.
A Austrália quer que as organizações se aprofundem em violações graves ou repetidas de privacidade de dados, aplicando multas máximas de até AU$ 50 milhões (US$ 31,57 milhões). A medida para aumentar as penalidades por violações ocorre em meio a uma série de incidentes de segurança cibernética que comprometeram os dados dos clientes, com o mais recente envolvendo o grupo de seguros Medibank.
O procurador-geral Mark Dreyfus revelou planos para introduzir legislação no parlamento esta semana que aumentaria a punição financeira para violadores de privacidade dos atuais AU $ 2,22 milhões (US $ 1,4 milhão).
As novas regras serão descritas na Lei de Emenda à Legislação de Privacidade da Austrália (Execução e Outras Medidas) de 2022, que pode ser aplicada sob a Lei de Privacidade de 1988 para violações de privacidade “sérias ou repetidas”.
Após a atualização, as empresas que cometerem as violações serão multadas em AU$ 50 milhões, ou três vezes o valor de qualquer benefício obtido por meio do uso indevido de informações, ou 30% do faturamento ajustado da empresa no período relevante, o que for maior .
O projeto de lei também dará ao comissário de informações australiano “maior poder” para resolver violações de privacidade, bem como fortalecer o esquema de violações de dados notificáveis, que fornecerá ao comissário pleno conhecimento das informações comprometidas em uma violação, para que ele possa avaliar os riscos de danos aos indivíduos afetados. Além disso, o Comissário e a Autoridade Australiana de Comunicação e Mídia terão mais poderes para compartilhar informações em caso de violação de dados.
Dreyfus disse: “Quando os australianos são solicitados a entregar seus dados pessoais, eles têm o direito de esperar que sejam protegidos. violação seja vista como o custo de fazer negócios.
“Precisamos de leis melhores para regular como as empresas gerenciam a enorme quantidade de dados que coletam e penalidades maiores para incentivar um melhor comportamento”, disse ele.
Anteriormente, os formuladores de políticas australianos haviam pressionado para que multas mais severas fossem aplicadas após uma grande violação envolvendo a telco local Optus, que comprometeu os dados de 9,8 milhões de clientes, incluindo endereços de e-mail, números de telefone e outras informações de identificação pessoal.
A violação do Medibank compromete os registros de saúde
Em outra violação que se seguiu à da Optus, o Medibank em 13 de outubro revelou que detectou “atividade incomum” em sua rede que mais tarde comprometia os dados pessoais de clientes de sua subsidiária, ahm, bem como clientes estudantes internacionais.
Em um comunicado ontem, ele recebeu arquivos do suposto hacker que continham registros de apólices de 1.100 ahm, incluindo dados pessoais e de reivindicações de saúde, e algumas informações do Medibank e outras informações de clientes de estudantes internacionais.
Uma das maiores seguradoras de saúde da Austrália, a Medibank disse na semana passada que o hacker alegou ter roubado 200 GB de dados que incluíam nomes de clientes, endereços, datas de nascimento e números de apólices. Os dados comprometidos relativos a reclamações de clientes incluíram o local em que o cliente recebeu serviços médicos e códigos relacionados ao seu diagnóstico e procedimentos.
O hacker também disse que tinha dados relacionados à segurança do cartão de crédito, mas o Medibank disse que ainda não havia verificado isso.
“Dada a complexidade do que recebemos, é muito cedo para determinar a extensão total dos dados do cliente que foram roubados”, afirmou. “Continuaremos analisando o que recebemos para entender o número total de clientes impactados e, especificamente, quais informações foram roubadas”.
A companhia de seguros acrescentou que a violação está atualmente sob investigação criminal pela Polícia Federal Australiana. Também estava trabalhando com fornecedores de segurança cibernética, o Australian Cyber Security Centre e outras agências governamentais relevantes, disse.
O Medibank disse: “À medida que continuamos a investigar a escala desse crime cibernético, esperamos que o número de clientes afetados cresça à medida que isso se desenrola”.
Após a violação, o regulador de serviços financeiros Australian Prudential Regulation Authority (APRA) divulgou na segunda-feira um comunicado lembrando os participantes do setor a implementar controles de segurança de dados e garantir que cumpram os regulamentos setoriais.
Apontando para os requisitos descritos no Prudential Standard CPS234 Information Security, a agência governamental disse que as entidades regulamentadas pela APRA devem ter funções e responsabilidades de segurança cibernética claramente definidas, mantidas por seus conselhos, alta administração, órgãos governamentais e indivíduos. Eles também tiveram que manter uma capacidade de segurança da informação de acordo com o tamanho e a extensão das ameaças aos seus ativos de dados, bem como implantar controles para proteger seus ativos de dados e executar testes sistemáticos para garantir a eficácia de tais controles.
A APRA acrescentou que as recentes violações de segurança serviram como um lembrete de que essas ameaças continuaram a aumentar. Ressaltou a necessidade de as entidades regulamentadas revisarem e testarem regularmente os planos de resposta a incidentes.
COBERTURA RELACIONADA
.
