A primeira multa significativa do GDPR chegou: a British Airways está enfrentando uma multa de $230 milhões (~1,5% de sua receita global em 2017) em conexão com uma violação de dados no ano passado que afetou os dados pessoais de centenas de milhares de pessoas.
De acordo com as novas regras de proteção de dados impostas pelo GDPR, o Information Commissioner's Office (ICO) do Reino Unido pode multar empresas em até 4% de sua receita global se elas violarem as regulamentações de privacidade de dados.
Elizabeth Denham, Comissária de Informação do ICO declarou que: “Os dados pessoais das pessoas são apenas isso – pessoais. Quando uma organização falha em protegê-los contra perda, dano ou roubo, isso representa mais do que um inconveniente. É por isso que a lei é clara: quando lhe são confiados dados pessoais, você deve zelar por eles. Aqueles que não o fizerem serão submetidos ao escrutínio do meu escritório para verificar se tomaram as medidas adequadas para proteger os direitos fundamentais de privacidade.”
Anunciada pouco mais de um ano após a entrada em vigor do GDPR, esta multa proposta ressalta a importância da privacidade de dados na empresa: qualquer empresa que coleta dados de clientes precisa proteger e gerenciar esses dados — ou correr o risco de penalidades regulatórias.
Principais conclusões:
• É o tipo de dados comprometidos que é fundamental. Neste caso, é não apenas PII – essa violação comprometeu dados de clientes, desde nomes de viajantes a informações de cartão de crédito e detalhes de reservas de viagens. Informações pessoais (IP) vão além de números de cartão de crédito e endereços, e podem ser quaisquer dados relacionados a um indivíduo – incluindo nomes, detalhes de reservas de viagens e informações de login.
• Resposta rápida e diligência prévia não são suficientes para evitar penalidades. A British Airways notificou os clientes poucos dias após a detecção do ataque cibernético, com acompanhamento e monitoramento contínuos para a recuperação. Uma resposta rápida a um ataque cibernético é louvável, mas não isenta necessariamente as organizações de penalidades após o comprometimento dos dados do consumidor.
• Um sinal do que está por vir? Esta multa recorde demonstra o compromisso do ICO com a transparência na forma como a agência comunicará violações de privacidade de dados pessoais. Esse grau de transparência pode ser um sinal do que está por vir em relação à forma como os reguladores agem ao tomar decisões de fiscalização, a fim de pressionar as empresas a se esforçarem seriamente para proteger os dados dos consumidores.
A privacidade dos dados dos clientes é importante – agora mais do que nunca. O que as organizações podem fazer para se preparar para as regulamentações de privacidade de dados?
1. Descubra e identifique todas as formas de dados pessoais: as organizações precisam ser capazes de identificar todas as formas de PI (não apenas PII) em todas as fontes de dados – desde AWS para MySQL para Salesforce.
2. Correlacionar com um conjunto de identidades: aproveite o aprendizado de máquina e a análise para criar pontos de dados díspares em perfis pessoais para melhor mapear, entender e proteger adequadamente os dados do cliente.
3. Compare PI comprometidos conhecidos de vazamentos recentes de dados sobre seu inventário e conjuntos de dados para responder proativamente e notificar os clientes sobre possíveis violações.
A BigID está posicionada no centro da revolução da privacidade de dados que está mudando o mundo, ajudando empresas e consumidores a aproveitar o aprendizado de máquina para proteger informações pessoais e atender aos mandatos globais de privacidade. Clique aqui para agendar uma demonstração e veja como o BigID ajuda organizações a transformar sua privacidade de dados.
Autor
