A primeira multa significativa do GDPR já foi aplicada: a British Airways enfrenta uma multa de 1,51 trilhão de libras esterlinas (cerca de 1,51 trilhão de libras esterlinas de sua receita global de 2017) em decorrência de uma violação de dados ocorrida no ano passado, que afetou os dados pessoais de centenas de milhares de pessoas.
De acordo com as novas regras de proteção de dados impostas pelo GDPR, o Gabinete do Comissário de Informação do Reino Unido (ICO) pode multar empresas em até 41,3 bilhões de libras esterlinas de sua receita global se for constatado que elas violaram as normas de privacidade de dados.
Elizabeth Denham, Comissária de Informação do ICO (Escritório de Informação do Comissário de Informação). declarou “Os dados pessoais das pessoas são exatamente isso – pessoais. Quando uma organização não os protege contra perda, dano ou roubo, isso é mais do que um mero inconveniente. É por isso que a lei é clara: quando você recebe dados pessoais, você deve cuidar deles. Aqueles que não o fizerem serão submetidos a uma análise minuciosa do meu gabinete para verificar se tomaram as medidas adequadas para proteger os direitos fundamentais à privacidade.”
Anunciada pouco mais de um ano após a entrada em vigor do GDPR, esta multa proposta sublinha a importância da privacidade de dados nas empresas: qualquer empresa que recolha dados de clientes precisa de proteger e gerir esses dados – ou corre o risco de sofrer sanções regulamentares.
Principais conclusões:
• É o tipo de dados comprometidos, isso é fundamental. Neste caso, é não apenas PII – Essa violação comprometeu dados de clientes, desde nomes de viajantes e informações de cartão de crédito até detalhes de reservas de viagens. Informações pessoais (IP) vão além de números de cartão de crédito e endereços, e podem ser quaisquer dados relacionados a um indivíduo – incluindo nomes, detalhes de reservas de viagens e informações de login.
• Resposta rápida e diligência prévia não são suficientes para evitar penalidades. A British Airways notificou seus clientes poucos dias após detectar o ataque cibernético, com acompanhamento e monitoramento contínuos para a recuperação. Uma resposta rápida a um ataque cibernético é louvável, mas não necessariamente isenta as organizações de penalidades após a violação de dados do consumidor.
• Um sinal do que está por vir? Essa multa recorde demonstra o compromisso do ICO com a transparência na forma como a agência comunicará as violações de privacidade de dados pessoais. Esse nível de transparência pode ser um sinal do que está por vir em relação à forma como os reguladores atuam ao tomar decisões de fiscalização, de modo a incentivar as empresas a se empenharem seriamente na proteção dos dados do consumidor.
A privacidade dos dados dos clientes é importante – agora mais do que nunca. O que as organizações podem fazer para se preparar para as regulamentações de privacidade de dados?
1. Descubra e identifique todas as formas de dados pessoais.: As organizações precisam ser capazes de identificar todas as formas de informações pessoais (e não apenas informações pessoais identificáveis) em todas as fontes de dados – desde AWS para MySQL para Salesforce.
2. Correlacionar-se com um conjunto de identidades: Utilizar aprendizado de máquina e análise de dados para integrar pontos de dados díspares em perfis pessoais, a fim de mapear, compreender e proteger adequadamente os dados dos clientes.
3. Comparar PI comprometido conhecido A partir de vazamentos de dados recentes em seu inventário e conjuntos de dados, responda proativamente e notifique os clientes sobre possíveis violações.
A BigID está posicionada no centro da revolução da privacidade de dados que está mudando o mundo, ajudando empresas e consumidores a aproveitar o aprendizado de máquina para proteger informações pessoais e atender às exigências globais de privacidade. Clique aqui para agendar uma demonstração. Veja como a BigID ajuda as organizações a transformar a privacidade de seus dados.
Autor
