Quatro grupos políticos enviaram cartas ao Presidente do Parlamento Europeu solicitando mais detalhes, ações e “responsabilidades” relacionadas a uma recente violação de dados que afetou uma quantidade significativa de dados pessoais de funcionários, incluindo passaportes.
Três dos grupos, os Verdes, A Esquerda e Renovar, pediram que o assunto fosse discutido na próxima reunião do Bureau do Parlamento, agendada para 24 de junho, nas cartas vistas pela Euractiv. O Bureau é o órgão responsável por questões administrativas que estabelece as regras.
Os Socialistas (S&D) argumentaram na sua carta que “parece necessária uma discussão geral sobre o tratamento deste tipo de dados, bem como sobre as responsabilidades do Parlamento Europeu em caso de danos causados”.
O grupo liberal Renew Europe também está exigindo que o Parlamento “ofereça aos funcionários uma proteção contra roubo de identidade ou um seguro contra o uso indevido de seus dados”.
As cartas, enviadas em 27 de maio, foram assinadas pelos presidentes e vice-presidentes dos Greens, The Left, Renew e S&D. Eles levantaram questões sobre como o Parlamento lidou com o incidente e pediram mais informações sobre o progresso atual e os próximos passos para garantir a aplicação.
“Uma análise interna para ver como os sistemas e processos podem continuar a ser reforçados e garantir maior proteção contra ameaças híbridas está em vigor”, disse um porta-voz do PE à Euractiv quando questionado sobre as cartas.
Em 6 de maio, o departamento de RH do Parlamento enviou um e-mail à equipe notificando-os sobre uma “violação de dados” que eles descobriram em 25 de abril. Ela datava do “início de 2024”, dizia o e-mail.
O problema foi descoberto por meio de verificações feitas pela equipe de segurança cibernética do PE, disseram porta-vozes à Euractiv.
O Parlamento notificou a Autoridade Europeia para a Proteção de Dados (EDPS), a autoridade responsável por vazamentos de informações de instituições da UE, dentro de 72 horas, conforme especificado no regulamento relevante, disse um porta-voz da EDPS à Euractiv.
O incidente é coberto por EUDPRum regulamento de proteção de dados semelhante ao GDPR, o regulamento geral de privacidade de dados da UE, mas aplicável às instituições da UE.
Implicações legais
O parlamento é obrigado a informar o titular dos dados “sem demora indevida” sobre a violação. “A comunicação deve descrever a natureza da violação de dados pessoais, bem como recomendações para a pessoa física em questão para mitigar potenciais efeitos adversos”, afirma o regulamento.
Detalhes sobre os dados vazados só foram revelados à equipe em 22 de maio e uma pessoa de contato foi nomeada posteriormente, disse o porta-voz do Parlamento.
Os funcionários afetados foram aconselhados a trocar seus passaportes e IDs em 30 de junho, quase um mês após a comunicação inicial. O Parlamento disse em seu e-mail que reembolsaria os custos relacionados.
O fato de a comunicação ter ocorrido em ondas pode indicar que “eles foram excessivamente cautelosos e queriam estar um passo à frente em termos de informar o titular dos dados e ser transparentes”, disse Claude-Etienne Armingaud, sócio do escritório de advocacia K&L Gates, que se concentra em privacidade e direito tecnológico.
O advogado identificou quatro possíveis pontos de falha que, se confirmados, poderiam justificar uma possível ação da autoridade de proteção de dados: uma falha de segurança, uma quantidade injustificada de dados coletados ou por um período de tempo injustificado, ou uma comunicação incompleta ao titular dos dados.
Como este é um caso de grande repercussão, é provável que seja acompanhado pelo EDPS, disse Armingaud.
Em outro caso, a AEPD concluiu que a Comissão Europeia violou as regras de proteção de dados durante o uso de produtos do Microsoft Office em março.
(Editado por Eliza Gkritsi/Zoran Radosavljevic)
Leia mais com Euractiv