Online le preferenze politiche dei cittadini, l’autorità per la protezione dei dati sanziona una società informatica
A seguito di una denuncia da parte della ong noyb, il cui è fondatore è l’attivista Max Schrems, l’Autorità Garante per la protezione dei dati di Malta (Information & Data Protection Commissioner) ha inflitto una sanzione di 65.000 euro alla C-Planet, una società del settore informatico che aveva raccolto illegalmente i dati personali del 98% degli elettori maltesi, comprese le loro preferenze politiche, senza adottare adeguate misure di protezione dei dati. Successivamente la C-Planet non aveva neanche comunicato una violazione dei dati né agli utenti né all’autorità di controllo.
Nel novembre 2020, la noyb aveva presentato una denuncia contro la C-Planet IT Solutions, società che nell’aprile dello stesso anno si era resa responsabile di un data breach in cui un’enorme quantità di dati degli elettori maltesi erano stati divulgati online. Le informazioni personali trapelate includevano numeri di telefono, date di nascita, intenzioni di voto e tendenze di partito di oltre 330.000 persone.
L’autorità per la protezione dei dati (IDPC) aveva riscontrato che i dati erano stati trattati senza alcuna valida base giuridica ai sensi degli articoli 6 e 9 del Regolamento generale sulla protezione dei dati (GDPR), appurando che l’identificatore numerico contenuto in un campo del database si riferiva alle opinioni politiche degli interessati, nella fattispecie "1" indicava che l'elettore era considerato un sostenitore laburista, mentre "2" indicava che l'elettore era incline al partito nazionalista. Tutte informazioni che rientrano nelle “categorie di dati particolari” ai sensi del GDPR, e che secondo lo stesso Regolamento possono essere trattati solo in casi eccezionali.
La C-Planet aveva sostenuto che i dati erano stati forniti da uno dei loro clienti, tuttavia quest’ultimo aveva respinto le accuse. Secondo quanto si apprende dal Time of Malta, il proprietario della C-Planet sarebbe cognato di un politico ex presidente del partito laburista, e questo aspetto potrebbe in parte spiegare l’origine dei dati sugli orientamenti politici degli interessati che erano detenuti illecitamente dalla società informatica maltese.
"Mentre la decisione adottata dimostra che l’autorità ha ben compreso la gravità del caso, ciò che è preoccupante è che ancora non sappiamo come e perché una società informatica sta raccogliendo e conservando questo tipo di dati – ha affermato Romain Robert, direttore del programma al noyb – E non c'è alcuna garanzia che questo non si ripeta".
L’autorità di controllo maltese ha quindi concluso che la C-Planet è responsabile di non avere adottato misure tecniche e organizzative adeguate al rischio, e questa negligenza della società informatica ha portato alla pronuncia della IDPC nella quale viene confermato che la C-Planet non aveva comunicato la violazione dei dati all’autorità in tempo utile e non ha informato neanche le persone interessate.
L’Information & Data Protection Commissioner ha quindi imposto alla C-Planet una sanzione di €65.000, tenendo conto del grave impatto sui 337.384 individui coinvolti e dell’alto rischio per i loro diritti e libertà. L’autorità Garante ha inoltre ordinato alla società di eliminare tutti i dati raccolti e trattati illecitamente. È tuttora in corso un’azione collettiva contro C-Planet, avviata da Daphne Foundation e Repubblika.
"Questo caso dimostra l'importanza della protezione dei dati per la democrazia e le libertà delle persone. Raccogliere ed elaborare le intenzioni di voto della popolazione non è solo illegale, ma anche pericoloso, soprattutto in tempi in cui la manipolazione politica online è un tema così caldo", ha sottolineato Romain Robert, direttore del programma al noyb.
