La CNIL ha multado a dos médicos por sus insuficientes medidas de protección de datos personales y por la falta de notificación de una reciente brecha de seguridad
El pasado mes en Francia la CNIL anunció que dos médicos habían incumplido los artículos 32 y 33 del RGPD. Tras una auditoría online que tuvo lugar en septiembre de 2019, se descubrió que ambos médicos contaban con miles de imágenes almacenadas en sus servidores, a las que cualquiera podía acceder. Una investigación más detallada determinó que los dos médicos carecían de una configuración suficiente de las medidas de seguridad en su equipo, especialmente en lo relativo a su software de imágenes, lo cual condujo a dicha brecha de seguridad. Se les impuso una multa de 3.000 € y 6.000 € respectivamente, y aunque el CNIL consideró que no era necesario hacer públicos sus nombres, sí insistió en la importancia de comunicar esta decisión a fin de alertar a los profesionales de la salud sobre sus obligaciones y la relevancia de reforzar la vigilancia de sus medidas de seguridad.
Los médicos multados por la CNIL no protegieron de manera adecuada los datos, violando así el artículo 32 del RGPD
Conforme al artículo 32 del RGPD los responsables y los encargados del tratamiento deben implementar medidas técnicas y organizativas apropiadas y acorde al nivel de riesgo, a fin de asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios. Una evaluación de impacto hubiese dado lugar a que los doctores se percatasen con antelación de las faltas en la configuración que derivaron en brecha de seguridad.
El artículo 32.2 del RGPD establece que “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
La falta de notificación al CNIL implicó también una brecha del artículo 33 del RGPD por parte de ambos médicos
Conforme al artículo 33 del RGPD los responsables han de notificar cualquier brecha de seguridad sin dilación indebida y, cuando sea posible, dentro de las primeras 72 horas tras descubrirla. Después de descubrir que las imágenes se podían acceder de manera pública, los dos médicos debieron haber realizado las notificaciones oportunas, pero no lo hicieron. El RGPD impone dicho acto como obligatorio “a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”. Esta brecha de seguridad comprometió las imágenes médicas de sus pacientes, infringiendo así directamente sus derechos, lo que hacía necesario notificarlo a la autoridad de control.
La CNIL hizo esta decisión pública a fin de mandar un mensaje a otros profesionales médicos para asegurar cumplimiento con el RGPD
Mientras que la CNIL no consideró necesario publicar los nombres de los doctores, sí concluyeron que era importante comunicar el incidente para concienciar a otros profesionales de la salud sobre la importancia de las medidas de seguridad que se deben aplicar sobre los datos personales El objetivo es impulsar a dichos profesionales a que se decanten por aquellas soluciones que ofrezcan mayores garantías en seguridad IT y protección de datos personales. Si no, podrían darse situaciones como las que han conducido a las multas de estos dos médicos, por no desarrollar y configurar los sistemas con las garantías suficientes. La CNIL sugiere que los profesionales utilicen proveedores competentes para asegurar cumplimiento.