La farmacia dejó más de 500.000 documentos en contenedores sin candado detrás de las instalaciones.
No proteger de manera adecuada categorías especiales de datos puede desencadenar importantes multas bajo el RGPD.
¿Tus dispositivos están protegidos con contraseña? ¿Utilizas sólo servicios cloud que encriptan los datos? Si tu respuesta es ‘sí’, se podría decir que los elementos básicos de ciberseguridad están cubiertos, pero esto no significa necesariamente que los datos que tratas estén seguros. ¿Qué ocurre con la seguridad física? Es tan importante como la ciberseguridad, pero parece que es un tema del que las empresas se preocupan menos porque forma parte del ‘mundo analógico’. Sin embargo, conlleva importantes riesgos que han motivado varias multas desde que se empezó a aplicar el RGPD, sobre todo cuando se trata de no proteger de manera adecuada categorías especiales de datos.
La multa más reciente en este sentido la impuso la autoridad de control de Reino Unido, la ICO, el pasado 20 de diciembre, a la farmacia Doorstep Dispensaree Ltd. Tendrán que pagar más de 300.000 € por no proteger de manera adecuada categorías especiales de datos.
Los hechos
La farmacia dejó más de 500.000 documentos, con fecha entre 2016 y 2018, en contenedores sin candado en la parte trasera de sus instalaciones. Los archivos incluían nombres, direcciones, fechas de nacimiento, números de la Seguridad Social, información médica y recetas de un número indeterminado de personas.
Brechas similares a estas ocurren más a menudo de lo que cabría esperar. En España encontramos un caso parecido, pues la AEPD multó el año pasado a un colegio porque el servicio de limpieza tiró a un contenedor varios exámenes de los alumnos que contenían datos personales de los mismos, sin aplicar las medidas de destrucción adecuadas.
¿Por qué es una brecha del RGPD?
Dejar cualquier tipo de documentos con información personal en contenedores sin candado supone una brecha del RGPD porque implica que cualquiera podría acceder a la información sin ninguna base legítima para ello. En este caso, además, se trataba de datos de salud, que es una categoría especial de datos personales que requiere de protección adicional.
¿Qué dice el RGPD al respecto?
El artículo 32.1 del RGPD establece que “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. En este caso parece que no se habían aplicado tales medidas técnicas y organizativas o, al menos, que no eran adecuadas para asegurar un nivel de seguridad correspondiente con el riesgo.
Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí.