La CNIL multa

La CNIL multa a dos médicos por incumplir la normativa de protección de datos

La CNIL ha multado a dos médicos por sus insuficientes medidas de protección de datos personales y por la falta de notificación de una reciente brecha de seguridad

 

El pasado mes en Francia la CNIL anunció que dos médicos habían incumplido los artículos 32 y 33 del RGPD. Tras una auditoría online que tuvo lugar en septiembre de 2019, se descubrió que ambos médicos contaban con miles de imágenes almacenadas en sus servidores, a las que cualquiera podía acceder. Una investigación más detallada determinó que los dos médicos carecían de una configuración suficiente de las medidas de seguridad en su equipo, especialmente en lo relativo a su software de imágenes, lo cual condujo a dicha brecha de seguridad. Se les impuso una multa de 3.000 € y 6.000 € respectivamente, y aunque el CNIL consideró que no era necesario hacer públicos sus nombres, sí insistió en la importancia de comunicar esta decisión a fin de alertar a los profesionales de la salud sobre sus obligaciones y la relevancia de reforzar la vigilancia de sus medidas de seguridad.  

 

Los médicos multados por la CNIL no protegieron de manera adecuada los datos, violando así el artículo 32 del RGPD

 

Conforme al artículo 32 del RGPD los responsables y los encargados del tratamiento deben implementar medidas técnicas y organizativas apropiadas y acorde al nivel de riesgo, a fin de asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios. Una evaluación de impacto hubiese dado lugar a que los doctores se percatasen con antelación de las faltas en la configuración que derivaron en brecha de seguridad. 

 

El artículo 32.2 del RGPD establece que “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

 

La falta de notificación al CNIL implicó también una brecha del artículo 33 del RGPD por parte de ambos médicos

Conforme al artículo 33 del RGPD los responsables han de notificar cualquier brecha de seguridad sin dilación indebida y, cuando sea posible, dentro de las primeras 72 horas tras descubrirla. Después de descubrir que las imágenes se podían acceder de manera pública, los dos médicos debieron haber realizado las notificaciones oportunas, pero no lo hicieron. El RGPD impone dicho acto como obligatorio “a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”. Esta brecha de seguridad comprometió las imágenes médicas de sus pacientes, infringiendo así directamente sus derechos, lo que hacía necesario notificarlo a la autoridad de control.  

 

La CNIL hizo esta decisión pública a fin de mandar un mensaje a otros profesionales médicos para asegurar cumplimiento con el RGPD

 

Mientras que la CNIL no consideró necesario publicar los nombres de los doctores, sí concluyeron que era importante comunicar el incidente para concienciar a otros profesionales de la salud sobre la importancia de las medidas de seguridad que se deben aplicar sobre los datos personales El objetivo es impulsar a dichos profesionales a que se decanten por aquellas soluciones que ofrezcan mayores garantías en seguridad IT y protección de datos personales. Si no, podrían darse situaciones como las que han conducido a las multas de estos dos médicos, por no desarrollar y configurar los sistemas con las garantías suficientes. La CNIL sugiere que los profesionales utilicen proveedores competentes para asegurar cumplimiento. 

 

¿Has implementado todas las medidas de seguridad necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La ICO multa a Ticketmaster

La ICO multa a Ticketmaster UK con 1,39 millones de euros tras un ciberataque a su chatbot.

La ICO multa a Ticketmaster UK con 1,39 millones de euros bajo el RGPD, por no impedir un ciberataque a su chatbot. 

 

La ICO ha multado a Ticketmaster UK en relación a una brecha de seguridad que potencialmente habría afectado a nueve millones de consumidores a lo largo de toda Europa. El ataque se instrumentó por medio del chatbot que la empresa utilizaba en su página de pago. La falta de protección de los datos de sus clientes supone una infracción del RGPD por parte de la compañía. 

 

En febrero de 2018, varios clientes de Monzo informaron de una serie de transacciones fraudulentas. También se recibieron quejas similares de Barclaycard, MasterCard y American Express. Nueve semanas después de dichas alteras, Ticketmaster comenzó a monitorizar el tráfico de red en su página de pago. Así, la brecha comenzó en febrero de 2018, pero la multa se vincula con el período que comienza el 25 de mayo de 2018, tras la implementación de las nuevas normas bajo el RGPD.  

 

Esta brecha de seguridad afectó potencialmente a millones de consumidores que vieron comprometida su información de pago. 

 

La brecha incluía nombres, números de tarjeta, fechas de expiración y números de CVV y habría potencialmente afectado a 9,4 millones de clientes de Ticketmaster en toda Europa, 1,5 millones de los cuales serían de Reino Unido. Las investigaciones destaparon que, como resultados de la brecha, unas 60.000 tarjetas de crédito de clientes de Barclays se sometieron a fraude. Otras 6.000 tarjetas fueron reemplazadas por Monzo debido a sospecha de uso fraudulento.  

La ICO descubrió que no se implementaron las medidas de seguridad necesarias para proteger los datos de los consumidores. 

La investigación de la ICO reveló que la decisión de Ticketmaster de incluir un chatbot, ofrecido por un tercero, en su página de pago permitió que el atacante accediese a los detalles financieros de sus consumidores. El Vicepresidente de la ICO, James Dipple-Johnstone, afirmó que “Ticketmaster debería haber hecho más para reducir el riesgo de un ciberataque. No hacerlo ha conducido a que millones de personas en Reino Unido y en toda Europa hayan sido expuestas a un posible fraude”. La ICO concluyó que Ticketmaster no valoró los riesgos de utilizar un chatbot en su página de pago y en consecuencia no seleccionó ni implementó a tiempo las medidas adecuadas para evitarlos e identificar la fuente de la actividad fraudulenta. La ICO envió a Ticketmaster UK una notificación de multa el 7 de febrero de 2020. 

La multa de la ICO a Ticketmaster se impone de parte de todas las autoridades de control europeas y toma en consideración el impacto de la pandemia del COVID-19. 

Puesto que la brecha ocurrió antes de que Reino Unido saliese de la Unión Europea, la ICO ha actuado como la autoridad de control principal. La ICO complete el proceso recogido en el Artículo 60 del RGPD antes de proceder con la sanción. Este artículo establece que la autoridad de control principal deberá coordinar con otras autoridades de control interesadas en un esfuerzo de alcanzar un consenso. El proceso incluía entregar un borrador de la decisión al resto de autoridades de control para recoger su opinión y tomar sus comentarios en consideración. En la imposición de la multa la ICO no sólo ha tenido en cuenta la asequibilidad de la misma, sino también el impacto económico del COVID-19, entre otros factores. 

La información ofrecida por la ICO a este respecto está disponible en su página web. 

 

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La AEPD aprueba

La AEPD aprueba el primer código de conducta bajo el RGPD.

El primer código de conducta aprobado bajo el RGPD viene de la mano de la AEPD.

 

La AEPD ha aprobado el primer Código de conducta bajo el RGPD en conformidad con los artículos 40 y 41 del RGPD y 38 de la LOPDGDD. El Código de Conducta para el Tratamiento de Datos en la Actividad Publicitaría ha sido presentado en colaboración con Autocontrol (Asociación para la Autorregulación de la Comunicación Comercial), el organismo independiente de autorregulación y supervisión publicitaria. 

 

El primer código de conducta bajo el RGPD, aprobado por la AEPD, recoge el tratamiento de datos para fines publicitarios. 

 

El RGPD establece que las autoridades de control promoverán el uso de códigos de conducta con el objetivo de contribuir a la correcta aplicación de la regulación, en consideración de las características específicas de los diferentes sectores y las necesidades particulares de microempresas y PyMes. Este Código, presentado por Autocontrol, se aplica al tratamiento de datos con fines publicitarios llevado a cabo por empresas adheridas, lo que incluye el envío de comunicaciones comerciales y promociones destinadas a recoger datos con fines publicitarios, así como uso de cookies y tecnologías similares con el objetivo de gestionar espacios publicitarios y también cuando se efectúe publicidad comportamental y elaboración de perfiles con fines publicitarios. 

 

Autocontrol es un organismo de autorregulación y supervisión de la industria publicitaria en España, constituido en 1995 como asociación sin ánimo de lucro. Su objetivo es velar por una publicidad responsable, esto decir, veraz, legal, honesta y leal. Autocontrol está integrado por anunciantes, agencias de publicidad, medios de comunicación y asociaciones profesionales, con el objetivo de trabajar hacia una publicidad responsable. 

 

El Código se aplicará únicamente a los tratamientos: 1) llevados a cabo en el contexto de las actividades de tratamiento de entidades adheridas establecidas en territorio español o 2) que afecten a interesados que residan en España, siempre que estén relacionados con la oferta de bienes o servicios a dichos interesados en España, o el control de su comportamiento en España.

El Código comprende la información que se le debe ofrecer a los interesados cuando se recogen sus datos personales. 

 

Conforme al Código, los interesados podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación y, cuando corresponda, portabilidad, en relación al tratamiento de datos con fines de actividades publicitarias.  El responsable deberá informar a los interesados sobre el tratamiento de sus datos y ofrecer información específica, en concreto la recogida en los artículos 13 y 14 del RGPD, en función de si los datos se obtienen directamente del interesados o por medio de terceros. Además, el responsable deberá informar a los interesados sobre su derecho de oposición al uso de sus datos con finalidad de marketing directo en el momento de la recogida de los mismos. El uso de cookies y herramientas similares quedará sujeto a las provisiones de la LSSI.  

 

El Código crea un Jurado de la Publicidad que actuará en representación de la AEPD en los asuntos relativos a la publicidad y el marketing. 

 

Autocontrol ha implementado también un sistema extrajudicial de resolución de conflictos para tartar aquellas disputas que surjan entre el responsable del tratamiento y los interesados en relación a los tratamientos de datos con fines publicitarios. En cuanto a las funciones de la AEPD como la autoridad de control competente, el Jurado de la Publicidad actuará como el organismo supervisor de las disposiciones de este Código. Cuando el Jurado de la Publicidad declare que se ha infringido el código, impondrá las sanciones oportunas en consonancia con las disposiciones relevantes. 

 

Anualmente, la Secretaría del Jurado de la Publicidad elaborará un informe estadístico para cada entidad adherida con los datos relevantes de la actividad generada por dicha entidad, incluyendo tanto datos relativos a las mediaciones como a las resoluciones del Jurado de la Publicidad. La Secretaría del Jurado de la Publicidad también elaborará un informe estadístico colectivo anual que facilitará a la Agencia Española de Protección de Datos.

 

El Código está asimismo disponible en la página web de Autocontrol.

¿Has aplicado todas las medidas para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

 

La AEPD lanza una herramienta

La AEPD lanza una herramienta que ayuda a los responsables del tratamiento a determinar si necesitan comunicar una brecha de seguridad.

La AEPD lanza una herramienta que ayuda a los responsables del tratamiento a determinar de manera rápida si la comunicación de una brecha de seguridad a los sujetos afectados es o no necesaria en cada caso.  

 

La AEPD lanzó ayer una herramienta para ayudar a los responsables del tratamiento a tomar la decisiones relativas a la comunicación de una brecha de seguridad a los interesados que se hayan visto afectados por la misma. El RGPD establece que los responsables del tratamiento deberán comunicar cualquier brecha de seguridad, sin dilación indebida, a aquellos sujetos cuya información personal se haya visto comprometida y pueda estar en riesgo debido al incidente. Conforme al Artículo 34 (1) RGPD: “cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida”.

 

Esta herramienta gratuita es muy sencilla de utilizar y pretende promover la transparencia y la proactividad de los responsables del tratamiento. 

 

Esta nueva herramienta, denominada “Comunica-Brecha RGPD”, pretende impulsar la transparencia y la proactividad entre los responsables del tratamiento, pues implica un ejercicio cuyo resultado puede permitir que los sujetos afectados sepan cuándo sus derechos y libertades pueden estar en riesgo, lo cual les posibilita tomar las medidas precisas para poner su información a salvo. “Comunica-Brecha RGPD” es gratuita y de manejo simple al consistir en un breve formulario a través del que se recogen los detalles, en los cuales se basa el análisis y resultado final generado por la herramienta, el cual puede ser de tres tipos: alto riesgo que ha de ser notificado, notificación innecesaria o nivel de riesgo indeterminado. Dichos datos y todo el formulario en sí mismo no son almacenados, de forma que la AEPD no queda informada de ello. 

 

Si bien la herramienta es muy útil, no pretende reemplazar el trabajo de los delegados de protección de datos. 

 

El objetivo de esta herramienta no es de ninguna forma reemplazar los necesarios análisis de riesgo llevados a cabo por los delegados de protección de datos, pues ellos también podrán determinar otros detalles de la brecha de seguridad, como las características de los sujetos afectados y las circunstancias en que se produjo, entre otros factores esenciales. El uso de “Comunica-Brecha RGPD” sí puede sin embargo ayudar a las partes a comunicar a tiempo la brecha a los interesados, independientemente de su obligación de informar también a la autoridad de control.  

 

¿Usarías una herramienta de este estilo?

 

¿Sabrías cómo gestionar una brecha de seguridad? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.