La autoridad de control de Islandia multa a InfoMentor por una brecha de seguridad que ha afectado a cientos de niños desde 2019.
La autoridad de control de Islandia ha multado a la empresa InfoMentor con 23.000 € por no proteger de manera adecuada los datos personales de un gran número de sujetos, principalmente niños. Según este informe del CEPD, en un incidente del que se informó en febrero de 2019, su sistema de información Mentor empleado por colegios y que ofrece servicios para trabajar principalmente con niños, se vio sujeto a una brecha de seguridad. La vulnerabilidad derivó en que el número de seis dígitos de cada usuario quedase expuesto en la dirección URL de una página concreta dentro del sistema de Mentor, lo cual permitió que personas no autorizadas pudiesen acceder a la información personal de dichos estudiantes, incluidos los números de identificación y avatares de más de 400 menores.
En su origen, la brecha de seguridad se causó principalmente por error humano, incluida una demora en solucionar una vulnerabilidad que la compañía conocía con anterioridad.
InfoMentor reconoció que la empresa era consciente de la vulnerabilidad que condujo a la brecha, e informó de que ya se había creado una solución para la misma. Sin embargo, debido a un error humano, ésta no se implementó en el sistema de Mentor hasta después de que sucediese la brecha. Así por tanto, el incidente se podría haber evitado si se hubiesen abordado las vulnerabilidades cuando se detectaron. Además, InfoMentor envió los números de identificación nacional de los estudiantes afectados por la brecha de seguridad a las escuelas equivocadas y sus delegados de protección de datos por error.
La autoridad de control de Islandia se basó para imponer la multa en el número de sujetos afectados y la naturaleza de los mismos, dado que la mayoría eran menores.
Los derechos y libertades de los menores se vieron directamente afectados por la brecha de seguridad. Los factores más significativos que consideró la autoridad de control de Islandia al determinar la cuantía de la multa administrativa fueron el número de sujetos afectados de manera tanto directa como potencial y el hecho de que los sujetos eran menores. Asimismo, se valoró que la principal actividad de InfoMentor es el desarrollo y operación de un sistema de información dirigido a que escuelas y otras entidades trabajen con niños. Como aspecto positivo, no hubo ningún indicio de que los sujetos afectados por esta brecha de seguridad sufriesen algún daño. InfoMentor ha tomado varias medidas para mejorar su seguridad y solucionar las vulnerabilidades que dieron lugar a esta brecha de datos personales en su sistema.
