Após uma grande violação do sistema de recrutamento do Parlamento Europeu em abril de 2024, quando informações pessoais confidenciais foram expostas, a ONG de direitos digitais Nyob entrou com duas queixas legais por supostas violações da lei de proteção de dados na quinta-feira (22 de agosto) contra o instituto da UE.
Em maio, o Parlamento disse que sofreu uma violação de dados em seu aplicativo de recrutamento, PEOPLE, usado para contratar funcionários temporários. A violação foi confirmada como tendo ocorrido em abril, quando dados pessoais sensíveis foram expostos, como documentos de identidade, antecedentes criminais e experiência de trabalho.
Preocupações foram levantadas na época, sobre a notificação atrasada e o potencial uso indevido dos dados comprometidos. O Parlamento recomendou que os indivíduos afetados substituíssem suas identidades e passaportes como precaução, oferecendo-se para cobrir os custos associados.
Agora, a ONG Noyb, Centro Europeu para os Direitos Digitais, apresentou duas queixas com a Autoridade Europeia para a Proteção de Dados (EDPS) em nome de quatro funcionários do Parlamento, observando que os dados de mais de 8.000 funcionários foram afetados, incluindo os dados de antigos funcionários.
“Como cidadão da UE, é preocupante que as instituições da UE ainda sejam tão vulneráveis a ataques. Ter essas informações circulando não é apenas assustador para os indivíduos afetados, mas também pode ser usado para influenciar decisões democráticas”, disse Max Schrems, ativista e presidente do Noyb.
Em maio, o EDPS confirmou à Euractiv que havia sido notificado sobre a violação em menos de 72 horas, a partir do momento em que o parlamento tomou conhecimento dela.
As reclamações
Nyob acredita que a violação destaca a não conformidade do parlamento com os requisitos de minimização e retenção de dados do Regulamento Geral de Proteção de Dados (GDPR).
As regras de minimização de dados do GDPR exigem que as organizações coletem e retenham a quantidade mínima de dados pessoais, necessária para um propósito específico. O requisito de retenção define limites sobre quanto tempo esses dados podem ser armazenados, garantindo que não sejam mantidos por mais tempo do que o necessário.
Uma das queixas legais envolve a recusa do parlamento em apagar dados após a violação, citando uma política de retenção de 10 anos, apesar das preocupações do reclamante e do fato de que ele não trabalhava na instituição da UE há anos.
A ONG também instou a AEPD a usar seus poderes corretivos para colocar o instituto da UE em conformidade e impor uma multa administrativa para evitar futuras violações.
De acordo com o GDPR, os dados devem ser processados somente quando necessário e relevante, de acordo com Noyb. O período de retenção de 10 anos dos arquivos de recrutamento do parlamento excede esse padrão, o que levanta preocupações.
Especialmente porque esses arquivos podem incluir dados sensíveis que devem ser protegidos pelo GDPR, incluindo; etnia, opiniões políticas e orientação sexual. Por exemplo, um dos reclamantes legais destaca que uma certidão de casamento carregada revelou inadvertidamente a orientação sexual de um membro da equipe, aponta a ONG.
De acordo com Noyb, o hack é especialmente preocupante, dadas as conhecidas fraquezas de segurança cibernética do parlamento. Uma revisão de novembro de 2023 descobriu que suas defesas estavam abaixo dos padrões da indústria e não estavam totalmente alinhadas com as ameaças de hackers patrocinados pelo estado.
A violação do PEOPLE faz parte de uma série de ataques cibernéticos, incluindo hacks russos em 2022 e 2023, e israelense spyware descoberto em dispositivos de membros do Parlamento Europeu no início de 2024.
(Editado por Rajnish Singh)
Leia mais com Euractiv