Garante, Autoritatea de Supraveghere italiană, a aplicat prima amendă GDPR în cuantum de 50.000 euro așa-zisei platforme Rousseau prin care operează website-urile partidului Mișcarea Cinci Stele.
Motivul: lipsa implementării unor măsuri de securitate adecvate, în urma unei breșe de securitate.
În contextul alegerilor europarlamentare, activitatea partidelor politice vizează în mod direct datele cu caracter personal ale cetățenilor:
- nume, prenume;
- adresă de domiciliu sau alte locații în care ne desfășurăm activitatea, poate în străinătate, date importante pentru ziua alegerilor, bineînțeles!
- vârsta, este subliniat în mass-media deseori faptul că studenții au preferințe politice diferite de pensionari;
- ocupație, dacă sunt angajați în sistemul public sau într-o multinațională!
Situații de acest gen se petrec în toată Uniunea Europeană, astfel că recent am putut afla despre platforma numită Rousseau care susținea activitatea website-urilor afiliate partidului politic Mișcarea Cinci Stele (operator) în calitate de persoană împuternicită.
Ca urmare a unei breșe de securitate petrecută în vara anului 2017, persoana împuternicită nu a luat măsurile tehnice și organizatorice adecvate, încălcând astfel art. 32 al GDPR. Astfel, Garante constată că:
- s-au fost folosite sisteme de operare vechi, neactualizate, nesecurizate suficient
- nu s-a realizat o evaluare de risc periodică;
- sistemul nu a fost securizat suficient:
- ar fi fost necesară adoptarea unor parole puternice,
- au lipsit protocoale securizate și certificate digitale pentru protejarea datelor aflate în tranzit;
- nu s-au luat măsuri eficiente de anonimizare a datelor;
- administratorii platformei au avut un acces mult prea larg la datele utilizatorilor, la categorii speciale de date precum opiniile politice!
Pentru aceste încălcări, Garante a aplicat o amendă de 50.000 euro!
Deși breșa de securitate s-a petrecut înainte de 25 mai 2018, Autoritatea a considerat că GDPR este aplicabil și amenda a fost dată sub incidența Regulamentului. Cazul este cu atât mai interesant cu cât Autoritatea nu a considerat că operatorul de date este responsabil pentru acțiunile întreprinse (sau lipsa acestora) de către persoana împuternicită!