Tratando violações

GDPR na Prática: Conformidade e Multas

Mamnoon Hadi

Head of Analytics & Insights at Readdle

Estudo de caso: violação do GDPR pela Marriott

 

Descoberta da violação: em setembro de 2018, a Marriott International descobriu acesso não autorizado ao banco de dados de reservas da Starwood desde 2014

Dados comprometidos: a violação expôs dados pessoais de cerca de 500 milhões de hóspedes, incluindo nomes, endereços, telefones, e-mails, números de passaporte, datas de nascimento, gênero e dados de cartão de pagamento

Notificação tardia: a Marriott não notificou o Information Commissioner's Office (ICO) dentro das 72 horas exigidas pelo GDPR. Esse atraso gerou forte escrutínio regulatório e uma multa substancial

1 ico.org.uk
GDPR na Prática: Conformidade e Multas

Artigo 33: Notificação à autoridade supervisora

  • Requisito principal:

    • As organizações devem notificar a autoridade supervisora sem demora injustificada e em até 72 horas após tomar conhecimento de uma violação de dados pessoais
  • Informações a fornecer:

    • Natureza da violação — o que ocorreu e como foi descoberta
    • Categorias dos titulares afetados (ex.: clientes, funcionários)
    • Tipos de dados pessoais afetados
    • Possíveis consequências
    • Medidas adotadas ou planejadas — passos para mitigar a violação e prevenir novos incidentes
GDPR na Prática: Conformidade e Multas

Artigo 34: Comunicação aos titulares de dados

  • Quando notificar os titulares:

    • Se a violação puder resultar em alto risco aos direitos e liberdades das pessoas, os afetados devem ser informados sem demora injustificada
  • Conteúdo da notificação:

    • Natureza da violação — explicação clara e em linguagem simples
    • Consequências potenciais — ex.: fraude, roubo de identidade
    • Medidas adotadas pela organização para conter a violação
    • Orientações aos afetados — ações recomendadas (ex.: trocar senhas, monitorar contas bancárias)
    • Contatos — ponto de contato designado para suporte
GDPR na Prática: Conformidade e Multas

Estudo de caso: impacto — violação da Marriott

Penalidade financeira:

  • Em outubro de 2020, o ICO do Reino Unido multou a Marriott International em £18,4 milhões

Dano reputacional:

  • Essas violações afetam a reputação e, além disso, o descumprimento de procedimentos padrão do GDPR amplia ainda mais a perda de confiança e da marca

Impacto operacional e custo:

  • A Marriott teve quase US$ 30 milhões em despesas de recuperação, incluindo investigação, notificação de clientes afetados, acesso por um ano a software de monitoramento de segurança e criação de um call center internacional
GDPR na Prática: Conformidade e Multas

Boas práticas para gestão de violação de dados

Procedimento de plano

GDPR na Prática: Conformidade e Multas

Boas práticas para gestão de violação de dados

Implemente planos robustos de resposta a incidentes: crie planos para garantir ação rápida em violações

Treine os colaboradores: eduque a equipe sobre princípios de proteção de dados e procedimentos de reporte de violações

Mantenha canais de comunicação claros: garanta comunicação ágil e transparente com órgãos reguladores e pessoas afetadas

Revise as medidas de segurança regularmente: avalie e fortaleça continuamente os protocolos de segurança

resposta.png

Análise de causa raiz e documentação: identifique causas subjacentes e mantenha registros detalhados

GDPR na Prática: Conformidade e Multas

Vamos praticar!

GDPR na Prática: Conformidade e Multas

Preparing Video For Download...