O Banco Central está enfrentando uma situação delicada que pode resultar em uma multa exorbitante, uma das maiores oferecidas a um órgão público, ao guardar informações pessoais de milhares de mutuários por mais tempo que o indicado pela lei.
De acordo com o estudo do Jornal Business Post, que escutou fontes próximas, a violação foi analisada detalhadamente pela Data Protection Commission (DPC). Devido a permanência das informações, o histórico de crédito de cerca de 20 mil pessoas foi visualizado pelos credores.
LEIA MAIS: Reforço de segurança no pix: novas medidas do Banco Central
O DPC realizou uma investigação ao órgão para entender a falha que atua como uma violação direta do General Data Protection Regulation (GDPR). Também buscou entender com o regulador sobre como o erro aconteceu.
Em resposta, o Banco Central está colaborando com o DPC. Ainda revelou que a violação pode ter afetado aproximadamente 50 decisões de crédito. O fato revela que cerca de 50 empresas ou pessoas que pediram empréstimos foram rejeitadas por conta do acontecido.
Outras fontes da indústria revelaram que o estudo realizado pelo DPC pode culminar na maior multa já oferecida a uma entidade pública por violação da lei de proteção de dados. Levando em conta a lei irlandesa, é possível que a multa chegue a até €1 milhão.
Previamente ao caso, a Câmara Municipal e o Condado de Limerick haviam recebido uma multa de 110 mil euros, em janeiro de 2022. Ela foi dada após o entendimento da instalação de câmaras CCTV sem obtenção de base legal. O valor desta multa representou mais de 10% do máximo ofertado para uma organização estatal.
Resposta do Banco Central
Foi informado pelo Banco Central, durante o mês de agosto, que deixou as informações na Central de Responsabilidades de Crédito (CCR) por três meses a mais do que o permitido (prazo de cinco anos) e que os dados deveriam ter sido eliminados automaticamente.
Não obstante, o regulador informou que as informações de maio, junho e julho de 2018 não foram retiradas a tempo. Ainda foram inseridos inadequadamente nos relatórios de créditos gerados a credores e devedores entre 1 de junho e 7 de agosto.
O Banco informou recentemente que os registros de 20.872 mutuários foram acessados por credores e devedores entre 1 de junho e 7 de agosto. Os mutuários tiveram os dados apresentando erros no período de reembolso na época em que deveriam ter sido descartados.
LEIA MAIS: Processo administrativo contra IAMSPE é finalizado pela ANPD
Sendo assim, foi revelado pelos credores que os dados guardados erroneamente foram utilizados em nove decisões de empréstimos. Além disso, outros 41 inquéritos não foram conclusivos, ou seja, não foi possível entender se a violação do Banco afetou.
O consultor de privacidade digital da instituição Castlebridge, Daragh O Brien, revelou que o Banco Central e a sua violação pode ser considerado “uma das mais sérias” violações checadas pelo DPC nos últimos tempos.
Este não é [o caso de] um bandido que entrou no Banco Central e fez uma coisa ruim – isso é controle básico e fundamental de qualidade de dados e governança básica, apenas não estando em vigor para evitar impactos sobre os indivíduos”, pontuou O Brien.
Ainda destacou que violação está ligada ao “controle básico e fundamental de qualidade de dados” e que isto pode influenciar a decisão da investigação. É válido destacar que o Banco da Irlanda já havia recebido uma multa em 2022, de 463 mil libras, depois do DPC analisar uma quebra dos artigos da GDPR por envio não preciso das informações enviadas ao CCR.
As investigações do DPC foram iniciadas no dia 5 de outubro, conforme destacou o porta-voz da instituição. A análise foi em relação ao “processamento e divulgação não autorizados de dados pessoais na Central de Responsabilidades de Crédito”.
Por fim, o Banco Central não revelou se espera receber a multa e não pontuou sobre a possibilidade de pagar os mutuários afetados pelo erro. Vasileios Madouro, vice-governador para a estabilidade monetária e financeira, revelou que o regulador “lamenta e se desculpa pelo erro.”
Ele finaliza afirmando que “embora tenhamos uma série de controles implementados na operação do CCR, está claro que eles foram insuficientes para evitar este incidente específico. Isso fica aquém dos nossos próprios padrões e implementamos medidas imediatas para evitar que esse erro ocorra novamente.”
Fonte: Business Post
Autor(a): Donal MacNamee
