Press "Enter" to skip to content

Na frente do GDPR, o Reino Unido multou a Universidade de Greenwich £ 120.000 por violação de dados

A Universidade de Greenwich foi multada em £ 120.000 pelo Comissário de Informação do Reino Unido por uma grave violação de dados envolvendo cerca de 20.000 pessoas.

Na segunda-feira, o regulador do Reino Unido disse que a multa foi a primeira emitida para uma universidade sob o Ato de Proteção de Dados de 1998.

Sob as atuais regras de proteção de dados do Reino Unido, os controllers de informação – como a universidade – são obrigados a tomar medidas razoáveis ​​para proteger os dados.

No entanto, os reguladores dizem (.PDF) que a Universidade de Greenwich falhou nesta tarefa após uma conferência de treinamento em 2004.

A conferência foi realizada na então Escola de Ciência da Computação e Matemática da Universidade. Um microsite foi dedicado ao evento de treinamento que registrou as informações de funcionários e alunos, e esse site não foi protegido ou fechado posteriormente.

Três anos depois, os agentes de ameaças exploraram uma vulnerabilidade no domínio para acessar áreas do servidor da web. Como resultado, informações que incluem nomes, endereços e números de telefone pertencentes a 19.500 pessoas, incluindo estudantes, funcionários e ex-alunos, foram comprometidas.

Para piorar a situação, os dados pertencentes a cerca de 3.500 desses indivíduos e expostos através do servidor incluíam informações confidenciais, como detalhes sobre a doença, dificuldades de aprendizagem e "circunstâncias atenuantes", de acordo com o regulador.

Estas informações foram filtradas on-line.

"Alunos e membros da equipe tinham o direito de esperar que suas informações pessoais fossem mantidas em segurança e essa violação séria teria causado um sofrimento significativo", disse Steve Eckersley, gerente de aplicações da ICO. "A natureza dos dados e o número de pessoas afetadas informaram nossa decisão de impor este nível de multa."

A pesquisa da OIC revelou que o microsite foi desenvolvido sem a universidade, como instituição, conhecendo na época, já que o departamento era descentralizado. No entanto, isso não elimina a responsabilidade geral da universidade.

A OIC acredita que não havia sistemas técnicos e de gestão adequados que seriam definidos como esforços "razoáveis" de proteção de dados. Portanto, a multa foi imposta.

Com o prazo do Regulamento Geral de Proteção de Dados (GDPR), de 25 de maio de 2018, a poucos dias de distância, as conseqüências no futuro para a segurança frouxa e a proteção inadequada dos dados serão mais rigorosas. No entanto, a viagem já se mostrou difícil para as organizações.

Um recente estudo da IBM sugere que, embora muitas empresas acreditem que o GDPR pode se tornar uma força do bem em termos de privacidade e restrições de coleta de dados, apenas 36% das organizações acreditam que estarão prontas a tempo.

]

Veja também: DoJ acusa hackers iranianos de roubar dados de 144 universidades americanas

Em resposta à decisão, a universidade aceitou a responsabilidade e planeja pagar a multa imediatamente, o que reduzirá o valor devido a £ 96.000.

"Desde 2016, tomamos uma série de medidas significativas para melhorar nossos procedimentos de proteção de dados", acrescentou a universidade. "Levamos isso muito a sério e gostaríamos de pedir desculpas novamente àqueles que podem ter sido afetados."

Cobertura anterior e relacionada

Be First to Comment

    Deixe uma resposta

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *