Após apagão, CrowdStrike pode ter um problema “continental” nas mãos
Embora a empresa já esteja sendo alvo de críticas, especialistas afirmam que ela pode também ter violado as leis de proteção de dados da União Europeia
Há exatamente uma semana, uma enorme falha da CrowdStrike fez com que 8,5 milhões de computadores Windows exibissem a temida “tela azul da morte”, afetando tudo, desde hospitais e companhias aéreas até bancos e metrôs.
Estima-se que os prejuízos dessa paralisação possam chegar a trilhões de dólares. Mesmo após a empresa lançar uma atualização para corrigir o problema, ela ainda está longe de se ver livre das consequências do incidente.
Além das inevitáveis ações coletivas que provavelmente enfrentará nos EUA devido à interrupção, ainda pode ser responsabilizada no Reino Unido e na União Europeia por possíveis violações do Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), que impõe limites sobre como as empresas podem coletar dados sem o consentimento dos usuários. As multas podem chegar a 4% da receita global de uma companhia.
“Ninguém discute que grandes quantidades de dados pessoais foram afetadas no incidente da CrowdStrike. As perguntas que serão feitas nos próximos meses vão focar nos danos causados aos indivíduos em questão e quem – se alguém – será responsabilizado”, analisa Jon Baines, especialista em proteção de dados do escritório de advocacia Mishcon de Reya, em Londres.
Baines sugere que, em teoria, é possível que as organizações afetadas pela paralisação tenham violado as regras de proteção ao impedir que as pessoas acessassem seus dados pessoais. Normalmente, as empresas precisam relatar qualquer violação ao GDPR. Mas se essas organizações precisariam ter relatado esses problemas neste caso ainda é incerto.
No Twitter (atual X), especialistas em dados debatem de quem é a responsabilidade e como a CrowdStrike deve compensar o prejuízo. O advogado de compliance e tecnologia Jonathan Armstrong postou que "os dados não precisam ser exfiltrados para serem reportáveis sob o GDPR. Se você não pode acessá-los por um período de tempo, isso também deve ser reportado.”
As perguntas que serão feitas nos próximos meses vão focar nos danos causados às pessoas e se alguém será responsabilizado.
Outros, incluindo o especialista em proteção de dados Pat Walshe, sugerem que a alegação da empresa de que o problema não foi um “incidente de segurança” está errada e que o GDPR pode ser aplicado. Um terceiro especialista, Daragh O Brien, disse que reportou isso como uma violação do artigo 32 do regulamento, que trata da segurança do processamento de dados pessoais.
Em teoria, o incidente causou o que, nos termos do GDPR, poderia ser classificado como uma “violação de dados pessoais”. A perda de acesso é a razão pela qual alguns especialistas acreditam que a CrowdStrike, ou seus clientes, podem ser responsabilizados. A empresa não respondeu quando procurada pela Fast Company.
Mas pode ser difícil determinar se realmente houve uma violação. “Alguns podem argumentar que claramente houve uma ‘violação de dados pessoais’ devido ao efeito cascata, outros podem não considerar que o limiar da definição foi atingido na origem”, escreveu a especialista em proteção de dados e privacidade digital Rowenna Fielding no LinkedIn.
O problema é que a letra da lei e o espírito da lei são duas coisas diferentes. “O propósito e a intenção do GDPR é proteger os direitos e liberdades das pessoas”, observa Fielding. “Na medida em que o processamento de dados pessoais foi interrompido pelo incidente e resultou em danos e/ ou direitos afetados, há uma ‘questão de GDPR’ – mas não necessariamente uma violação.”
Também não está claro se a empresa seria responsável sob a lei. “A CrowdStrike não era nem controladora nem processadora dos dados pessoais que foram tornados inacessíveis no incidente”, argumenta Stewart Duffy, diretor jurídico da empresa global de cibersegurança CyXcel. “A responsabilidade será contratual – para os controladores e processadores que a contrataram diretamente.”
