A Agência de Protecção de Dados (APD), entidade pública criada em 2016 para fiscalizar o cumprimento da legislação aplicável à protecção de dados e informações pessoais, anunciou durante a semana a aplicação de multas de 175 mil USD à TAAG e de 75 mil USD ao Banco de Desenvolvimento de Angola (BDA), devido a falhas graves na gestão de informações sobre clientes, fornecedores e trabalhadores das referidas empresas.

No caso da companhia aérea de bandeira, a APD aplicou duas penalizações distintas. A multa equivalente a 100 mil USD é justificada pelo não cumprimento efectivo do "dever de pôr em prática medidas técnicas e organizativas adequadas para proteger os dados pessoais de um passageiro e respectivos familiares" e por "incumprimento da obrigação de notificação e obtenção de autorização prévia da Agência de Protecção de Dados, para o tratamento de dados pessoais dos seus clientes e trabalhadores".

A multa de 75 mil USD resulta do incumprimento efectivo do dever de pôr em prática medidas técnicas e organizativas adequadas, "para proteger os dados pessoais dos seus trabalhadores, clientes e fornecedores da encriptação indevida, indisponibilidade, acesso e divulgação não autorizados, contra o ataque cibernético do tipo ransomware de que foi alvo, no dia 15 de Setembro de 2024".

Este ataque cibernético foi reconhecido pela TAAG, que no seu relatório financeiro de 2024 admite que aquela situação "afectou de forma substancial a infraestrutura tecnológica da empresa, com especial incidência nos sistemas de contabilidade e gestão financeira".

"O incidente teve como consequência imediata a interrupção das actividades contabilísticas correntes, bem como a perda massiva de informação contabilística dos exercícios de 2023 e 2024. O ataque afectou a estrutura de tecnologias de informação da companhia, tendo causado disrupções nos sistemas de gestão e no acesso às pastas de rede corporativas, alojadas no datacenter principal da empresa", explicou a TAAG no último relatório e contas disponível.

Em relação ao Banco de Desenvolvimento de Angola (BDA), a multa de 75 mil USD justifica-se, segundo a APD, por "incumprimento do dever de pôr em prática medidas técnicas, organizativas e de segurança adequadas, para proteger os dados pessoais dos seus colaboradores, contra o ataque cibernético do tipo ransomware, ocorrido no dia 10 Fevereiro de 2023".

As penalidades aplicadas às duas entidades foram atenuadas devido à colaboração das empresas durante o processo e também por não possuírem antecedentes relacionados com a prática de infracções às normas de protecção de dados, segundo a deliberação da APD.