São Paulo — Negligenciar o banco de dados não é apenas uma grande ameaça à reputação das empresas, mas também um imenso risco à saúde financeira das maiores companhias no mundo. A companhia aérea British Airways, controladora da espanhola Iberia e uma das maiores do setor na Europa, está sentindo isso na pele – e no bolso.
Nesta segunda-feira (8/7), o grupo foi condenado a pagar multa de 183,39 milhões de libras esterlinas (o equivalente a pouco mais de R$ 900 milhões) por ter deixado vazar, em setembro do ano passado, dados pessoais e financeiros de 500 mil clientes. A falta de segurança, segundo o Information Commissioner’s Office (ICO), órgão do Reino Unido que trata da privacidade dos usuários, poderia ter sido evitada se houvesse melhor gerenciamento dos sistemas de proteção contra ciberataques. “Dados de consumidores são ativos valiosos sob custódia das empresas, e devem ser protegidos com constante atenção e investimento”, definiu o ICO, em sua conclusão.
O problema não se restringiu apenas ao vazamento, mas também à maneira como a companhia se comportou após ter ciência do ataque. A British Airways, logo depois do fato, não apresentou detalhes do ocorrido nem quais seriam as providências a serem tomadas. A empresa apenas confirmou que tanto o site quanto o aplicativo haviam sido corrompidos por hackers.
Na condenação do ICO, a entidade destacou que “o incidente, em parte, envolveu o tráfego de usuários do site da British Airways sendo desviado para um site fraudulento”. Embora ainda não existam muitas informações de como o ataque se deu, suspeita-se que o servidor falso tenha iniciado a coleta dos dados em junho de 2018, três meses antes da revelação do caso.
De acordo com o ICO, “uma série de informações foi comprometida pela falta de medidas de segurança na empresa, incluindo login, cartão de pagamento e detalhes da reserva de viagem, além de informações de nome e endereço”. Com o vazamento, a British Airways infringiu o Regulamento Geral sobre a Proteção de Dados (GDPR), que protege os dados dos cidadãos da União Europeia.
“Os dados pessoais das pessoas são apenas isto: pessoais. Quando uma organização falha em protegê-los contra perda, dano ou roubo, isso é mais do que uma inconveniência. A lei é clara: quando você recebe dados pessoais, precisa cuidar deles”, diz a comissária de informação do ICO, Elizabeth Denham.
O valor de 183,39 milhões de libras esterlinas é o equivalente a 1,5% do faturamento global da British Airways em 2018. Trata-se de uma multa recorde: a maior punição até agora, segundo o TechCrunch, havia sido dada ao Facebook, que pagou apenas 500 mil libras (o equivalente a R$ 2,44 milhões) pelo escândalo Cambridge Analytica.
Em comunicado ao mercado, a British Airways diz que vai recorrer da multa do ICO. A companhia aérea se desculpou pela inconveniência causada e afirmou que “respondeu rapidamente ao ato criminoso de roubo de dados de consumidores”. Diz ainda que “não encontrou evidências de fraude ou atividade fraudulenta nas contas ligadas ao roubo de dados”.
Lei mais branda
Se a British Aiways fosse brasileira, estaria muito menos preocupada. Isso porque a Lei Geral de Proteção de Dados, ou simplesmente LGPD, sancionada em agosto do ano passado, estabelece o teto de R$ 50 milhões nas multas para empresas que deixem vazar dados de seus clientes. E mais: a punição só passa a valer em 2020.
Somente no ano passado, mais de 200 grandes empresas brasileiras revelaram ter sofrido algum tipo de ataque. Entre as mais emblemáticas, estão Uber (que admitiu ter dados de 156 mil brasileiros copiados de seu sistema), Netshoes (que teve informações de 2 milhões de clientes vazadas no fim de 2017), além de Facebook e C&A. A rede varejista, no fim de agosto de 2018, foi vítima de ciberataque no cadastro de vale-presente e trocas. Mais de 2 milhões de clientes teriam sido afetados. Sorte deles que não estavam na União Europeia.