CNIL impõe coima máxima a Google e multa Uber

Publicado em 23/01/2019 22:58 em Segurança Informática

A autoridade francesa de protecção de dados (CNIL), aplicou à Google a multa máxima prevista no Regulamento Geral de Protecção de Dados (RGPD) da União Europeia (UE) e multou a Uber.

A Comission Nationale de l’ínformatique et des Libertés (CNIL) condenou a Google a uma multa de 50 milhões de euros, fazendo pela primeira vez uso das sanções máximas previstas no RGPD, por «falta de transparência, informação insatisfatória e ausência de consentimento válido para a personalização da publicidade».

Em finais de Dezembro, a CNIL tinha sancionado a UBER com uma multa de 400 mil euros por não garantir suficientemente a segurança dos dados dos utilizadores do seu serviço de transporte de passageiros.

A CNIL, face à queixa de duas associações francesas contra a falta de base jurídica para o tratamento de dados pela Google, adianta que contactou as restantes autoridades de protecção de dados da UE e concluíram que o sistema de «guichet único» no país onde situa o estabelecimento principal da empresa não se aplicava, cabendo a cada autoridade nacional actuar.

A investigação da CNIL concluiu que havia duas infracções aos procedimentos do RGPD, uma por as informações fornecidas aos utilizadores pela Google não serem facilmente acessíveis e compreensíveis, e outra pela falta de base legal para o tratamento da personalização da publicidade.

No primeiro caso, a autoridade francesa considera que a arquitectura escolhida para prestar informações não respeita as obrigações do Regulamento, não incluindo informações essenciais como a finalidade de recolha e tratamento dos dados, o tempo durante o qual serão conservados ou as categorias de dados utilizados para personalizar a publicidade.

Observa que essas informações implicam clicar em vários botões e estão excessivamente disseminadas por vários documentos e que as informações fornecidas pela empresa nem sempre são claras ou facilmente entendíveis nem permitem compreender a amplitude do tratamento de dados efectuado pela Google.

Salienta que a informação pertinente apenas surge depois de várias etapas, implicando por vezes cinco a seis acções, como é o caso quando um utilizador pretende informações completas sobre personalização da publicidade ou a geolocalização.

A CNIL considera que os tratamentos de dados são «particularmente massivos e intrusivos em função do número de serviços propostos (duas dezenas) e da quantidade e natureza dos dados tratados e combinados.

Acrescenta que as finalidades da recolha de dados é descrita de forma demasiado genérica e vaga e que a duração da conservação dos dados não é indicada.

Relativamente à segunda questão, a CNIL afirma que o consentimento dos utilizadores para o tratamento dos seus dados para a personalização de publicidade não é válido porque não foi suficientemente esclarecido porque a dispersão da informação por vários documentos não permite ao utilizador tomar consciência da sua amplitude e da multiplicidade de serviços, sítios Internet e aplicações abrangidas.

Destaca que a aceitação dos anúncios personalizados vem por defeito e o utilizador para aceder à configuração da criação de uma conta tem de escolher o bortão «mais opções», relevando que o RGPD exige que o consentimento seja por um acto positivo.

Além disso, a Google convida o utilizador a aceitar as suas condições de utilização e que as informações sejam utilizadas pela empresa «como acima descrito», o que implica dar um consentimento global e não específico para cada finalidade, como é exigido no regulamento comunitário.

A CNIL sublinha que as violações do RGPD são continuas e não se trata de uma violação pontual limitada no tempo, recordando que diariamente milhares de franceses criam uma conta Google nos seus smartphones.

A CNIL revelou que em Dezembro multou a Uber em 400 mil euros por não salvaguardado suficientemente a segurança dos dados dos seus utilizadores.

Em Novembro de 2017 a imprensa revelou que dois indivíduos tinham roubado um ano antes dados de 57 milhões de utilizadores daquela plataforma.

A CNIL salienta que, na sequência dessa informação, 29 autoridades europeias de protecção de dados criaram um grupo para coordenar os seus procedimentos de investigação deste caso.

O inquérito permitiu clarificar as diferentes etapas do ataque, com os cibercriminosos a começarem por aceder a dados de identificação não codificados armazenados na plataforma colaborativa de desenvolvimento «Github», para em seguida acederem remotamente a um servidor onde os dados dos utilizadores da Uber estavam armazenados.

Acrescenta que os criminosos acederam aos dados pessoais de 57 milhões de utilizadores, 1,4 milhões dos quais de residentes em França.

A CNIL defende que o ataque não poderia ter êxito se tivessem sido adoptadas algumas medidas de segurança básicas, nomeadamente:

- Que os engenheiros da companhia se tivessem ligado à plataforma «Github» com medidas de autenticação fortes, como palavra passe e uma dupla verificação com um código secreto enviado para um telefone;

- Não tivesse armazenado sem codificação no código fonte da plataforma «Github» que permitiam aceder aos seus servidores;

- Se para acesso aos servidores da «Amazon Web Services S3» contendo os dados dos utilizadores, a Uber tivesse instalado um sistema de filtragem de endereços IP.

A CNIL considerou que a Uber tinha violado a sua obrigação de garantir a segurança dos dados pessoais dos seus utilizadores, embora à data dos factos o RGPD não estivesse em vigor.

Indica que outras autoridades europeias decidiram também sancionar a Uber, a holandesa com uma coima de 600 mil euros por falta da obrigação de notificação da ocorrência e a britânica com uma multa de 385 mil libras (mais de 440 mil euros) por não ter cumprido a obrigação de garantir a segurança dos dados.

Ainda sem comentários