La Agencia Española de Protección de Datos (AEPD) contempla sanciones para las empresas o entidades que no tengan implantadas de manera adecuada las medidas de
seguridad que exige la LOPD.
Para la correcta implantación y aplicación de las medidas de
seguridad, resulta indispensable el asesoramiento de un profesional, ya que las medidas de seguridad no sólo
deben estar documentadas, sino que deben aplicarse de forma efectiva. Os planteampos como ejemplo un caso real.
El procedimiento sancionador PS/00076/2011 recoge el caso de una cadena de supermercados que no contaba con
las medidas de seguridad oportunas, en relación a información de datos clínicos. Según la persona que denunció esta irregularidad, desde dos terminales ubicados en el muelle de recepción de mercancías, se podían visualizar, entre otros documentos, análisis
clínicos de trabajadores de la empresa.
Durante la visita de las inspectoras de
la AEPD, el denunciante pudo acceder a un equipo informático cercano a su puesto de trabajo. Aunque el sistema pedía un usuario y contraseña para acceder, el usuario salía ya por defecto, y la
contraseña era la misma que el nombre de usuario.
Además, desde ese
equipo, a través de la red local pudieron acceder a carpetas alojadas en el equipo de la jefa de
Recursos Humanos del centro. En concreto, pudieron acceder a una carpeta con resultados de analíticas de los empleados del centro.
A pesar de que la irregularidad fue subsanada de inmediato, la empresa tuvo que hacer frente a una sanción de 20.000 euros, por la vulneración del artículo 9.1 de la LOPD, en relación a
las medidas de seguridad.
No hay comentarios:
Publicar un comentario