Com a entrada em vigor do novo Regulamento Geral de Protecção de Dados em 25 de Maio de 2018, é crucial que as organizações se apercebam do efeito que isto terá nos seus negócios. As organizações precisam de pôr em prática uma campanha de GDPR para planear a implementação de novos procedimentos a fim de alcançarem o pleno cumprimento.
O Payment Card Industry Security Standards Council (PCI SSC) advertiu as empresas britânicas de que poderiam enfrentar até 122 mil milhões de libras esterlinas em sanções por violações de dados quando a nova legislação da UE entrar em vigor.
De acordo com um inquérito de 2015 sobre violações da segurança da informação, 90% das grandes organizações e 74% das PMEs no Reino Unido relataram uma violação da segurança, salientando a importância de iniciar uma campanha de preparação para o GDPR muito antes da data de aplicação da lei de 2018.
A GDPR introduzirá multas por incumprimento até 20 milhões de euros ou 4% do volume de negócios anual a nível mundial, consoante o que for maior. Estes números excederão de longe a actual multa máxima de 500.000 libras esterlinas emitidas pelo ICO. No entanto, as multas da GDPR são apenas uma faceta do backlash que as empresas receberão se não conseguirem proteger eficazmente os dados dos seus clientes. Danos de reputação, perturbações comerciais e perdas financeiras também têm um impacto significativo nas empresas que sofrem uma quebra de dados.
Abaixo, cumprimos algumas das principais violações de dados para atingir as manchetes nos últimos anos e o efeito que a GDPR teria numa escala semelhante viria em Maio de 2018.
1. Conversa
Em Outubro de 2016, o Gabinete do Comissário da Informação (ICO) atingiu o Talk Talk com uma multa de 400.000 libras pelo ciberataque de 2015 que expôs os dados pessoais de mais de 150.000 clientes. Considerando que a empresa teria sido multada em mais de £71 milhões ao abrigo da nova legislação GDPR, a TalkTalk saiu de ânimo leve.
£400,000 vs £71 milhões
2. Yahoo
Em 2014, o Yahoo sofreu uma das maiores violações de dados de todos os tempos, que afectou 500 milhões de utilizadores. Também revelou uma violação em grande escala a partir de 2013 que comprometeu 1,2 mil milhões de contas de utilizadores. Para colocar isso em perspectiva, é uma para cada sete ou oito pessoas na Terra! As violações atingiram as manchetes no final de 2016, atribuindo ao Yahoo a coroa do maior ciberataque da história que envolveu uma violação de dados pessoais.
Considerando que os números de receitas do Yahoo têm atingido a marca dos 4,5 mil milhões de dólares nos últimos anos, foi previsto que o Yahoo estaria a pagar 90 milhões de dólares ou mais à UE sob o GDPR, considerando que processa os dados dos cidadãos da UE. Juntamente com o facto de Verizon (que comprou o Yahoo pouco depois da violação) ter pago menos 350 milhões de dólares do que estava inicialmente preparado para pagar, o Yahoo sofreu enormemente por causa deste ataque.
3. Sony
Em Abril de 2011, a PlayStation Network foi alvo de hackers cujas identidades são ainda desconhecidas. A Sony disse inicialmente que as informações pessoais de 78 milhões de utilizadores da PlayStation Network tinham sido expostas. No entanto, o número de contas violadas aumentou mais tarde em 24,6 milhões quando os investigadores revelaram que os atacantes também se tinham infiltrado na Sony Online Entertainment e Qriocity. Os dados do cartão de crédito de 23.400 utilizadores SOE na Europa foram também roubados. Em 2013, a Sony foi multada em £250.000 pelo Gabinete do Comissário de Informação (ICO). Contudo, a Sony poderia ter sido multada em pouco mais de 2,5 mil milhões de dólares se o GDPR estivesse em vigor.
£250,000 vs 2,5 mil milhões de dólares
4. Três móveis
No final de 2016, um dos maiores fornecedores de rede do Reino Unido, Three mobile, confirmou que os detalhes de 133, 827 das suas nove milhões de contas de clientes foram acedidos. Isto ocorreu depois de um hacker ter utilizado credenciais de empregados para entrar na base de dados da Three. As informações roubadas incluíam nomes, moradas, números de telefone e endereços de correio electrónico, entre outros pormenores. Sob GDPR, Three poderia ter-se afastado com uma multa estimada em £84 milhões, realçando novamente a importância do cumprimento da GDPR
5. Tesco
Em 2016, o sector bancário do gigante dos supermercados foi atacado, resultando no roubo de £2,5 milhões das contas de 9.000 clientes. Estima-se que se a GDPR estivesse em vigor na altura, a Tesco teria sido multada em 1,9 mil milhões de libras esterlinas.
O actual e crescente nível de ameaças no panorama da segurança cibernética, para não mencionar as pesadas multas associadas a uma perda de confiança dos clientes, só pode significar uma coisa: é imperativo que as organizações melhorem o seu jogo em termos de conformidade e consciência de segurança cibernética para prevenir, detectar e responder a ataques cibernéticos que podem levar a violações de dados pessoais.
Na MetaCompliance dedicamo-nos a servir organizações em todas as plataformas para alcançar a conformidade e criar uma melhor consciência das questões cruciais de segurança entre a defesa mais importante que uma empresa tem: a sua firewall humana - os seus empregados. Contacte-nos hoje para saber como o podemos ajudar a iniciar a sua campanha GDPR ou juntar-se ao webinar do IAPP onde o Sr. Robert O'Brien, CEO da MetaCompliance, irá discutir a implementação do projecto GDPR. Pode também descarregar aqui um documento de política GDPR gratuito e um guia de implementação das Melhores Práticas.
