MGM pagará US$ 45 milhões em acordo de ação coletiva por violações de dados

Nos Estados Unidos, um tribunal deu aprovação preliminar ao acordo de US$ 45 milhões (cerca de R$ 225 milhões) em uma ação coletiva contra a MGM Resorts International por duas grandes violações de dados que expuseram as informações pessoais de milhões de clientes. 

As violações, que ocorreram em 2019 e 2023, impactaram aproximadamente 37 milhões de indivíduos e destacaram vulnerabilidades nas práticas de segurança de dados da empresa.  

O processo, aberto no Tribunal Distrital dos EUA de Nevada, combinou reivindicações de dois incidentes separados. A primeira violação em julho de 2019 envolveu um hacker roubando dados confidenciais, como números de carteira de motorista, detalhes de passaporte e endereços de clientes. 

Quatro anos depois, em setembro de 2023, um ataque de ransomware teve como alvo os sistemas da MGM, interrompendo as operações do hotel e deixando as máquinas de jogos offline por vários dias durante a movimentada temporada de verão. O ataque também comprometeu as informações dos clientes e custou à operadora do resort cerca de US$ 100 milhões.  

O acordo, se finalizado, fornecerá compensação aos indivíduos afetados. Clientes cujos números de Seguro Social ou números de identificação militar foram roubados são elegíveis para pagamentos de US$ 75, enquanto aqueles cujas informações de passaporte ou carteira de motorista foram comprometidas podem reivindicar US$ 50. 

Todos os membros da classe podem optar por proteção contra roubo de identidade e serviços de monitoramento de crédito. Além disso, indivíduos que conseguirem provar danos específicos causados ​​pelas violações podem ser elegíveis para reivindicar até US$ 15 mil.

“Em nome de milhões de clientes do MGM Resort, estou muito satisfeito com este acordo”, disse Douglas J. McNamara, Co-Lead Interim Class Counsel e sócio da Cohen Milstein. “Os setores de hotelaria e entretenimento são alvos particularmente desejáveis ​​para hackers. Os mesmos hackers também atacaram a Caesars Entertainment em 2023.”

O processo acusou a MGM de não implementar medidas adequadas de segurança de dados, deixando seus sistemas vulneráveis ​​a ataques cibernéticos. As violações também atraíram o escrutínio de reguladores federais. A Federal Trade Commission (FTC) começou a investigar a atuação da MGM no ataque cibernético de 2023, emitindo uma demanda investigativa civil à empresa. 

Mais tarde, a MGM entrou com um processo contra a FTC, alegando que a agência violou seus direitos da Quinta Emenda e aplicou incorretamente as regras destinadas a instituições financeiras.  

O acordo visa resolver os desafios legais decorrentes das violações, mas a MGM ainda pode enfrentar consequências regulatórias. A aprovação final do acordo é esperada para junho.  

Em uma declaração à Comissão de Valores Mobiliários dos EUA em outubro de 2023, a MGM revelou que prevê que a cobertura de seguro compensará o impacto financeiro dos ataques. No entanto, os danos à reputação e as interrupções operacionais causadas pelas violações ressaltam os riscos crescentes que as empresas enfrentam.  

O acordo também inclui disposições para honorários advocatícios, com os advogados do autor autorizados a solicitar até 30% do fundo de US$ 45 milhões.