Prima amendă GDPR dată în Italia vizează partidele politice

Garante, Autoritatea de Supraveghere italiană, a aplicat prima amendă GDPR în cuantum de 50.000 euro așa-zisei platforme Rousseau prin care operează website-urile partidului Mișcarea Cinci Stele.

Motivul: lipsa implementării unor măsuri de securitate adecvate, în urma unei breșe de securitate.

În contextul alegerilor europarlamentare, activitatea partidelor politice vizează în mod direct datele cu caracter personal ale cetățenilor:

  • nume, prenume;
  • adresă de domiciliu sau alte locații în care ne desfășurăm activitatea, poate în străinătate, date importante pentru ziua alegerilor, bineînțeles!
  • vârsta, este subliniat în mass-media deseori faptul că studenții au preferințe politice diferite de pensionari;
  • ocupație, dacă sunt angajați în sistemul public sau într-o multinațională!

Situații de acest gen se petrec în toată Uniunea Europeană, astfel că recent am putut afla despre platforma numită Rousseau care susținea activitatea website-urilor afiliate partidului politic Mișcarea Cinci Stele (operator) în calitate de persoană împuternicită.

Ca urmare a unei breșe de securitate petrecută în vara anului 2017, persoana împuternicită nu a luat măsurile tehnice și organizatorice adecvate, încălcând astfel art. 32 al GDPR. Astfel, Garante constată că:

  • s-au fost folosite sisteme de operare vechi, neactualizate, nesecurizate suficient
  • nu s-a realizat o evaluare de risc periodică;
  • sistemul nu a fost securizat suficient:
    • ar fi fost necesară adoptarea unor parole puternice,
    • au lipsit protocoale securizate și certificate digitale pentru protejarea datelor aflate în tranzit;
  • nu s-au luat măsuri eficiente de anonimizare a datelor;
  • administratorii platformei au avut un acces mult prea larg la datele utilizatorilor, la categorii speciale de date precum opiniile politice!

Pentru aceste încălcări, Garante a aplicat o amendă de 50.000 euro!

Deși breșa de securitate s-a petrecut înainte de 25 mai 2018, Autoritatea a considerat că GDPR este aplicabil și amenda a fost dată sub incidența Regulamentului. Cazul este cu atât mai interesant cu cât Autoritatea nu a considerat că operatorul de date este responsabil pentru acțiunile întreprinse (sau lipsa acestora) de către persoana împuternicită!

Leave a Reply