sanciona a la Consejería de Salud
10Nov

La AEPD sanciona a la Consejería de Salud de una CCAA por un fallo en el sistema “AUTOCITA”

La crisis de la COVID 19 provocó la saturación del sistema sanitario de España y de gran parte del mundo. Con el ánimo de descongestionar los recursos sanitarios, las comunidades autonómicas desarrollaron un sistema “Autocita”, mediante el cual los propios ciudadanos vía web podían concertar una cita para la vacunación contra la COVID.

En este contexto, la Agencia Española de Protección de Datos ha sancionado a una comunidad autónoma, pues un error en Autocita dejaba al descubierto los datos de los ciudadanos, aunque no se ha podido valorar con exactitud el número de ciudadanos afectados. En concreto, esta Agencia señala que hubo un fallo en el sistema, debido al cual quedaban expuestos datos personales accediendo mediante una cookie de sesión válida, y editando la URL accedida uno de los campos de entrada llamado “idPaciente” con un DNI válido.

La AEPD concluyó que la Consejería de Salud vulneró lo establecido en el artículo 25.1 del RGPD, al no aplicar las “medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.” La resolución de la AEPD pone de manifiesto la necesidad de dotar a los sistemas de información de las medidas de seguridad adecuadas para garantizar la seguridad de los datos.

Además, esta Consejería de Sanidad no comunicó la brecha a la AEPD, al entender que no conllevaba un riesgo para los derechos de los interesados, pues la brecha no afectó a datos relativos a la salud. No obstante, este hecho ha conllevado una nueva infracción, lo que pone en evidencia la importancia de comunicar las brechas de seguridad a la autoridad de control.

¿Cuándo se deben comunicar las brechas de seguridad?

El RGPD define las brechas de seguridad de una manera muy amplia, como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. En este sentido, se debe entender como brecha de seguridad cualquier percance que afecte a la confidencialidad, la disponibilidad o la integridad de datos personales.

Estas brechas deberán comunicarse a la AEPD cuando sea probable que la brecha constituya un riesgo para los derechos y libertades de las personas. En tal caso, debe realizarse sin dilación y a más tardar en las 72 horas siguientes desde que se tenga conocimiento, computando también las horas trascurridas durante fines de semana y festivos.

Para evaluar el riesgo, se deben tener en cuenta los siguientes factores:

  • Tipo de brecha de datos personales
  • Naturaleza, carácter sensible y el volumen de datos personales
  • Facilidad de identificación de las personas
  • Gravedad de las consecuencias para los derechos y libertades de las personas
  • Número de personas afectadas

Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.

Share this post

Related Posts

La AEPD sanciona a una pagina web
La AEPD sanciona a una página web por no disponer de las políticas de privacidad y de cookies

La Agencia Española de Protección de Datos (AEPD) ha sancionado...

20/01/2022
La seguridad en la empresa: una obligación de medios y no de resultado

La Agencia Española de Protección de Datos ha sancionado recientemente...

26/01/2023
Agencia Española de Protección de Datos (AEPD): ¿Qué es?

La tecnología y el mundo digital han revolucionado la forma...

31/08/2023
Cinco consejos para cumplir el RGPD en la relación con tus empleados
Cinco consejos para cumplir el RGPD en la relación con tus empleados

¿Qué hacer si eres responsable del tratamiento de datos? Las relaciones...

07/01/2022
Contratos de proveedores: claves para cumplir el RGPD

El Reglamento General de Protección de Datos define la figura...

07/12/2023
Sancionan a un empresario por captar sonido a través de las cámaras de seguridad

La Agencia Española de Protección de Datos ha impuesto una...

28/09/2023
¿Quién tiene obligación de cumplir la LSSI?

En el mundo digital actual, cumplir con las regulaciones legales...

18/01/2024
¿Puede la empresa monitorizar el PC de los empleados?

En la era digital en la que vivimos, es común...

20/07/2023
¿Puede un club infantil publicar imágenes de los menores en las redes sociales?
¿Puede un club infantil publicar imágenes de los menores en las redes sociales?

Como consecuencia de la difusión de imágenes de menores, en...

23/12/2021
Sexting: ¿Qué es y cuáles son los riesgos?
Sexting: ¿Qué es y cuáles son los riesgos?

¿Has oído hablar del sexting? Es un término que cada...

12/05/2022