Atraso na comunicação de incidente dá multa de € 755 mil ao Booking.com

O Booking.com tem sede na Holanda e levou 25 dias para comunicar um incidente, enquanto a lei diz que isso deveria ter sido feito em três dias
Da Redação
31/03/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A Autoridade Holandesa de Proteção de Dados (AP) aplicou uma multa de € 475.000 à Booking.com (cuja sede é na Holanda) por causa do seu atraso ao comunicar uma violação de dados ao órgão. Na violação, em 2018, os criminosos roubaram os dados pessoais de mais de 4.000 clientes e também conseguiram obter detalhes de cartão de crédito de quase 300 vítimas. Os criminosos obtiveram as credenciais de login para acesso ao sistema do Booking.com por meio de telefonemas a funcionários de 40 hotéis nos Emirados Árabes Unidos.

Com isso, em dezembro de 2018 os criminosos tiveram acesso aos dados de 4.109 pessoas que fizeram reservas de hotéis naquele país por meio do Booking. Os dados incluíam nomes, endereços, números de telefone e outros detalhes sobre a reserva. Os criminosos também tiveram acesso a detalhes do cartão de crédito de 283 pessoas, incluindo o código de segurança do cartão em 97 casos. Além disso, tentaram obter por e-mail ou telefone os detalhes do cartão de crédito de outras vítimas se passando por funcionários da Booking.com.

Veja isso
Rede hoteleira do Brasil sob pesada campanha de phishing
Grupo Marriott multado em 18 milhões de libras no Reino Unido

“Os clientes da Booking.com corriam o risco de serem roubados aqui”, disse a vice-presidente da AP, Monique Verdier. Mesmo que os criminosos não tenham roubado os detalhes do cartão de crédito, mas apenas o nome de alguém, detalhes de contato e informações sobre a reserva de hotel. Os golpistas usaram esses dados para phishing”.

O Booking.com foi notificado sobre a violação de dados em 13 de janeiro de 2019, mas só informou a AP em 7 de fevereiro daquele ano. A empresa tinha a obrigação de relatar a violação de dados dentro de 72 horas. O Booking.com notificou os clientes afetados sobre a violação em 4 de fevereiro de 2019. A empresa tomou outras medidas para limitar os danos, como a oferta de indenização por eventuais danos.

“A investigação da Booking.com foi internacional”, disse a AP holandesa em comunicado. “É uma empresa internacional com clientes de diversos países. Booking.com e tem sua sede global na Holanda. É por isso que a AP conduziu esta investigação. Por se tratar de uma questão internacional, a DPA holandesa coordenou a investigação com os outros reguladores de privacidade europeus”.

A obrigação de notificação de violação de dados significa que ambas as empresas e governos devem imediatamente (e no máximo dentro de 72 horas) relatar à AP violações de dados graves. Em 2020, a AP observou um aumento explosivo no número de hacks destinados ao roubo de dados pessoais. O número de queixas aumentou não menos que 30% em 2020 em comparação com 2019, de acordo com o Relatório sobre Vazamentos de Dados 2020.

Com agências de notícias internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório