As autoridades de ciberseguridad de Chinesa têm imposto uma multa à reconhecida marca de luxo Dior. O motivo: transferir dados pessoais de seus clientes no país asiático a sua sede central no França sem contar com a autorização apropriada, num claro incumprimento da legislação local.
O Centro Nacional de Informação sobre Ciberseguridad de Chinesa confirmou a "multa administrativa" contra a filial de Christian Dior em Shanghái através de um comunicado na rede social WeChat. Ainda que não se revelou a quantia exata da sanção, a medida sublinha a seriedade com a que o governo chinês está a aplicar sua Lei de Protecção de Dados Pessoais.
A origem: uma filtragem de dados em maio
A investigação que tem culminado nesta sanção se iniciou no passado mês de maio. Naquele momento, múltiplos meios de comunicação informaram sobre uma possível filtragem de dados que afectava à assinatura. Como consequência, os próprios clientes de Dior em Chinesa continental começaram a receber mensagens de advertência da companhia, o que activou os alarmes dos reguladores.
Segundo o organismo chinês, a investigação concluiu que Dior incorreu em várias faltas graves:
- Não seguiu os processos legais estabelecidos pela lei chinesa para remeter informação pessoal ao estrangeiro.
- Não informou adequadamente a seus clientes sobre a transferência de seus dados.
- Não implementou medidas de segurança essenciais, como a encriptação da informação sensível transferida.
Que dados de Dior foram expostos?
Depois da filtragem de maio, Dior emitiu um comunicado para aclarar a natureza dos dados afectados. A companhia assegurou que a informação comprometida não incluía dados financeiros, como números de cartões de crédito ou contas bancárias.
Os dados expostos limitavam-se a:
- Nomes
- Sexo
- Detalhes de contacto (telefone, e-mail)
- Nível de despesas e preferências de compra
Nesse momento, a marca recomendou a seus clientes manter-se alerta ante possíveis correios eletrónicos ou enlaces fraudulentos que pudessem utilizar esta informação para suplantar sua identidade.
Chinesa e sua GDPR: uma advertência para as multinacionais
Este caso serve como uma séria advertência para todas as empresas internacionais que operam em Chinesa. A Lei de Protecção de Dados Pessoais (PIPL), que entrou em vigor em 2021, é considerada o equivalente à estrita normativa GDPR de Europa. Afecta a qualquer dado gerado em território chinês e estabelece regras muito claras sobre seu tratamento e transferência.
"Quem processem dados pessoais deveriam tomar-se este caso como uma lição e cumprir com os princípios de legalidade, legitimidade, necessidade e boa fé", adverte o comunicado oficial das autoridades chinesas, deixando claro que a supervisão sobre o manejo da informação de seus cidadãos será a cada vez mais rigorosa.