Brecha de seguridad en la Comisión de Atención Sanitaria de la Provincia de Örebo, en Suecia, tras publicar datos sensibles en la página web de la región.
La brecha de seguridad de la Comisión de Atención Sanitaria se descubrió después de que la Autoridad de Control de Suecia recibiese múltiples quejas al respecto. Conforme al artículo publicado por el Comité Europeo de Protección de Datos, las denuncias eran relativas a la publicación de los datos personales de un paciente admitido a psiquiatría forense, lo cual se reveló tras llevar a cabo una auditoría. La Autoridad de Control sueca descubrió así que se habían publicado por error categorías especiales de datos, sin una finalidad ni base legítima para ello. Tampoco se aplicaba ninguna de las excepciones recogidas en el Reglamento General de Protección de Datos. Como resultado, la Autoridad de Control multó a la Comisión y ordenó la realización de algunos cambios.
La Autoridad de Control sueca descubrió una falta de instrucciones escritas en relación a la publicación de datos, lo cual incrementaba el riesgo de brecha de seguridad.
La Autoridad de Control sueca inició una auditoría tras recibir una queja sobre la brecha de seguridad en cuestión y descubrió que no se habían elaborado instrucciones para la publicación de información en la página web de la Comisión. La Comisión ha dependido en este sentido únicamente de la comunicación oral cuando se trata de transmitir instrucciones para la publicación, de modo que el incidente se ha derivado de dicha práctica incompleta. Aunque en este caso fue accidental, los hechos evidencian la insuficiencia de sus medidas para asegurar la protección de los datos personales.
La brecha de Seguridad de la Comisión de Atención Sanitaria ha resultado en una multa de 120.000 coronas suizas y una orden para enmendar sus acciones.
La Autoridad de Control sueca ha ordenado a la Comisión la elaboración de instrucciones escritas y la implementación de medidas para asegurar el cumplimiento con las mismas de aquellos encargados de publicar datos en la página web. Además de requerir el cumplimiento absoluto con el RGPD, la Autoridad de Control ha impuesto también el pago de 120.000 coronas suizas como multa administrativa (aproximadamente 11.000 euros). El documento que origin la brecha de seguridad ha sido ya eliminado de la página web.
¿Qué debería haber hecho la Comisión de Atención Sanitaria para evitar la brecha?
-Deberían haber contado con una adecuada política de protección de datos interna en la que se ofreciesen instrucciones escritas sobre cómo tratar y proteger los datos personales en poder de la Comisión.
Conforme al artículo 24 del RGPD “(1) Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario; (2) Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.
-Asimismo, tendrían que haber ofrecido formación a sus empleados. La formación es esencial cuando se trata de reducir el riesgo de brechas de seguridad, porque sólo así el personal entenderá los procesos internos y las normas de protección de datos que les afectan.
¿Por qué son estas medidas especialmente importantes en este caso?
Los datos afectados por el incidente incluyen información de salud, lo cual es una categoría especial de datos personales, con lo que se deben aplicar medidas de seguridad adicionales y recordar que las bases para el tratamiento se reducen. Sin embargo, en este caso cabe destacar que la brecha habría tenido lugar aunque los datos publicados no hubiesen sido sensibles, porque igualmente no hay base legítima para hacer dicha información pública.
