Se impone una multa a una página web de registro de nuevos pacientes de ortodoncia por vulnerabilidades en la seguridad de la misma.
Una página web destinada al registro de pacientes de servicios de ortodonci ha sido multada por someter datos personales a un alto riesgo de exposición derivado de vulnerabilidades de seguridad. Según el informe de la autoridad de control de Holanda, se recogían diversos campos de datos personales obligatorios bajo una conexión insegura, lo que podría haber derivado en una brecha de seguridad que desembocase en un fraude con un gran número de afectados, incluidos menores. De haber sido así, información perteneciente a categorías especiales de datos personales se habría visto también comprometida. La autoridad de control holandesa ha impuesto en consecuencia una multa de 12.000€ al médico ortodoncista.
Se empleaba una conexión no segura para recoger información personal de provisión obligatoria sobre nuevos pacientes que se registraban para recibir servicios de ortodoncia.
La página web con conexión insegura empleada para recoger información de nuevos pacientes incluía un formulario que contenía varios campos donde se requería de manera obligatoria la introducción de determinados datos personales, entre los que se encontraba información sobre los padres de los pacientes, el médico, seguros y número de la seguridad social, que eran después enviados a través de una conexión no cifrada. Esta circunstancia cobra especial importancia por el hecho de que los interesados confiaban en que sus datos personales estarían protegidos al ser compartidos con el médico. Además, la mayoría de sujetos afectados se encontraban en franjas de edad que abarcaban desde niños hasta jóvenes adultos, de manera que las vulnerabilidades de seguridad habrían alcanzado también a datos de menores, para los cuales la normativa de protección de dato impone garantías adicionales por ser considerados un grupo vulnerable.
La multa se impuso tras las interposición de una queja sobre una infracción de seguridad.
En consecuencia, se presentó una queja ante la autoridad de control de Holanda en relación a una infracción de privacidad, la cual fue analizada con especial seriedad debido a que se encontraba vinculada con medidas de seguridad insuficientes en el sector de la salud, sobre el que se aplican requisitos especialmente estrictos. Monique Verdier, Vicepresidenta de la autoridad de control, afirmó que “Cuando te registras con un médico ortodoncista, le confías tus datos personales. Se trata de datos necesarios para la prestación de servicios, pero sobre los cuales los delincuentes también pueden tener intereses. Cuidar de manera debida a tus pacientes incluye proteger sus datos personales. Esto se aplica a todo el personal del sector salud, no sólo a grandes instituciones”. Es responsabilidad de la empresa asegurar que su página web cumple con el RGPD y proteger así los datos personales de sus clientes en prevención de posibles brechas de seguridad, phishing y otros delitos. Se ha impuesto una multa de 12.000€ al médico ortodoncista por esta infracción.
Se presentó una objeción a la queja y la autoridad de control la declaró infundada.
La multa impuesta al médico ortodoncista no es definitiva, y fue recurrida. Sin embargo, la autoridad de control ha declarado la objeción infundada. Ahora se podrá someter a revisión judicial si se pretende que se revoque. Si así procede el médico ortodoncista, la decisión final quedará en manos de los tribunales del distrito correspondiente.
¿Has implementado todas las medidas de protección de datos en cumplimiento con el RGPD, la LSSI y la LOPDGDD? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD, la LSSI y la LOPDGDD , y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.