abrigo do Regulamento Geral de Proteção de Dados da UE, ou GDPR.

Ao abrigo do RGPD, todas as empresas que processam dados pessoais de cidadãos da UE estarão sujeitas à lei, independentemente da localização da empresa. Eles são obrigados a tomar medidas adequadas para proteger esses dados pessoais.

O Marriott, com sede em Bethesda, Maryland, foi condenado a pagar $123 milhões depois que cerca de 383 milhões de hóspedes tiveram seus registros comprometidos em uma violação de dados. A empresa revelou a violação em novembro passado, dizendo que um terceiro obteve acesso não autorizado a um banco de dados de reservas da Starwood. Marriott comprou a Starwood em 2016.

A British Airways foi multada em $229 milhões por um incidente que comprometeu os dados de 500.000 clientes no ano passado.

Ambas as empresas poderiam ter enfrentado multas mais elevadas, uma vez que o regulamento permite que 4% do volume de negócios global anual de uma empresa seja cobrado como punição. Ambos planejam recorrer das decisões.

Ainda assim, as decisões enviaram uma mensagem a todas as empresas que lidam com cidadãos europeus.

“A UE quer mostrar que é séria na proteção da privacidade dos consumidores e das informações das pessoas”, disse Joseph Steinberg, consultor de segurança cibernética e tecnologias emergentes. “O propósito de ter GDPR é ter mordida e se não tiver mordida não adianta.”

Especialistas dizem que outras empresas, especialmente aquelas do setor de viagens que lidam com tantas informações pessoais de seus clientes, precisam agir com cautela.

“As empresas tiveram muito tempo para se prepararem e a maioria não fez um bom trabalho”, disse Steinberg. “Se você não estiver à altura, seria um bom momento para avançar... Se você opera na Europa ou tem ativos na Europa, precisa ter muito, muito cuidado agora.”

A Marriott estava em uma situação particularmente vulnerável porque a violação de dados, disse a empresa, envolveu clientes que haviam feito reservas em uma propriedade da Starwood antes da fusão dos sistemas de reservas das duas entidades. Ainda assim, a Marriott teria feito a devida diligência antes de adquirir a empresa, verificando seus protocolos de segurança, disseram especialistas.

“Todas as empresas que lidam com informações pessoais – ou seja, todas as empresas de viagens, exceto possivelmente os ônibus locais que aceitam apenas dinheiro – precisam se preocupar com isso”, disse Bruce Schneier, tecnólogo de segurança que escreveu mais de uma dúzia de livros sobre o assunto. “E como todas as outras empresas do planeta, as empresas de viagens não estão imunes à aquisição de empresas que tenham práticas de segurança piores do que as suas.”

Stu Sjouwerman, fundador e CEO da KnowBe4 Inc., que organiza treinamento de conscientização sobre segurança, disse que a linguagem do GDPR não é clara.

Elizabeth Denham, comissária do Gabinete do Comissário de Informação do Reino Unido (ICO), que aplicou as multas, disse ao anunciar as multas que “quando lhe são confiados dados pessoais, você deve cuidar deles. Aqueles que não o fizerem enfrentarão o escrutínio do meu gabinete para verificar se tomaram as medidas adequadas para proteger os direitos fundamentais de privacidade.”

“O que vale a pena notar é a palavra 'apropriado'”, disse Sjouwerman. “Não há uma definição clara do que é ou não apropriado no GDPR…. Portanto, cabe às empresas demonstrar que levam a segurança a sério e que implementaram bons controlos e medidas para proteger os dados pessoais.”

Resumindo: é melhor as empresas tomarem cuidado.

Adam Levin, fundador da CyberScout e autor de “Swiped: How to Protect You Yourself in a World Full of Scammers, Phishers, and Identity Thieves”, disse que a UE não está sozinha. Muitos outros países têm leis semelhantes e ele não vê ninguém a facilitar as empresas no que chama de guerra cibernética.

“Você está falando de uma pandemia”, disse ele. “Esta é uma questão internacional.

Países como Austrália, Brasil, Tailândia e Filipinas também possuem leis de privacidade. Nos Estados Unidos, a Lei de Privacidade do Consumidor da Califórnia foi sancionada no verão passado. Dá aos consumidores o direito de saber quais empresas estão coletando e compartilhando seus dados e de optar por não fazê-lo.

“Vamos ver mais disso. Não veremos isso apenas pelo GDPR. Também veremos isso em outros condados que implementaram o equivalente ao GDPR”, disse Levin. “Isso está se espalhando.”