Rony Vainzof via Linkedin
Autoridade de Proteção de Dados Pessoais da França (CNIL) sancionou em 400.000€ a empresa SERGIC, especializada no desenvolvimento, compra, venda, aluguel e administração de imóveis, por ausência de segurança proporcional aos dados de seus usuários e não conformidade com período de retenção.
O CASO:
A empresa, detentora do site www.sergic.com, permite aos possíveis locatários aplicar os documentos necessários para concorrer a locação de uma propriedade.
Em 12/08/18, a CNIL recebeu denúncia de um usuário do site, afirmando que uma mudança na URL permitia o acesso aos documentos não só por ele aplicados, mas também disponibilizados por outros candidatos, fornecendo vários exemplos de URLs dos quais ele conseguiu acessar dados de terceiros.
A APURAÇÃO:
A CNIL apurou, por meio de verificação on-line, a veracidade das alegações, baixando 9446 documentos usando um script, incluindo cópias de documentos de identidade, autos de infração, certidão de divórcio, certificados para a segurança social, pensão de invalidez, extratos de contas, extratos bancários, identidade de recibos de aluguel, entre outros.
A empresa confirmou que sabia do ocorrido desde março de 2018 e que procedeu a uma primeira fase de análise da falha de segurança, que deu origem a um plano de ação implementado a partir de junho de 2018, com prazo de encerramento em setembro de 2018.
A DECISÃO:
A CNIL considerou que a empresa denunciada:
- Falhou em sua obrigação de preservar a segurança dos dados pessoais dos usuários do seu site, conforme previsto no art. 32, do GDPR, pois não contava com um procedimento de autenticação, o que permitiu o download de documentos por terceiros não autorizados. Tal questão foi agravada pela falta de diligência da empresa na correção da falha, pois a vulnerabilidade não foi corrigida em até 6 meses da ciência.
- Mantinha, sem limitação de duração na base ativa, todos os documentos transmitidos pelos candidatos, mesmo os que não conseguiram êxito no seu objetivo de locação. Por uma questão de princípio, o período de retenção dos dados pessoais deveria ser determinado de acordo com a finalidade do processamento. Quando esta finalidade é atingida e nenhuma outra finalidade justificar a conservação dos dados na base ativa, os dados deveriam ser suprimidos ou segregados em outra base se a retenção fosse necessária para o cumprimento dos requisitos legais ou para exercício regular de direitos.
O valor de 400 mil euros e publicação da sanção se deve ao fato da gravidade da violação, a falta de diligência em lidar com a vulnerabilidade e o fato de que os documentos acessíveis revelavam aspectos muito íntimos da vida das pessoas. Porém, a CNIL também levou em consideração o tamanho da empresa e o seu faturamento.
Clique aqui para ler o conteúdo completo.