A principios de mayo de 2024, el Parlamento Europeo informó a su personal de una violación masiva de datos en la plataforma de contratación de la institución (llamada "PEOPLE"). La violación afectó a los datos personales de más de 8.000 empleados. Entre ellos figuraban documentos de identidad y pasaportes, extractos de antecedentes penales, documentos de residencia e incluso datos sensibles como certificados de matrimonio que revelan la orientación sexual de una persona. El Parlamento no se enteró de la filtración hasta meses después de que se produjera, y aún no parece conocer la causa. Esto es especialmente preocupante, ya que el Parlamento es consciente desde hace tiempo de las vulnerabilidades de su sistema de ciberseguridad. Como es natural, las instituciones de la UE ocupan un lugar destacado en la lista de piratas informáticos y adversarios extranjeros. noyb ha presentado dos denuncias ante el Supervisor Europeo de Protección de Datos en nombre de cuatro empleados del Parlamento.
Los datos de todos los candidatos en un solo lugar. Antes de poder solicitar un puesto de trabajo en el Parlamento Europeo, hay que registrarse en su plataforma de contratación PEOPLE. Allí, los candidatos facilitan a la institución un montón de datos personales. Entre ellos figuran documentos de identidad y pasaportes, documentos de residencia y educación, y también datos sensibles como extractos de antecedentes penales y certificados de matrimonio que pueden revelar su orientación sexual. Por eso es tan importante que el Parlamento Europeo tome las debidas precauciones de seguridad para proteger estos datos del acceso de terceros.
Miles de afectados por la filtración de datos. El 26 de abril de 2024, el Parlamento de la UE informó al Supervisor Europeo de Protección de Datos (SEPD) de una violación masiva de datos en PEOPLE, que afectó a más de 8.000 empleados actuales y antiguos. Aún no está claro cuándo y cómo se produjo realmente la violación de datos, pero se ha comunicado a los afectados que todos y cada uno de los documentos que subieron a PEOPLE. El 31 de mayo, el Parlamento aconsejó a los afectados que sustituyeran sus documentos de identidad y pasaportes como medida de precaución y se ofreció a reembolsarles los gastos. En el momento de presentar esta denuncia, aún no está claro durante cuánto tiempo los atacantes pudieron acceder a los datos personales de los solicitantes.
Lorea Mendiguren, abogada de protección de datos de noyb: "Esta brecha se produce después de repetidos incidentes de ciberseguridad en las instituciones de la UE en el último año. El Parlamento tiene la obligación de garantizar unas medidas de seguridad adecuadas, dado que sus empleados son objetivos probables para los malos actores."
Vulnerabilidades de ciberseguridad conocidas. Este incidente es especialmente preocupante, porque el Parlamento conoce desde hace tiempo las vulnerabilidades en materia de ciberseguridad: En noviembre de 2023, el departamento informático del Parlamento llevó a cabo una revisión de ciberseguridad - y concluyó que la ciberseguridad de la institución "aún no cumple los estándares del sector" y que las medidas existentes "no están totalmente en línea con el nivel de amenaza" que plantean los hackers patrocinados por el Estado. Además, la brecha de PEOPLE coincidió con otros ciberataques a instituciones de la UE. Grupos de piratas informáticos rusos atacaron el sitio web del Parlamento en noviembre de 2022 y a numerosos gobiernos europeos en otoño de 2023. En febrero de 2024, el Parlamento sufrió una brecha diferente en su subcomisión de seguridad y defensa, cuando dos eurodiputados y un miembro del personal encontraron spyware israelí en sus dispositivos.
Max Schrems, Presidente de noyb: "Como ciudadano de la UE, es preocupante que las instituciones europeas sigan siendo tan vulnerables a los ataques. Tener esa información flotando por ahí no sólo asusta a las personas afectadas, sino que también puede utilizarse para influir en las decisiones democráticas."
Muchos más datos de los necesarios La filtración de datos también revela que el Parlamento no está cumpliendo con los requisitos de minimización y retención de datos del GDPR. Artículo 4(1)(c) GDPR DE LA UE exige a las instituciones de la UE que solo traten datos que sean "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se traten". Sin embargo, el periodo de conservación de los expedientes de contratación del Parlamento Europeo es de 10 años. Esto es aún más preocupante si se tiene en cuenta que estos ficheros también contienen datos sensibles especialmente protegidos en virtud del artículo 9, que pueden revelar el origen étnico, las opiniones políticas, las creencias religiosas o la orientación sexual de las personas. En este caso, una denunciante subió al portal una copia de su certificado de matrimonio. Esto permitió determinar su orientación sexual.
Max Schrems, Presidente de noyb: "La filtración también demuestra que deshacerse a tiempo de los datos personales probablemente habría limitado el impacto de la filtración"
Dos reclamaciones ante el SEPD. noyb ha presentado dos reclamaciones ante el Supervisor Europeo de Protección de Datos (SEPD) en nombre de sus empleados. El SEPD es la autoridad responsable de las violaciones de la protección de datos por parte de las instituciones de la UE. Al parecer, el Parlamento de la UE ha infringido el artículo 4, apartado 1, letras c) y f), y el artículo 33, apartado 1, del RGPD de la UE. Además, en el caso de un reclamante, el Parlamento denegó una solicitud de supresión presentada después de la violación, alegando el período de conservación de 10 años, a pesar de las preocupaciones del reclamante dada la violación y el hecho de que no había trabajado allí durante varios años. noyb solicita al SEPD que haga uso de sus competencias correctoras para ordenar al Parlamento que ponga en conformidad su tratamiento. Además noyb sugiere que el SEPD imponga una multa administrativa adecuada para evitar infracciones similares en el futuro.
