A FCA, órgão regulador financeiro do Reino Unido, multou a Equifax em mais de £ 11 milhões — equivalente a US$ 13,4 milhões — por não proteger os dados de consumidores britânicos roubados na violação de dados ao sistema do birô de crédito norte-americano ocorrida em 2017. A Equifax tem atuação global e no Brasil opera por meio da Boa Vista Serviços, segundo maior birô de crédito do país, resultado de uma combinação estratégica de negócios entre as empresas.
A aplicação da multa foi anunciada na sexta-feira, 13, quando a FCA emitiu comunicado afirmando que os negócios da Equifax no Reino Unido não tomaram as medidas apropriadas para proteger os dados pessoais de 13,8 milhões de consumidores de posse da holding da empresa com sede nos EUA.
Em 2017, a Equifax relatou uma violação de dados de 143 milhões de registros. O incidente foi descoberto no fim de julho daquele ano, mas a empresa levou mais seis semanas para divulgar o incidente ao público, que acabou ocorrendo somente em setembro.
O órgão regulador classificou todo o desastre como “totalmente evitável”, desde a falha da empresa em notificar prontamente as autoridade até a maneira como minimizou a gravidade da violação de segurança.
A multa original deveria ter sido maior. A quantia real era de £ 16 milhões (equivalente a US$ 19,5 milhões), mas a Equifax obteve um desconto de 30% por concordar com a penalidade no início do processo. Também recebeu um crédito de 15% por colaborar com as investigações.
“A segurança cibernética e a proteção de dados são de importância crescente para a segurança e a estabilidade dos serviços financeiros”, disse Jessica Rusu, diretora de dados, informações e inteligência da FCA, no comunicado. “As empresas não têm apenas uma responsabilidade técnica de garantir a resiliência, mas também uma responsabilidade ética no processamento de informações do consumidor. O Consumer Duty deixa claro que as empresas devem elevar seus padrões.” O Consumer Duty é um regulamento de proteção de dados do consumidor introduzido pela FCA para empresas de serviços financeiros no Reino Unido.
Veja isso
Equifax faz acordo por vazamento de dados, mas prejuízo é bilionário
Militares chineses são acusados de hackear Equifax
No comunicado de sexta-feira, a FCA lembrou que as empresas financeiras do Reino Unido regulamentadas devem ter medidas robustas de segurança cibernética em vigor para proteger os dados pessoais e notificar prontamente os reguladores sobre violações de dados de uma forma justa e precisa.
“As empresas financeiras detêm dados sobre clientes que são altamente atraentes para criminosos”, disse Therese Chambers, diretora executiva conjunta de fiscalização e supervisão de mercado da FCA. “Elas têm o dever de mantê-lo seguro e a Equifax não o fez. Ela agravou essa falha pela maneira como lidou mal com sua resposta à violação de dados. As empresas reguladas estão no gancho, independentemente de terceirizarem ou não.” “O risco de roubo de identidade nunca para. Os cibercriminosos são sofisticados e inovadores. É imperativo que as empresas mantenham os mais altos padrões de proteção de dados”, acrescentou.
As duas empresas envolvidas são a Equifax Ltd e a holding Equifax Inc. Há diferenças fundamentais entre os dois que são importantes para entender completamente o caso. A Equifax Ltd é a que acabou de ser multada. É um birô de crédito que coleta e analisa dados de clientes e outras fontes para usar para outros fins, como marketing. Seu principal produto é Global Consumer Solutions (GCS) e é isso que fornece à maioria das empresas do Reino Unido, ou seja, relatórios de crédito e monitoramento da web. Os dados de consumidores do Reino Unido são os que foram transferidos para os servidores da Equifax Inc nos EUA para processamento, sob um acordo de processamento de dados entre as duas empresas.
