Multa de 11,000 euros a una empresa de la isla de Guernsey por compartir información altamente confidencial y sensible a través de email y correo postal. 

La empresa Trinity Chambers LLP envió detalles privados sobre un interesado y su familia a través de email y correo postal. La autoridad de control correspondiente, ODPA, ha publicado recientemente un comunicado con información sobre este caso. 

La investigación descubrió que se compartió información sensible sobre el sujeto y su familia debido a un error humano continuado. 

La investigación tuvo lugar tras la presentación de una queja al respecto, la cual alegaba una cesión ilegítima de datos personales como consecuencia de un error humano continuado. Conforme al informe, una brecha de seguridad habría permitido el acceso a los datos de terceras partes no relacionadas. Se averiguó que Trinity Chambers LLP envió archivos que incluían información altamente sensible y confidencial a través de email y correo postal, sin la apropiadas medidas de seguridad. Terceros no relacionados que no eran conscientes de la naturaleza sensible del contenido accedieron sin querer al mismo.

La multa se ha impuesto con intención de reflejar la gravedad de las consecuencias de la brecha de seguridad. 

La presidenta de la ODPA, Emma Martins, afirmó que la ODPA estaba decepcionada con la respuesta de la empresa. Indicó que “Hay poca evidencia de que el responsable de los datos en este caso considerase de manera oportuna el impacto de la brecha de seguridad en los interesados”.  Y añadió que la multa pretende reflejar “la seriedad del suceso y el impacto de no proteger de manera adecuada los datos personales”, además de las graves consecuencias que esto tiene en una comunidad pequeña como Guernsey. 

La empresa ha sido multada con 11,200 euros por no proteger los datos personales.  

Mientras que los datos personales afectados no se correspondían con la clasificación de “datos personales de categoría especial”, eran altamente sensibles y privados. Como resultado de la investigación, la ODPA determinó que la empresa habría infringido la normativa aplicable en relación a la cesión ilegítima de datos personales a terceros. La multa también refleja la falta de implicación del responsable y la subestimación del potencial impacto en los interesados afectados. 

Conforme a la ODPA, la empresa no ha recurrido la decisión.

¿Has aplicado todas las medidas para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPA. Infórmate aquí.