Buscador de resoluciones, dictámenes e informes

Se resuelve declarar que, con anterioridad al 05/03/2023, el HCB no había implementado las medidas de seguridad -técnicas y organizativas- adecuadas para garantizar un nivel de seguridad adecuado al riesgo de los tratamientos de datos personales que realizaba. Tampoco había realizado un análisis de riesgos para definir las medidas de seguridad requeridas, tal y como exigen los apartados 1º y 2º del artículo 32 RGPD. La plataforma informática que fue objeto de ciberataque almacenaba información del HCB y también de otras entidades vinculadas (Barnaclínic SA, CAPSBE y la FRCB-IDIBAPS); por tanto, el volumen y sensibilidad de la información exigían una especial diligencia en su custodia y seguridad.

Un ciudadano accede, a través de su carpeta personal a la sede electrónica del Ayuntamiento, a la documentación de una tercera persona en relación a un expediente que nada tiene que ver con su denuncia. Se imputa la vulneración del principio de confidencialidad. También consta acreditada la infracción del arte. 25 RGPD, de medidas técnicas desde el diseño y por defecto, si bien, efectuado concurso medial, solo se imputa por la infracción más grave.

Se amonesta la Agencia como responsable de una infracción grave por vulneración de medidas de seguridad, por el hecho que su web principal no tenía implementado un protocolo seguro de autenticación del sitio web (HTTPS).

Se resuelve sancionar FMB S.A debido a que la carencia de implementación de medidas técnicas y organizativas apropiadas, le ha impedido localizar el expediente personal de la persona que prestó servicios a la empresa denunciada. Este hecho, vulnera el artículo 32.1 RGPD que dispone la obligación del responsable del tratamiento de garantizar la disponibilidad y seguridad de los datos personales.

Se resuelve amonestar el Ayuntamiento dado que durante un tiempo indeterminado que, como mínimo, comprende los meses de noviembre de 2020 hasta enero de 2021, no disponía de un análisis de riesgos de los datos personales que trataba, ni había implementado todas las medidas de seguridad y técnicas, en conformidad con el Esquema Nacional de Seguridad, tal como exige el artículo 32 RGPD, en relación con la grabación de llamadas telefónicas mantenidas por la policía local. Por otro lado, la difusión por parte de un agente de la Policía Local a otros agentes del cuerpo, del contenido de una conversación telefónica que mantuvo la persona denunciando con una trabajadora del Servicio de Emergencias Médicas, contravino el principio de confidencialidad.

Se archiva la denuncia sobre como un Hospital realizó el traslado de documentación de una sección sindical a otra sala de dentro del hospital, dado que el dicho traslado se llevó a cabo sin poner en riesgo la protección de los datos personales allá contenidas, y las medidas de seguridad adoptadas para hacerlo eran las adecuadas para garantizar su seguridad y confidencialidad.

Indra, en su condición de sotsencarregat del tratamiento, no aplicó las medidas de seguridad de nivel básico exigidas por SocMobilitat en el contrato de encargado de tratamiento, para garantizar un nivel de seguridad adecuado al riesgo (tendentes a evitar que a estos datos pudieran acceder personas no autorizadas), dado que al configurar el portal de acceso a la T-Movilidad no se modificó la contraseña que por defecto asigna el fabricante de la infraestrcutura "Liferay" a la adminstrador, de tal manera que el acceso quedaba abierto, y a su vez, accesible a terceros.

SocMobilitat (encargado del tratamiento) no determinó de manera adecuada las medidas de seguridad apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de datos encomendado a Indra (sotsencarregat del tratamiento) para la implementación y gestión de la tarjeta T-Movilidad, en cuanto que en el contrato de encargo de tratamiento la entidad SocMobilitat indicó a Indra que las medidas de seguridad que tenía que implementar para la prestación de los servicios objete de encargo eran de nivel básico, es decir que categorizó el sistema como básico, cuando de acuerdo con las circunstancias concurrentes en el tratamiento objete de encargo, el nivel básico no era suficiente.

El responsable del tratamiento tiene que implementar las medidas adecuadas para garantizar que las conversaciones mantenidas entre su personal y las personas pacientes, no puedan ser escuchadas por terceras personas no autorizadas. Es necesario efectuar un análisis de riesgos para determinar las medidas de seguridad aplicables.