A Comissão Nacional de Proteção de Dados (CNPD) confirma que abriu um processo com o objetivo de averiguar o sucedido durante o ciberataque do grupo Ragnar Locker contra os sistemas da TAP. A CNPD também confirma que recebeu uma notificação da transportadora aérea, como determina o Regulamento Geral de Proteção de Dados (RGPD) para este tipo de incidentes.
“A TAP notificou a CNPD do incidente, estando a questão a ser analisada no processo aberto nessa sequência”, informa fonte oficial da entidade que supervisiona as políticas de proteção de dados.
No caso de o processo iniciado pela CNPD apurar más práticas ou negligência na proteção de dados de clientes e trabalhadores, a TAP poderá vir a ser penalizada com uma coima, à semelhança do sucedido, por exemplo, com a Câmara Municipal de Lisboa, no denominado caso Russiagate, que teve por base a cedência voluntária – mas ilegal – de dados pessoais de manifestantes de várias nacionalidades para governos nem sempre conhecidos pelo respeito pela liberdade política ou pelos direitos humanos.
O caso Russiagate levou a CNPD a aplicar um coima de 1,2 milhões de euros à Câmara Municipal de Lisboa. Teoricamente, poderia ser um valor mais avultado: o RGPD prevê multas até 20 milhões de euros para as infrações mais graves.
O caso da TAP tem contornos diferentes do do Município de Lisboa, uma vez que resulta de um ataque veiculado pela Internet. Os atacantes, conhecidos como Ragnar Locker, já trataram de revelar dados pessoais de mais de 115 mil clientes – e dizem ter na sua posse os dados de mais de 1,5 milhões de pessoas, num total de 500 gigabytes de dados.
Numa tentativa de desencadear conversações com a transportadora, o grupo de cibercriminosos recorda que a TAP poderá vir a ter de suportar custos avultados devido a multas ou processos em tribunal que venham a ser movidos na sequência da fuga de dados provocada por este ciberataque.
Os Ragnar Locker dão como exemplo o sucedido com a Easy Jet, que está a braços com um processo movido por um afirma de advogados, com o objetivo de garantir 18 mil milhões libras (20,66 mil milhões de euros) em representação dos nove milhões de pessoas afetados pela fuga de dados.