La AEPD resuelve sin sanción un caso de brecha de seguridad: la empresa, Wizink Bank, demostró aplicar medidas de seguridad adecuadas para la protección de datos, pero una trabajadora encargada de tratamiento se las saltó.
Así pues, la brecha de seguridad se produjo de forma deliberada, cuando la encargada de tratamiento envió un “documento que contenía datos de clientes de la investigada[…], a través del buzón genérico de la Sección Sindical […] a un tercero […] que carecía de todo tipo de relación contractual con la investigada[…] ni con su encargada del tratamiento. Este archivo contenía 743 registros de clientes”.
La persona que realizó el envío, lo hizo desde un buzón genérico al que varias personas tenían acceso, pero las medidas de seguridad implantadas previamente por la empresa permitieron detectar el envío injustificado de esta información e iniciar una investigación. La investigación esclareció qué persona realizó el envío gracias al sistema de registro y control de accesos: solo una persona miembro de la Sección Sindical había tenido acceso al archivo que se envió adjunto. La empresa notificó a la AEPD para comunicar lo sucedido y el resultado de la investigación.
Claves para evitar una sanción en caso de brecha de seguridad
Alguna de las claves para este resultado favorable a la empresa denunciada han sido:
- El envío fue detectado por la empresa en el mismo día en que se produjo.
- La empresa notificó la brecha de seguridad a la AEPD, demostrando diligencia y transparencia.
- La empresa contrató una empresa especializada de análisis forense para realizar una análisis informático forense del suceso.
- La empresa implementó medidas adicionales para evitar que el incidente se vuelva a producir:
- Implantación de un sistema de bloqueo de los e-mails salientes a personas externas de la empresa que contengan archivos adjuntos, a no ser que se dispongan de un autorización previa.
- Implantación de un protocolo automático por el cual, en caso de que un archivo esté 3 años sin modificarse, se almacene en un repositorio específico, con accesos muy limitados.
- Formación a los empleados, recordando la importancia de cumplir con las políticas de protección de datos implantadas en la empresa.
- Suspensión de empleo para la persona causante de la brecha de seguridad.
La importancia de implantar medidas adecuadas de ciberseguridad y protección de datos
Este caso es una muestra que, si una empresa implanta una política de protección de datos y ciberseguridad adecuada, forma a sus trabajadores, pero uno de ellos se la salta, es posible eludir responsabilidades y evitar una sanción por parte de la AEPD.
A destacar que, si la empresa no hubiera implantado protocolos de seguridad para el registro y control de la actividad de los trabajadores, no habría podido demostrar la conducta inapropiada por parte de la trabajadora y habría sido sancionada duramente: por la brecha de seguridad y por carencia de medidas de seguridad adecuadas para su detección. Si tu empresa ya está adaptada al RGPD y LOPD pero la red empresarial carece de un sistema para el registro y control de la actividad de tus trabajadores, está incumpliendo la ley y desprotegida ante conductas antirreglamentarias de sus miembros.
Llámanos ahora y conoce ET Seguridad, la única solución completa LOPD para la monitorización de la actividad y accesos en los equipos informáticos.
Solución global LOPD
Nuestra solución software insignia por sus funciones de seguridad y productividad únicas en el mercado. Si tu empresa ya tiene hecha la LOPD pero no protege sus equipos informáticos con los requisitos explicados arriba, NO está cumpliendo con la ley.
0 comentarios