Violazione dei dati a Malta: L'azienda deve rivelare la fonte entro 20 giorni o incorrere in sanzioni
L'Autorità maltese per la protezione dei dati (IDPC) ha intrapreso un'azione decisiva contro C-PLANET, la società informatica responsabile di una violazione dei dati degli elettori a Malta. A seguito di una seconda denuncia presentata da noybl'IDPC ha ordinato a C-PLANET di rivelare i dettagli specifici relativi alla raccolta di dati appartenenti a cittadini maltesi entro un termine perentorio di 20 giorni. Se l'azienda non rispetterà l'ordine, dovrà pagare una multa "dissuasiva".
- Blog post: Violazione dei dati politici a Malta, C-Planet rifiuta il diritto di accesso e di informazione
- Decisione dell'IDPC
Reclamo iniziale. Nel novembre 2020, noyb ha presentato un reclamo controcontro C-PLANET IT Solutions a seguito di una significativa fuga di dati che ha compromesso le informazioni sugli elettori a Malta. La violazione ha esposto dettagli sensibili, tra cui numeri di telefono, date di nascita, intenzioni di voto e affiliazioni partitiche di oltre 330.000 persone, quindi quasi tutti gli elettori di Malta.
Decisione iniziale dell'IDPC. Nel gennaio 2020, l'IDPC ha imposto una multa di 65.000 euro a C-PLANET, tenendo conto del grave impatto sulle persone interessate e del rischio sostanziale per i loro diritti e libertà fondamentali. Inoltre, è attualmente in corso un'azione collettiva condotta dalla Fondazione Daphne e da Repubblika contro C-PLANET.
Fonte di dati non identificata. Nonostantenonostante la decisione iniziale dell'IDPC, l'origine dei dati rimane sconosciuta ai ricorrenti. La sentenza dell'IDPC non ha affrontato la questione dell'origine dei dati e ha cancellato i nomi dei clienti di C-PLANET, dai quali la società ha affermato di aver ottenuto i dati.
"È preoccupante che un'azienda privata possa raccogliere segretamente dati sulle opinioni politiche senza dover spiegare le proprie motivazioni e i propri metodi, in particolare all'interno di un Paese dell'Unione Europea"." -Romain Robert, avvocato specializzato in protezione dei dati presso noyb
Continua mancanza di trasparenza. In seguito alla prima decisione dell'IDPC, gli elettori maltesi sono stati maltese sono stati maltesi erano ancora all'oscuro della fonte originaria dei loro dati personali e politici. In collaborazione con noybuna persona interessata ha presentato una richiesta formale a C-PLANET, chiedendo la divulgazione di qualsiasi informazione relativa all'origine dei dati. Tuttavia, il C-PLANET si è rifiutato di fornire una risposta, adducendo la cessazione del trattamento dei dati e un'indagine in corso. Di conseguenza, noyb ha presentato un secondo reclamo all'IDPC, chiedendo all'autorità maltese per la protezione dei dati di imporre a C-PLANET l'obbligo di trasparenza.
Seconda decisione dell'IDPC. La decisione dell'IDPC deriva dal reclamo iniziale presentato da noybche accusava C-PLANET di aver violato l'articolo 15 del GDPR. In particolare, C-PLANET non ha fornito al reclamante una copia dei suoi dati personali e le informazioni pertinenti relative all'articolo 15 del GDPR dati personali e le informazioni pertinenti relative al database violato. Alla luce di queste risultati, l'IDPC ha ha imposto alla società informatica di fornire al denunciante una copia dei suoi dati. Inoltre, C-PLANET è tenuta a fornire dettagli completi sulle informazioni raccolte, compresa la loro origine.
Termine di conformità. A C-PLANET è stato concesso untermine negoziabile di 20 giorni per ottemperare all'ordine dell'IDPC, consegnando tempestivamente le informazioni richieste al denunciante. Se l'azienda non riuscirà a fornire queste informazioni, dovrà pagare una multa che sia "proporzionata e dissuasiva" ai sensi del GDPR, secondo la decisione dell'IDPC.