All'inizio di maggio 2024, il Parlamento europeo ha informato il proprio personale di una massiccia violazione dei dati nella piattaforma di reclutamento dell'istituzione (chiamata "PEOPLE"). La violazione ha riguardato i dati personali di oltre 8.000 dipendenti. Si trattava di carte d'identità e passaporti, estratti del casellario giudiziario, documenti di soggiorno e persino dati sensibili come i certificati di matrimonio che rivelano l'orientamento sessuale di una persona. Il Parlamento ha scoperto la violazione solo mesi dopo il suo verificarsi e non sembra ancora conoscerne la causa. Questo è particolarmente preoccupante perché il Parlamento è da tempo consapevole delle vulnerabilità del suo sistema di sicurezza informatica. Le istituzioni dell'UE sono naturalmente in cima alla lista degli hacker e degli avversari stranieri. noyb ha presentato due reclami al Garante europeo della protezione dei dati per conto di quattro dipendenti del Parlamento.
I dati di tutti i candidati in un unico posto. Per potersi candidare a un posto di lavoro al Parlamento europeo, è necessario registrarsi sulla piattaforma di reclutamento PEOPLE. Qui i candidati forniscono all'istituzione una serie di dati personali. Si tratta di carte d'identità e passaporti, documenti di residenza e d'istruzione, ma anche di dati sensibili come estratti del casellario giudiziario e certificati di matrimonio che possono rivelare il vostro orientamento sessuale. Per questo è ancora più importante che il Parlamento europeo adotti le opportune misure di sicurezza per proteggere questi dati dall'accesso di terzi.
Migliaia di persone colpite dalla violazione dei dati. Il 26 aprile 2024, il Parlamento europeo ha informato il Garante europeo della protezione dei dati (GEPD) di una massiccia violazione dei dati di PEOPLE, che ha colpito più di 8.000 dipendenti attuali ed ex. Non è ancora chiaro quando e come si sia verificata la violazione dei dati, ma alle persone interessate è stato comunicato che ogni singolo documento caricato su PEOPLE è stato compromesso. Il 31 maggio, il Parlamento ha consigliato alle persone interessate di sostituire i loro documenti d'identità e passaporti come misura precauzionale e si è offerto di rimborsare loro i costi. Al momento della presentazione di questa denuncia, non è ancora chiaro per quanto tempo gli aggressori abbiano potuto accedere ai dati personali dei richiedenti.
Lorea Mendiguren, Avvocato per la protezione dei dati personali presso noyb: "Questa violazione arriva dopo i ripetuti incidenti di cybersicurezza che hanno colpito le istituzioni dell'UE nell'ultimo anno. Il Parlamento ha l'obbligo di garantire misure di sicurezza adeguate, dato che i suoi dipendenti sono probabili bersagli di malintenzionati"
Vulnerabilità note della sicurezza informatica. Questo incidente è particolarmente preoccupante, perché il Parlamento è da tempo consapevole delle vulnerabilità della sicurezza informatica: Nel novembre 2023, il dipartimento informatico del Parlamento ha condotto una revisione della sicurezza informatica - e ha concluso che la sicurezza informatica dell'istituzione "non è ancora conforme agli standard del settore" e che le misure esistenti non erano "non sono pienamente in linea con il livello di minaccia" di hacker sponsorizzati da uno Stato. Non solo, ma la violazione di PEOPLE si è verificata in concomitanza con una serie di altri attacchi informatici alle istituzioni dell'UE. Gruppi di hacker russi hanno attaccato il sito web del Parlamento nel novembre 2022 e numerosi governi europei nell'autunno 2023. Nel febbraio 2024, il Parlamento ha subito un'altra violazione nella sua sottocommissione per la sicurezza e la difesa, quando due eurodeputati e un membro del personale hanno trovato uno spyware israeliano sui loro dispositivi.
Max Schrems, presidente di noyb: "Come cittadino dell'UE, è preoccupante che le istituzioni europee siano ancora così vulnerabili agli attacchi. Avere informazioni di questo tipo in giro non è solo spaventoso per le persone colpite, ma può anche essere usato per influenzare le decisioni democratiche"
Molti più dati del necessario. La violazione dei dati rivela anche che il Parlamento non rispetta i requisiti di minimizzazione e conservazione dei dati previsti dal GDPR. Articolo 4, paragrafo 1, lettera c) DEL GDPR richiede alle istituzioni dell'UE di trattare solo dati "adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali sono trattati". Ciononostante, il periodo di conservazione dei file di assunzione del Parlamento europeo è di 10 anni. Ciò è ancora più preoccupante se si considera che questi file contengono anche dati sensibili protetti dall'articolo 9, che possono rivelare l'etnia, le opinioni politiche, le convinzioni religiose o l'orientamento sessuale delle persone. In questo caso, una denunciante ha caricato sul portale una copia del suo certificato di matrimonio. In questo modo è stato possibile determinare il suo orientamento sessuale.
Max Schrems, presidente di noyb: "La violazione dimostra anche che, semplicemente sbarazzandosi in tempo dei dati personali, si sarebbe potuto limitare l'impatto della violazione"
Due reclami al GEPD. noyb ha presentato due reclami al Garante europeo della protezione dei dati (GEPD) per conto dei dipendenti. Il GEPD è l'autorità responsabile delle violazioni della protezione dei dati da parte delle istituzioni dell'UE. Sembra che il Parlamento europeo abbia violato l'articolo 4, paragrafo 1, lettere c) e f), e l'articolo 33, paragrafo 1, del GDPR. Inoltre, nel caso di un denunciante, il Parlamento ha rifiutato una richiesta di cancellazione presentata dopo la violazione, adducendo il periodo di conservazione di 10 anni, nonostante le preoccupazioni del denunciante in considerazione della violazione e del fatto che non lavorava più lì da diversi anni. noyb chiede al GEPD di utilizzare i suoi poteri correttivi per ordinare al Parlamento di rendere conforme il suo trattamento. Inoltre, noyb suggerisce che il GEPD imponga un'adeguata sanzione amministrativa per prevenire violazioni simili in futuro.