La ausencia de adopción de las suficientes medidas de seguridad por parte de una plataforma de gestión digital de Bélgica ha derivado en una multa.
Una plataforma de gestión digital de Bélgica en la que proveedores y consumidores pueden interactuar, compartir documentos y realizar envíos de dinero entre otras funciones, se enfrenta a una sanción por múltiples infracciones del RGPD. Se trata de un caso especial en el que la persona que presentó la queja no era usuario de la plataforma.
En este caso la persona que presentó la queja y su compañero de habitación acordaron guardar la factura de la luz en la plataforma en el contexto de los gastos compartidos de la casa, aunque el documento se encontraba a nombre de la persona que no era usuario del sistema. El software reconoció la identidad del denunciante y le invitó a conectar con las diversas empresas que estaban presentes en la plataforma y que eran utilizadas por su compañero. Aunque el interesado rechazó dichas invitaciones, debe destacarse que las vagas medidas de seguridad podrían haber conducido a un fácil acceso a los registro médicos y financieros.
El responsable debe garantizar que los datos personales se tratan en conformidad con el RGPD.
Son muchas las empresas que utilizan servicios ofrecidos por terceros, como email o almacenamiento en la nube, para gestionar sus datos. En estos casos, el responsable sigue teniendo que garantizar la seguridad de la información y el tratamiento de la misma conforme al RGPD. Debe así responder de cualquier brecha o incumplimiento por parte de los terceros empleados, excepto si puede demostrar que “no tuve ninguna responsabilidad en los hechos que produjeron el daño”. Por este motivo es crucial examinar detalladamente los proveedores seleccionados para asegurar que tienen medidas de seguridad sólidas.
La compañía había tomado algunas medidas de seguridad con anterioridad, incluida la prohibición de invitaciones automáticas y sugerencias de contacto.
La empresa reconoció que estas invitaciones que no contaban con ninguna confirmación de la identidad del usuario infringían el artículo 32 del RGPD. Estos incidentes de seguridad fueron solucionados por la compañía 48 horas después de que el denunciante les informase de los mismos. La prohibición de invitaciones automáticas y otras sugerencias de contacto se consideraron medidas de seguridad apropiadas y también se implementó después el doble factor de autenticación para confirmar la identidad del interesado.
