2019/08/09

Pedidos de RGPD podem expor informação privada de outras pessoas


O RGPD / GDPR quer dar aos cidadãos europeus maior controlo sobre os seus dados digitais, mas no processo falha em garantir que esses dados não possam acabar nas mãos erradas.

Um investigador de segurança resolveu por à prova a capacidade das empresas fornecerem dados ao abrigo do RGPD, mas com uma pequena alteração: em vez de pedir os dados referentes a si, pediu os dados referentes a outra pessoa (a sua parceira) - e os resultados foram assustadores.

Para isso bastou criar um endereço de email com parecenças com o da pessoa em questão, e foram muitas as empresas que lhe enviaram toda a informação que tinham sobre a pessoa visada, sem qualquer tentativa de validar a sua identidade. Houve redes de hotéis que indicaram todos os registos de estadia da sua parceira, outra empresa disponibilizou toda a informação que tinha sobre o seu registo académico e registo criminal, e empresas de transportes que também indicaram todas as viagens feitas ao longo de vários anos. Informação que poderia ser bastante problemática caso se tratasse de uma pessoa abusiva em busca da sua ex-companheira, ou um "stalker".

Mas, entre os maus exemplos, existiram também empresas que se portaram bem, exigindo validação adicional da sua identidade, quer através do envio de um documento com fotografia, ou através de uma entrevista telefónica, etc. Mas estes são métodos que potencialmente também poderão ser ultrapassados ou contornados - para não falar do caso de, por vezes, se poderem tratar de situações onde um requerente legítimo não querer fornecer dados adicionais (como o seu cartão do cidadão ou telefone).

Seria conveniente encontrar-se um conjunto de requisitos standard para lidar com este tipo de situações, senão será apenas uma questão de tempo até que se assista ao primeiro caso (conhecido) do RGPD viabilizar o exacto oposto daquilo que era suposto fazer!

2 comentários:

  1. "entre os maus exemplos houveram também empresas"
    O verbo haver não tem plural quando é no sentido de existência.

    Relativamente à notícia já era algo que temia que fosse acontecer. Sempre que o pedido não seja possível de ser feito de forma autenticada o risco de situações de roubo de identidade tornam-se facilmente possíveis.

    ResponderEliminar
  2. O problema não é do RGPD, mas sim das empresas que não validam os pedidos. Acho que é claro.

    ResponderEliminar