Multa de 20.000 euros por no implementar correctamente una medida de seguridad

A 23 octubre 2013, en AEPD, LOPD, Noticias, por Mónica Cerezo López. Técnico Protección Datos

Desayunamos esta lluviosa mañana con la siguiente noticia que os queremos trasladar desde nuestro blog:

El tribunal competente para resolver los recursos a sanciones de la AEPD, la sala de lo contencioso de la Audiencia Nacional,  ha desestimado el presentado frente a una resolución sancionadora de 20.000 euros por permitir que se pudiera acceder fácilmente a los reconocimientos médicos de los trabajadores de una empresa que tenía los ficheros inscritos, un Documento de seguridad aprobado, e incluso había implementado medidas de seguridad.

La Agencia Española de Protección de Datos tramitó la denuncia presentada por un trabajador alertando sobre la posibilidad de  acceder a los resultados de los reconocimientos médicos de los trabajadores de su empresa, desde dos terminales informáticos fácilmente.

Mediante inspección realizada a la empresa por la Agencia Española de Protección de Datos se comprobó que aunque era necesario acceder a la citada información mediante un protocolo de identificación y autenticación, estos no era eficaces, ya que el usuario lo proporcionaba el programa por defecto y la contraseña era la misma que el código del usuario, lo que permitía acceder a datos de salud de más de 300 trabajadores de la compañía.

Ante esta situación la Agencia ha impuesto la multa indicada por vulneración del artículo 9.1 de la Ley Orgánica de Protección de Datos de Carácter Personal, en el cuál se recoge expresamente que “…deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado….”

Por su parte, en la resolución del recurso la Audiencia va un paso más allá en sus argumentaciones, al afirmar que “no basta con la adopción de cualquier medida, sino que resulta exigible que se pongan en marcha de forma efectiva”.

Por todo lo expuesto es necesario recordar que la Normativa impone obligaciones de resultado y que se debe evitar una falta sensación de seguridad por la simple aprobación, de la implantación de una serie de medidas o protocolos de actuación. Lo que deviene inútil si no se lleva al terreno práctico mediante, formación, seguimientos, etc …

 

Comments are closed.

Free WordPress Themes