A autoridade reguladora de proteção de dados de França aplicou uma multa avultada de 3,5 milhões de euros a uma empresa, cuja identidade não foi revelada, devido a múltiplas infrações graves ao Regulamento Geral sobre a Proteção de Dados (RGPD). A decisão surge após a descoberta de que a organização partilhou dados de clientes com uma rede social sem consentimento e falhou na implementação de medidas básicas de segurança informática.
O caso destaca-se não apenas pelo valor da coima, mas também pelo volume de pessoas afetadas, ascendendo a mais de 10,5 milhões de utilizadores cujas informações pessoais foram tratadas de forma inadequada.
Partilha de dados sem consentimento e publicidade direcionada
De acordo com a investigação, a empresa em questão partilhou, desde fevereiro de 2018, endereços de email e números de telefone dos membros do seu programa de fidelidade com uma plataforma de redes sociais. O objetivo desta transferência era a apresentação de publicidade personalizada para promover produtos vendidos pela empresa.
O problema central reside no facto de os clientes nunca terem sido informados sobre esta transferência de dados ou sobre a sua finalidade, o que constitui uma violação direta dos artigos 12 e 13 do RGPD. Além disso, a empresa falhou na realização de uma avaliação de impacto sobre a proteção de dados (DPIA) antes de processar e partilhar estas informações sensíveis, ignorando assim os riscos associados à privacidade dos seus utilizadores.
Falhas de segurança: do SHA-256 aos cookies abusivos
Para além da partilha indevida de informações, a auditoria revelou lacunas técnicas preocupantes. O regulador francês notou que a empresa permitia a criação de palavras-passe "insuficientemente robustas" para as contas de utilizador. Mais controverso foi o facto de a empresa utilizar o algoritmo de hashing SHA-256 para armazenar estas credenciais. Segundo a autoridade francesa, este método já não permite um armazenamento seguro das senhas, configurando uma infração às normas de segurança do RGPD.
A gestão de cookies no site da empresa também foi alvo de duras críticas. Assim que um utilizador acedia à página, eram instalados automaticamente 11 cookies de rastreamento no seu dispositivo, mesmo antes de qualquer pedido de consentimento aparecer no ecrã. Em situações onde o utilizador rejeitava explicitamente estes cookies, os mesmos eram instalados de qualquer forma e não eram eliminados do navegador, continuando a recolher dados e colocando a segurança dos visitantes em risco.
A sanção de 3,5 milhões de euros foi adotada em cooperação com 16 outras autoridades europeias de proteção de dados, refletindo a seriedade das falhas encontradas, conforme detalhado pela CNIL.
Nenhum comentário
Seja o primeiro!