COMPARTILHAR

Rony Vainzof via Linkedin

Autoridade de Proteção de Dados Pessoais da França (CNIL) sancionou em 400.000€ a empresa SERGIC, especializada no desenvolvimento, compra, venda, aluguel e administração de imóveis, por ausência de segurança proporcional aos dados de seus usuários e não conformidade com período de retenção.

O CASO:

A empresa, detentora do site www.sergic.com, permite aos possíveis locatários aplicar os documentos necessários para concorrer a locação de uma propriedade.

Em 12/08/18, a CNIL recebeu denúncia de um usuário do site, afirmando que uma mudança na URL permitia o acesso aos documentos não só por ele aplicados, mas também disponibilizados por outros candidatos, fornecendo vários exemplos de URLs dos quais ele conseguiu acessar dados de terceiros.

A APURAÇÃO:

A CNIL apurou, por meio de verificação on-line, a veracidade das alegações, baixando 9446 documentos usando um script, incluindo cópias de documentos de identidade, autos de infração, certidão de divórcio, certificados para a segurança social, pensão de invalidez, extratos de contas, extratos bancários, identidade de recibos de aluguel, entre outros.

A empresa confirmou que sabia do ocorrido desde março de 2018 e que procedeu a uma primeira fase de análise da falha de segurança, que deu origem a um plano de ação implementado a partir de junho de 2018, com prazo de encerramento em setembro de 2018.

A DECISÃO:

A CNIL considerou que a empresa denunciada:

  1. Falhou em sua obrigação de preservar a segurança dos dados pessoais dos usuários do seu site, conforme previsto no art. 32, do GDPR, pois não contava com um procedimento de autenticação, o que permitiu o download de documentos por terceiros não autorizados. Tal questão foi agravada pela falta de diligência da empresa na correção da falha, pois a vulnerabilidade não foi corrigida em até 6 meses da ciência.
  2. Mantinha, sem limitação de duração na base ativa, todos os documentos transmitidos pelos candidatos, mesmo os que não conseguiram êxito no seu objetivo de locação. Por uma questão de princípio, o período de retenção dos dados pessoais deveria ser determinado de acordo com a finalidade do processamento. Quando esta finalidade é atingida e nenhuma outra finalidade justificar a conservação dos dados na base ativa, os dados deveriam ser suprimidos ou segregados em outra base se a retenção fosse necessária para o cumprimento dos requisitos legais ou para exercício regular de direitos.

O valor de 400 mil euros e publicação da sanção se deve ao fato da gravidade da violação, a falta de diligência em lidar com a vulnerabilidade e o fato de que os documentos acessíveis revelavam aspectos muito íntimos da vida das pessoas. Porém, a CNIL também levou em consideração o tamanho da empresa e o seu faturamento.

Clique aqui para ler o conteúdo completo.

DEIXE UMA RESPOSTA

Deixe o seu comentário
Por favor, insira o seu nome