La ICO impone una multa por una brecha de seguridad en un envío masivo de emails que supuso la revelación de la identidad y estado de salud de los destinatarios.
La ICO ha impuesto una multa a HIV Scotland, una ONG escocesa, por una brecha de seguridad que se produjo al realizar un envío masivo de emails a 105 destinatarios y que incluía defensores del paciente para personas con VIH en Escocia. De las 105 direcciones de email, 65 identificaban a las personas por su nombre. La brecha de seguridad fue causada por la utilización errónea por parte del personal de la función “copia de carbón oculta”, lo que hizo que las direcciones de email fuesen visibles para todos. Los datos comprometidos permitían realizar asunciones sobre la posibilidad de que una persona tuviese VIH.
Los datos de salud son categorías especiales de datos, y en consecuencia la ICO ha considerado la gravedad de este incidente. Ken MacDonald, responsable regional de la ICO, afirmó que “Todos los datos personales son importantes, pero la propia naturaleza del trabajo llevado a cabo por HIV Scotland debería haber supuesto que se prestase más atención a esta materia. Se trata de un error evitable que causó daño a las mismas personas que la organización pretende ayudar» y añadió “Animaría a todas las organizaciones a revisar sus políticas de envío masivo de emails para asegurar que aplican procedimientos robustos”.
Se descubrió que la ONG todavía utilizaba un método de envío de emails masivos poco seguro, siete meses después de haber adquirido un nuevo sistema que reforzaba este aspecto.
Dado que la organización era consciente de los riesgos asociados al envío masivo de emails mediante la función de copia de carbón oculta, HIV Scotland adquirió un sistema más seguro para utilizarlo con esta finalidad. Sin embargo, seis meses después éste todavía no se había implementado, de forma que se seguía utilizando la función de copia de carbón oculta. Esta circunstancia, junto a una formación del personal inadecuada y una política de protección de datos insuficiente, condujo a la brecha de seguridad, al incumplimiento del UK RGPD y a la multa correspondiente.
La organización fue multada con más de 10.000€ por incumplimiento de la normativa nacional de Reino Unido, la Data Protection Act 2018, y el UK RGPD
La ICO ha impuesto una multa de más de 10.000€ a HIV Scotland. En la determinación del importe de la cuantía, la ICO consideró el tamaño de la ONG y su situación financiera. Se consideró que la organización había infringido los artículos 5(1)(f) y 32(1) y (2) del UK RGPD. El Artículo 5(1)(f) requiere que los datos sean “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”. El Artículo 32 del RGPD regula la importancia de un tratamiento seguro.
A raíz de esta situación, la ICO insta a las empresas y organizaciones a ser cuidadosas con sus prácticas de envío de emails
Con motivo de este incidente, la ICO ha publicado un comunicado donde insta a las empresas y organizaciones que evalúen y reevalúen sus prácticas relacionadas con el envío de emails a grandes grupos de clientes y otros sujetos. La normativa de protección de datos requiere que los responsables de los datos se aseguren de aplicar medidas técnicas y organizativas apropiadas para proteger los datos personales.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.