De acordo com as deliberações, datadas de 10 de setembro de 2025, a companhia aérea angolana foi sancionada com uma primeira multa de 100.000 dólares (93 mil euros) por não implementar medidas técnicas e organizativas adequadas para proteger os dados pessoais de um passageiro e respetivos familiares, e falhar a obrigação de notificação e de obtenção de autorização prévia para o tratamento de dados de clientes e trabalhadores.
A segunda multa, de 75.000 dólares (70 mil euros), foi aplicada por incumprimento de deveres de proteção de dados de trabalhadores, clientes e fornecedores, nomeadamente contra o ataque cibernético do tipo ‘ransomware’ de 15 de setembro de 2024, que expôs informações a encriptação indevida, indisponibilidade, acesso e divulgação não autorizados.
O ‘ransomware’ é um ataque informático em que criminosos bloqueiam sistemas ou encriptam dados e exigem um pagamento para restaurar o acesso. O comunicado da APD acrescenta que, em abril de 2025, o Banco de Desenvolvimento de Angola (BDA) também foi condenado a pagar 75.000 dólares (70 mil euros) por falhas semelhantes de proteção de dados na sequência de um ataque cibernético registado em fevereiro de 2023.
A agência sublinha que as penalidades aplicadas às duas entidades foram alvo de “atenuação extraordinária”, uma vez que tanto a TAAG como o BDA se mostraram disponíveis para cooperar com a investigação, não tinham antecedentes de infrações na área de proteção de dados e demonstraram empenho na melhoria dos seus processos internos.
