Alemanha tenta justificar-se

Em Setembro de 2018 foi anunciado que 1,8 milhões de registos foram roubados da Knuddels. O resultado final foi uma coima de 20.000 euros e um investimento em segurança de 6 dígitos.

O Knuddels.de é um serviço online baseado na Web que consiste numa plataforma de flirty chat para pessoas com mais de 14 anos de idade. Knuddels serve, sobretudo, uma comunidade de jovens adultos de língua alemã.

No comunicado de imprensa da autoridade de controlo alemã do Estado (Bundesländer) Baden-Wuerttemberg (LfDI) (aqui) percebe-se bem a necessidade de justificação da coima ser incompreensivelmente baixa o que deixa uma grande interrogação sobre a desejável uniformidade de critérios das várias autoridades de controlo da União Europeia.

Em julho deste ano, a plataforma de flirty chat  sofreu uma violação de dados e as informações roubadas dos seus servidores foram publicadas on-line. Um membro da equipe disse, na altura, que o incidente afetou todos os utilizadores que tinham uma conta na plataforma em 20 de julho de 2018 o que corresponde a 808.000 emails e 1,8 milhões de nomes de utilizadores e passwords.

Outro membro da equipa referiu que houve evidência de violação de dados de 330.000 endereços de email e logo que a Knuddels tomou conhecimento da violação de dados (através dos serviços na cloud Pastebin e Mega) alertou os utilizadores, fez reset das passwords e melhorou as condições de segurança.

Certo é que a plataforma Knuddels não aplicou medidas de segurança minimamente adequadas, sobretudo se tivermos em consideração a sensibilidade da informação de um site deste tipo e o facto das passwords estarem registadas em texto simples sem qualquer tipo de cifragem. Um caso claro de zero accountability, de evidente total ausência de avaliação de risco e proporcionalidade das medidas de segurança.

No cálculo da coima é tido em consideração o número de pessoas afetadas, a natureza da infração, as ações de mitigação, as medidas preventivas, a cooperação com a autoridade supervisora, o registo da violação de dados, o aviso aos titulares dos dados e a notificação à entidade de controlo.

Stefan Brink, o Comissário de Proteção de Dados e Liberdade de Informação de Baden-Württemberg (LfDI), afirmou que a organização que dirige não está interessada em concorrer às maiores multas possíveis porque o objetivo final é melhorar a proteção de dados e atuar de forma pedagógica. Assim, é o próprio responsável desta autoridade de controlo alemã a sentir a falta de fundamentação da sua decisão e a refugiar-se em argumentos subjectivos, aleatórios e desalinhados de uma suposta coerência e uniformidade europeia.

No comunicado da autoridade de controlo (LfDI) não se refere o âmbito de 1,8 milhões registos, mas menciona-se o comunicado da Knuddels que informa de um ataque de hackers em julho de 2018 que roubou informações pessoais de aproximadamente 330.000 utilizadores.

A LfDI refere que a Knuddels, ao armazenar as passwords em texto não cifrado, violou conscientemente o seu dever de garantir a segurança dos dados no tratamento de dados pessoais, de acordo com o art. Art. 32 parágrafo 1 do RGPD.

Quanto ao valor da coima a LfDI afirma que nos termos do artigo 83.º, n.º 4, do RGPD, a excelente cooperação com a autoridade de controlo resultou, em especial, benefício para empresa. A transparência da empresa foi exemplar quanto às medidas de mitigação e acolhimento das recomendações da LfDI. E assim, num muito curto espaço de tempo, a segurança dos dados dos utilizadores do serviço de flirt chat foi significativamente melhorada. Ao avaliar a coima, a coordenação Knuddels-LfDI, a carga financeira global sobre a empresa e outras circunstâncias foram levadas em conta. De acordo com o LfDI , as multas não devem ser apenas eficazes e dissuasivas, mas também têm que ser proporcionadas.

Por ultimo a LfDI sublinhou que aqueles que aprendem com o mal e agem de forma transparente para melhorar a proteção de dados podem emergir mais fortes de um ataque de hackers. O objetivo final é  melhorar a privacidade e segurança de dados para os utilizadores.


José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, former Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)