Buscador de resoluciones, dictámenes e informes

El responsable del tratamiento tiene que implementar las medidas adecuadas para garantizar que las conversaciones mantenidas entre su personal y las personas pacientes, no puedan ser escuchadas por terceras personas no autorizadas. Es necesario efectuar un análisis de riesgos para determinar las medidas de seguridad aplicables.

El CTTI, en su condición de encargado del tratamiento, no implementó las medidas de seguridad adecuadas para garantizar los datos personales que trataba por anticipado del responsable del tratamiento (Dept EDU). Esto, permitió que un alumno, en el momento de hacer una preinscripción telemática a una determinada formación, le aparecieran en pantalla los datos de un tercero.

Se archiva la queja de la persona denunciando sobre una presunta pérdida de un documento excel donde se contendía el cómputo de las horas extras realizadas por los trabajadores del PHPT, dado que el Departamento de Justicia informa que todavía conserva el fichero en el cual se recogen las horas extraordinarias de los trabajadores, y que estas, además, desde el año 2017, constan incluidas al sistema informático empleado por la gestión de personal (SIPC).

La persona denunciando se quejaba por varias cuestiones relacionadas con la tramitación de su solicitud de dependencia:

Infracción de medidas de seguridad en el marco de una auditoría interna llevada a cabo por la Fundación: 1) en el proceso de asignación de las nuevas contraseñas, no se garantizó que las credenciales estuvieran bajo el control exclusivo de los usuarios, puesto que en la primera entrada el sistema no forzaba el cambio por parte del usuario. 2) Esto comportó que tampoco se pudiera garantizar saber de forma indudable qué, quién y cuando realizó determinada actuación en el sistema informático. Esta carencia de seguridad se evidenció especialmente cuando los auditores crearon unas nuevas credenciales "ex novo" para el técnico de sistemas, y con estas nuevas credenciales accedieron a su equipo de trabajo para evitar riesgos en el sistema.

Se dicta Resolución, directamente dado que no han presentado alegaciones contra la AI. Se imputa vulneración de medidas de seguridad, mecanismo de autenticación debido a accesos a datos de los pacientes a través de varios URLS del hospital únicamente introduciendo el DNI sin jefe otro medida de control de acceso. Alegaron que erròneament habían publicado uno 'en torno a prueba' y que ya han despublicat estas URLS.

Las medidas de seguridad, se tienen que determinar teniendo en cuenta los riesgos derivados de la pérdida o el acceso no autorizado a los datos (entre otros). En el presente caso, ha quedado acreditado que el responsable de tratamiento de los datos afectados, no adoptó las medidas técnicas y organizativas apropiadas para garantizar su seguridad (tendentes a evitar que a estos datos pudieran acceder personas no autorizadas).

Por un lado, mediante el certificado digital vinculado a una persona trabajadora de la entidad -que le permitía el acceso al fichero de HC3 del Departamento de Salud- una persona o personas no identificadas va/accedieron a las HC3 de las personas denunciantes, todas ellas trabajadoras de la entidad; hecho que se considera constitutivo de una vulneración del principio de licitud vinculado al tratamiento indebido de categorías especiales de datos.Por otro lado, el certificado digital vinculado a una de las personas trabajadoras de la FSFA, que como se ha dicho permitía el acceso al fichero de HC3, fue instalado en varios ordenadores a los cuales tenían acceso distintas personas también trabajadoras de la entidad. Así, en la medida que todas estas personas podían utilizar el mismo certificado para acceder a la base de datos de HC3, no se podía garantizar la identificación de forma inequívoca y personalizada de la persona que efectivamente accedía, ni en consecuencia, tampoco analizar la justificación de estos accesos. Este hecho se considera constitutivo de una infracción de medidas de seguridad.

El Ayuntamiento no disponía de un sistema de información que permitiera garantizar la trazabilidad de las acciones que llevaba a cabo en relación con la información contenida dentro de una carpeta digital. Este hecho comportó que no se pudiera verificar qué usuarios habían accedido, en qué momento, y qué acciones habían llevado a cabo.

Vulnerabilidades detectadas en la plataforma puesta en marcha para que la ciudadanía pidiera cita de vacunación, y que permitían el acceso a datos de terceras personas. Carece de análisis de riesgos.