A Autoridade de Proteção de Dados (DPA) da Noruega impôs uma multa de €1.720.425,16 (NOK 20.000.000) à Administração Norueguesa de Trabalho e Bem-Estar por disponibilizar categorias especiais de dados pessoais de um grande número de pessoas durante um longo período sem os mecanismos de segurança necessários.
A Administração Norueguesa de Trabalho e Bem-Estar, atuando como controladora de dados, foi auditada pela DPA norueguesa ("Datatilsynet") para verificar se garantia a confidencialidade no sistema de gestão usado para processar dados pessoais para fornecimento de serviços. A auditoria limitou-se às medidas técnicas e organizacionais relacionadas ao gerenciamento de acesso, registros e controle de registros sob o Artigo 5(1)(f) do GDPR e o Artigo 32 do GDPR, bem como à verificação da implementação de um sistema de gestão apropriado sob o Artigo 5(2) do GDPR e o Artigo 24 do GDPR.
A DPA identificou várias violações que demonstraram inconformidades estruturais e organizacionais, além de uma falta de gestão e entendimento sobre a importância da proteção de dados e dos requisitos impostos. Foram identificadas 12 inconformidades relacionadas à falta de controle sistemático do uso dos sistemas especializados pelos numerosos funcionários espalhados pelo país.
A organização permitiu que um grupo significativo de funcionários tivesse amplo acesso para fins oficiais, o que, combinado com um sistema inadequado de controle de registros, foi considerado incompatível com o princípio de confidencialidade do Artigo 5(1)(f) do GDPR e os requisitos para medidas organizacionais conforme o Artigo 32 do GDPR.
Além disso, a DPA constatou a ausência de avaliações de risco de rotina, bem como a falta de "ligações" rotineiras entre o nível de risco e o nível de acesso. Os novos administradores de ID, responsáveis por conceder acessos, recebiam um treinamento muito dependente da pessoa e que descrevia apenas como os acessos deveriam ser concedidos, sem abordar em quais termos.
Foi também identificado que os funcionários tinham acesso padrão às informações sobre toda a população. Embora a administração argumentasse que isso era para o processamento eficiente de casos a fim de fornecer orientação de qualidade e tratamento igualitário dentro de um prazo razoável, a DPA considerou que isso não estava alinhado com os princípios de confidencialidade e minimização de dados (Artigo 5(1)(f) e Artigo 5(1)(c) do GDPR) e os requisitos de segurança sob o Artigo 32(1) do GDPR. Existiam outras opções alternativas que poderiam levar em conta tanto a eficiência no processamento de casos quanto os requisitos do GDPR para proteger a privacidade dos titulares dos dados por meio de medidas de segurança técnicas e organizacionais.
Com base nas descobertas da auditoria, a DPA emitiu 3 ordens ao controlador:
1. Estabelecer um sistema abrangente e adequado de medidas organizacionais para garantir e demonstrar conformidade com o Artigo 5(2) do GDPR, Artigo 24 do GDPR e Artigo 32 do GDPR;
2. Estabelecer medidas técnicas e organizacionais relacionadas ao gerenciamento de acesso que proporcionem proteção satisfatória da confidencialidade dos dados pessoais sob o Artigo 5(1)(f) do GDPR e Artigo 32(1) do GDPR;
3. Estabelecer medidas técnicas e organizacionais relacionadas ao controle de registros que proporcionem proteção satisfatória da confidencialidade dos dados pessoais sob o Artigo 5(1)(f) do GDPR e Artigo 32(1) do GDPR.
Portanto, a DPA impôs uma multa de €1.720.425,16 (NOK 20.000.000) sob o Artigo 83 do GDPR, levando em conta que a administração disponibilizou categorias especiais de dados pessoais de um grande número de pessoas por um longo período, sem os mecanismos de segurança necessários, e que as ordens anteriores emitidas pela DPA durante auditorias e avaliações ao longo dos anos não se mostraram suficientemente eficazes.
Com informações GDPR Hub
Este post foi resumido a partir de sua versão original com o uso do ChatGPT versão 4.
