A Autoridade Finlandesa de Proteção de Dados (DPA) repreendeu a Cidade de Helsinque por não implementar medidas técnicas e organizacionais adequadas para garantir a segurança do tratamento de dados pessoais em seu serviço online. A investigação revelou que, através da função de busca de uma plataforma de orçamento participativo, era possível visualizar os nomes de todos os usuários registrados, expondo os dados de 124.000 pessoas. Entre os detalhes da violação, destacam-se

Notificação e Investigação: A DPA foi notificada sobre a exposição dos nomes dos usuários através da função de busca da plataforma operada pela Cidade de Helsinque. A DPA solicitou explicações sobre as medidas implementadas para garantir a segurança dos dados.

Descoberta do Incidente: O controlador explicou que a plataforma permitia aos residentes discutir o desenvolvimento da cidade. Durante a investigação, descobriu-se que os perfis dos usuários estavam publicamente acessíveis por padrão, tanto pela busca interna da plataforma quanto pelo Google Search, exibindo pelo menos os nomes completos dos usuários.

Ações Corretivas: Em resposta, todos os perfis foram deletados, o registro na plataforma foi encerrado, a função de busca foi desativada e o Google foi solicitado a remover os resultados de busca.

Com base nas informações fornecidas, a DPA concluiu que a natureza do serviço não justificava que os perfis fossem publicamente acessíveis. A falta de medidas técnicas e organizacionais para prevenir o acesso não autorizado violou o Artigo 25(2) e o Artigo 32(1) da GDPR. Em consequência, a DPA emitiu uma reprimenda à Cidade de Helsinque de acordo com o Artigo 58(2)(b) da GDPR.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.