Filtración de datos en Malta: La empresa debe revelar la fuente en un plazo de 20 días o se expone a sanciones
La Autoridad Maltesa de Protección de Datos (IDPC) ha tomado medidas decisivas contra C-PLANET, la empresa informática responsable de una filtración de datos de votantes en Malta. Tras una segunda denuncia presentada por noybla IDPC ha ordenado a C-PLANET que revele los detalles concretos relativos a la recogida de datos de ciudadanos malteses en un plazo estricto de 20 días. Si la empresa no cumple esta orden se enfrentará a una multa "disuasoria".
- Entrada del blog: Violación de datos políticos en Malta, C-Planet deniega el derecho de acceso e información
- Decisión del IDPC
Denuncia inicial. En noviembre de 2020, noyb presentó una denuncia contracontra C-PLANET IT Solutions tras una importante filtración de datos que comprometía la información de los votantes en Malta. La filtración expuso datos sensibles, como números de teléfono, fechas de nacimiento, intención de voto y afiliación a partidos de más de 330.000 personas, es decir, casi todos los votantes de Malta.
Decisión inicial del IDPC. En enero de 2020, el IDPC impuso una multa de 65.000 euros a C-PLANET, teniendo en cuenta el grave impacto sobre las personas afectadas y el riesgo sustancial para sus derechos y libertades fundamentales. Además, actualmente está en curso una acción colectiva dirigida por la Fundación Daphne y Repubblika contra C-PLANET.
Fuente de datos no identificada. Depesar de la decisión inicial del IDPC, el origen de los datos sigue siendo desconocido para los denunciantes. La resolución del IDPC no abordó el origen de los datos y suprimió los nombres de los clientes de C-PLANET, de quienes la empresa afirmaba haber obtenido los datos.
"Es preocupante que una empresa privada pueda recopilar en secreto datos sobre opiniones políticas sin tener que explicar sus motivos y métodos, sobre todo en un país de la Unión Europea." -Romain Robert, abogado especializado en protección de datos de noyb
Continúa la falta de transparencia. Tras la primera decisión del IDPC, los votantes malteses fueron de sus datos personales y políticos. En colaboración con noybun afectado presentó una petición formal a C-PLANET, solicitando la divulgación de cualquier información relativa al origen de los datos. Sin embargo, C-PLANET se negó a responder, alegando el cese del tratamiento de los datos y una investigación en curso. En consecuencia, noyb presentó una segunda reclamación ante el IDPC, instando a la autoridad maltesa de protección de datos a imponer a C-PLANET obligaciones de transparencia.
Segunda decisión del IDPC. La decisión del IDPC tiene su origen en la denuncia inicial presentada por noyben la que se acusaba a C-PLANET de infringir el artículo 15 del RGPD. En concreto, C-PLANET no facilitó al denunciante una copia de sus datos personales ni la información pertinente relativa a la infracción y la información pertinente relativa a la base de datos violada. A la luz de estas conclusiones, el IDPC ha ordenado a la empresa informática que entregue al denunciante una copia de sus datos. Además, se exige a C-PLANET que proporcione detalles completos sobre la información recopilada, incluido su origen.
Plazo de cumplimiento. Se ha concedido a C-PLANET un plazoonegociable de 20 días para cumplir la orden del IDPC entregando sin demora la información solicitada al denunciante. Si la empresa no facilita esta información, se enfrentará a una multa "proporcionada y disuasoria" "proporcionada y disuasoria" con arreglo al RGPD, según la decisión del IDPC.
