Em junho de 2018, a Commission Nationale de l'Informatique et des Libertés - Autoridade francesa de Proteção de Dados (“CNIL”) aplicou uma coima de €250.000 euros à empresa francesa Optical Center por não ter assegurado os dados pessoais dos seus clientes.
Ao que tudo indica, a aplicação elevada do valor da coima deveu-se ao facto da empresa francesa já ter sido sancionada em 2015 por uma falha de segurança.
Passados três anos, a Optical Center, não tinha implementado uma funcionalidade que exigisse que os clientes se conectassem ao seu espaço pessoal através de uma área reservada. Consequentemente, todos os clientes podiam ter acesso a mais de 300 mil documentos de quaisquer outros clientes, principalmente faturas, ao inserir URLs na barra de endereço de internet.
Este data breach foi qualificado como crítico, pois permitia que todos os clientes tivessem acesso a faturas de outros clientes, como por exemplo, o nome e apelido, morada, número de segurança social e data de nascimento e ainda dados de saúde, considerados pelo Regulamento de Proteção de Dados (“RGPD”) como dados pessoais sensíveis e que, por isso necessitam de uma proteção ainda mais reforçada.
A CNIL também explicou que a publicação da sua decisão foi necessária pois o número de data breaches aumentou substancialmente nos últimos anos, o que revela a necessidade de aumentar a consciencialização. Para tal, a lei francesa (Lei n ° 2016-1321 de 7 de outubro de 2016) antecipou-se ao RGPD a esse respeito, aumentando, assim, o valor máximo das coimas de €150.000 para €3.000.000 (três milhões de euros).
Sendo que, a este caso foi aplicada a Lei francesa, para casos futuros em que se aplicará o RGPD, as coimas máximas poderão atingir até 4% do total da faturação anual ou 20 milhões de euros.