Una empresa de catering polaca ha sido sancionada con 54.600 € por infracción del RGPD tras perder un empleado una memoria USB que contenía información sensible, lo que evidenció vulnerabilidades en la seguridad de los datos de la empresa.
La Autoridad de Protección de Datos de Polonia (UODO) ha multado recientemente a Res-Gastro M. Gaweł Sp. k., una empresa de catering en Kolbuszowa, Polonia, con 54.600 € por no implementar medidas técnicas y organizativas adecuadas para proteger los datos personales. La decisión, finalizada el 29 de abril de 2024, se originó a partir de una brecha de datos causada por la pérdida de una memoria USB que contenía información personal sensible, incluyendo nombres, direcciones, datos de ciudadanía, género, fechas de nacimiento, números PESEL, información de pasaportes, detalles de contacto, fotografías y datos salariales. Aunque algunos archivos estaban cifrados, los datos no cifrados revelaron vulnerabilidades críticas en las prácticas de seguridad de datos de la empresa.
Res-Gastro infringió el RGPD al descuidar los protocolos de cifrado, las pruebas de seguridad de datos y el análisis de riesgos por pérdida de información, delegando la responsabilidad del cifrado a los empleados mediante videos instructivos.
La investigación reveló que Res-Gastro incumplió varios artículos del Reglamento General de Protección de Datos (RGPD), incluidos los artículos 5, 24, 25 y 32, que destacan los principios y responsabilidades para proteger los datos personales. El artículo 5 establece principios clave como legalidad, equidad, transparencia, minimización de datos, precisión y seguridad. El artículo 24 exige que los responsables del tratamiento implementen medidas para garantizar el cumplimiento. El artículo 25 requiere integrar la protección de datos en los sistemas desde el diseño y por defecto, con un enfoque en la minimización de datos. El artículo 32 exige medidas de seguridad robustas, incluyendo cifrado, pseudonimización y pruebas regulares, para salvaguardar la integridad y confidencialidad de los datos. La autoridad determinó que el análisis de riesgos de esta empresa no contemplaba la posibilidad de pérdida de dispositivos de almacenamiento, enfocándose únicamente en el robo o destrucción. Además, Res-Gastro no impuso protocolos de cifrado para dispositivos externos, limitándose a proporcionar a los empleados videos instructivos sobre cómo cifrar archivos, trasladando efectivamente la responsabilidad al personal. También se descuidaron las pruebas y evaluaciones regulares de las medidas de seguridad de datos, lo que expuso aún más a la organización a riesgos.
Res-Gastro fue multada por una brecha de datos, a pesar de haberla reportado y cooperado, y se le ordenó implementar medidas correctivas.
Aunque Res-Gastro reportó el incidente por iniciativa propia y cooperó con la investigación, lo que atenuó la gravedad de la multa, el UODO subrayó que estos esfuerzos no eximieron a la empresa de responsabilidad. La autoridad destacó la relevancia del alto volumen de negocios de la empresa al determinar la sanción. Junto con la multa, el UODO ordenó la implementación de medidas técnicas y organizativas adecuadas para garantizar un procesamiento seguro de los datos.
Esta sanción resalta la necesidad de adoptar medidas de protección de datos adecuadas, priorizando la seguridad para evitar daños financieros y reputacionales.
Este caso subraya claramente la importancia de adoptar prácticas adecuadas de protección de datos para las empresas. Las organizaciones deben realizar evaluaciones de riesgos exhaustivas, aplicar estándares estrictos de cifrado, probar regularmente los protocolos de seguridad y adoptar enfoques proactivos para el cumplimiento del RGPD. Descuidar estas responsabilidades puede ocasionar graves daños financieros y reputacionales. La experiencia de Res-Gastro sirve como advertencia, destacando la necesidad de priorizar la seguridad de los datos para evitar sanciones similares y proteger información sensible.
Eleva tus estándares de protección de datos con Aphaia. Pregúntanos y te ayudaremos a reforzar tus prácticas de cumplimiento, incluidas las políticas y procesos necesarios, con la tranquilidad de contar con un asesoramiento experto. Contacta con nosotros hoy.
