A principios de este mes, la CNIL impuso una multa de 1,5 millones de euros por una brecha de seguridad de datos médicos que afectó a cerca de 500,000 personas y puso en evidencia algunas deficiencias.

A principios del año pasado se reportó una gran brecha de seguridad que afectó a cerca de 500.000 personas. La brecha comprometió información que incluía diversa información de los usuarios, entre ella nombres, apellidos, números de la seguridad social, datos de sus doctores, fechas de sus exámenes médicos y otra información crítica sobre sus condiciones médicas (HIV, cáncer, enfermedades genéticas, embarazos, tratamientos e incluso datos genéticos). En febrero de 2021, la CNIL llevó a cabo varias investigaciones sobre la empresa  DEDALUS BIOLOGY, una compañía de software que ofrece apoyo a los laboratorios de análisis médicos. Basada en sus hallazgos, la CNIL concluyó que la empresa había infringido numerosas obligaciones bajo el RGPD, y en concreto la obligación de garantizar la seguridad de los datos personales. La autoridad de control decidió así imponer una multa de 1,5 millones de euros y hacer esta decisión pública. La cuantía de la multa se determinó en consideración de la gravedad de las infracciones y el beneficio de la empresa.

La CNIL sancionó a la compañía de software por infringir varias obligaciones del RGPD tras la brecha de seguridad de datos médicos.  

La compañía habría tratado datos fuera de las instrucciones de sus clientes, en este caso los responsables de tratamiento, cuando estos le solicitaron la migración de su software a otra herramienta y DEDALUS BIOLOGY extrajo muchos más datos de los necesarios para llevar a cabo esta tarea. 

Este incumplimiento de la obligación del encargado de cumplir con las instrucciones del responsable es una infracción del artículo 29 del RGPD. La CNIL también multó a la organización por no satisfacer la obligación de regular el tratamiento mediante un acto legal, pues los contratos proporcionados a la CNIL por parte de DEDALUS no contenían las cláusulas obligatorias del artículo 28.3 del RGPD que establece que el tratamiento de datos “…se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros…” 

Durante su investigación, la CNIL descubrió insuficiencias técnicas y organizativas en la seguridad de DEDALUS BIOLOGY en relación a las operaciones de migración de software, entre ellas la ausencia de un procedimiento específico a tales efectos, la falta de cifrado de datos que eran almacenados en un servidor problemático y la inexistencia de la supresión automática de datos tras la migración a otro software. Además, los sistemas de la compañía carecían de la autenticación requerida desde internet para acceder el área pública del servidor y varios empleados compartían cuentas en la zona privada del servidor. DEDALUS tampoco contaba con un procedimiento de supervisión y gestión de alertas de seguridad en el servidor. Estas medidas de seguridad insatisfactorias contribuyeron a que tuviese lugar a brecha de seguridad que comprometió los datos médicos y administrativos de cerca de 500.000 personas y violó el artículo 32 del RGPD.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.