La autoridad de control de Polonia ha multado a una universidad por no cumplir con la preceptiva comunicación de brecha de seguridad debida tanto a la autoridad de control como a los sujetos afectados.
En junio de 2020 la autoridad polaca de protección de datos recibió una notificación de brecha de seguridad en una universidad médica. En la queja se informaba de que los estudiantes habían sido identificados por videoconferencia durante los exámenes que tuvieron lugar a finales de mayo de 2020, tras lo cual las grabaciones quedaron disponibles no sólo para los estudiantes que habían hecho los exámenes, sino también para cualquier otro que tuviese acceso al sistema. Así por tanto, cualquier tercero podía tener acceso a los datos personales de los estudiantes mediante un enlace directo.
Mientras que la información proporcionada en la queja señalaba un alto riesgo para los derechos y libertades de las personas afectadas, el responsable no estuvo de acuerdo.
La información que contenía la queja indicaba que el incidente podría haber presentado un alto riesgo para los derechos y libertades de aquellas personas que realizaron el examen. La autoridad de control polaca escribió a la universidad para solicitar más explicaciones al respecto. Sin embargo, el responsable respondió por escrito y argumentó que la situación suponía un riesgo muy bajo para los derechos y libertades de los interesados afectados y por tanto no era necesaria notificar a la autoridad de control en relación a esta brecha de seguridad. La universidad también indicó que el sistema se había modificado tras el incidente a fin de asegurar que las grabaciones no se compartirían por error. Además, el responsable señaló que había identificado a las personas que descargaron el archivo de las grabaciones y les informó sobre su responsabilidad al acceder a los datos.
Mientras que la autoridad de control de Polonia reconoció los esfuerzos del responsable para asegurar los datos en el futuro, también mantiene que las comunicaciones eran necesarias.
La postura que ha tomado la autoridad de control de Polonia es que es la universidad, como responsable de los datos, y no los sujetos que descargaron los archivos, quien debería responder por los hechos, pues ha considerado que la descarga se produjo por la negligencia del responsable, que condujo a la brecha de seguridad y la asociada alta amenaza para los riesgos y libertades de los interesados afectados. Mientras que la autoridad de control admitió que las modificaciones de la plataforma de aprendizaje online empleada para realizar los exámenes servirá para proteger los datos de los estudiantes en el futuro y evitará que tales archivos se descarguen, también considera que debería haber tenido lugar la comunicación tanto a la autoridad como a los estudiantes afectados.
La autoridad de control de Polonia considera que el responsable no ha evaluado con precisión los riesgos asociados a esta brecha de seguridad, y como resultado no cumplió con sus obligaciones.
La autoridad de control polaca determinó que, tras tener lugar la brecha de seguridad, el responsable no cumplió con sus obligaciones de notificar tanto a la autoridad de control como a las personas afectadas por la brecha. Estas notificaciones son necesarias y obligatorias cuando, debido a la brecha, hay un alto riesgo para los derechos y libertades de los sujetos involucrados. La autoridad considera que el responsable ha evaluado de manera incorrecta los riesgos potenciales. En su decisión, la autoridad de control también ha indicado que, al contrario de lo que alega el responsable, no es relevante que el archivo fuese descargado por un número limitado de personas, pues realmente no hay seguridad de que no haya estado al alcance también de otras personas no autorizadas.
La autoridad de control polaca impuso una multa de 5.850 euros a la universidad por incumplir con su obligación de notificación durante varios meses.
La universidad se enfrenta a una multa de casi 6.000 euros. El presidente de la oficina tuvo en cuenta no sólo la falta de comunicación a la autoridad de control y a los estudiantes afectados, sino también la duración de la brecha, pues pasaron varios meses desde que esta tuvo lugar hasta que se emitió la decisión final, la inacción deliberada del responsable tras ser notificado de la necesidad de las notificaciones y la falta de cooperación del mismo con la autoridad a pesar de las notificaciones y el inicio de los procedimientos. Se pretende que la imposición de la multa también cumpla una función preventiva y muestre que los responsables no pueden ignorar sus obligaciones en relación a las brechas de seguridad.
¿Has implementado todas las medidas necesarias en cumplimiento de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. Infórmate aquí.