L’organizzazione noyb, fondata dal noto avvocato Max Schrems, ha presentato due denunce contro il Parlamento europeo per la violazione del GDPR (Regolamento generale sulla protezione dei dati), in seguito al data breach avvenuto all’inizio dell’anno. Sfruttando le sue vulnerabilità, ignoti cybercriminale sono riusciti ad accedere alla piattaforma di reclutamento PEOPLE.
Due denunce per conto di quattro dipendenti
Per presentare la candidatura per un posto di lavoro al Parlamento europeo è necessario effettuare la registrazione alla piattaforma PEOPLE. I candidati devono inserire numerosi dati personali, tra cui carte d’identità, passaporti, documenti di residenza e d’istruzione, estratti del casellario giudiziario e certificati di matrimonio.
Il Parlamento ha comunicato al Garante europeo della protezione dei dati (26 aprile 2024) di aver subito un accesso non autorizzato alla piattaforma PEOPLE. Sono stati compromessi tutti i dati di oltre 8.000 dipendenti (attuali e ex). Circa un mese dopo (31 maggio 2024), il Parlamento ha suggerito alle persone interessate di sostituire i documenti d’identità e i passaporti, promettendo il rimborso delle spese.
L’organizzazione noyb sottolinea che le vulnerabilità della piattaforma erano note da novembre 2023. Nonostante ciò non è stata adottata nessuna misura per prevenire il data breach. Il Parlamento non rispetta nemmeno i requisiti di minimizzazione e conservazione dei dati previsti dal GDPR, in quanto i dati vengono conservati per 10 anni.
L’organizzazione noyb ha quindi presentato al Garante europeo due denunce per conto di quattro dipendenti, chiedendo di imporre il rispetto del GDPR e una sanzione amministrativa. Il 16 novembre 2023 era stata presentata una denuncia anche contro la Commissione europea.