Blog

Actualidad sobre ciberseguridad, protección de datos y soluciones de software.

Protección de datos y RGPD

Sanción al Departamento de Justicia por enviar datos sensibles sin cifrar a través de e-mail

8 Oct, 24

La Autoritat Catalana de Protecció de Dades ha sancionado al Departamento de Justicia, Derechos y Memoria por una grave infracción del Reglamento General de Protección de Datos (RGPD). El organismo cometió una vulneración del artículo 5.1.f al enviar informes periciales con datos personales especialmente sensibles sin implementar las medidas de seguridad necesarias. Estos documentos fueron remitidos sin cifrar, a través de un correo electrónico, a una persona que ya no pertenecía al departamento, utilizando una dirección Gmail.

Consulta el enlace a la sanción aquí

Falta de medidas de seguridad en el envío de datos sensibles

El artículo 5.1.f del RGPD establece que los datos personales deben ser tratados de manera que se garantice su integridad y confidencialidad, evitando cualquier tratamiento no autorizado o ilícito. Además, el artículo 32.1 obliga a los responsables del tratamiento a adoptar medidas técnicas y organizativas adecuadas, como el cifrado de las comunicaciones electrónicas, para proteger los datos personales de posibles riesgos.

En este caso, el envío de información sin cifrar expuso datos especialmente protegidos a terceros, lo que constituye una clara vulneración de los principios de seguridad establecidos en el RGPD. La falta de medidas adecuadas para proteger los informes periciales, que contenían datos sensibles, pone de relieve la importancia de cumplir estrictamente con la normativa vigente en materia de protección de datos.

La importancia de implementar soluciones tecnológicas y protocolos de seguridad

Al tratarse de un organismo público, el Departamento de Justicia no puede ser sancionado económicamente. Sin embargo, si esta infracción hubiera sido cometida por una empresa privada, habría enfrentado una multa económica significativa, según lo establecido en el artículo 83.4.a del RGPD.

Este incidente subraya la necesidad de erradicar prácticas inseguras como el envío de correos electrónicos sin cifrar para gestionar datos sensibles. Para cumplir con las obligaciones legales, las organizaciones deben adoptar soluciones tecnológicas avanzadas, como herramientas de cifrado, y establecer protocolos de seguridad efectivos. Estas medidas no solo evitan sanciones, sino que también protegen la privacidad y la confianza de los usuarios en el manejo de su información personal.

¿Qué es el RGPD? ¿Y qué implica el envío de datos sensibles sin cifrar?

El Reglamento General de Protección de Datos (RGPD), conocido en inglés como General Data Protection Regulation (GDPR), es una normativa de la Unión Europea que tiene como objetivo proteger los datos personales de los ciudadanos en la era digital. Este reglamento entró en vigor en mayo de 2018 y es aplicable en todos los países de la Unión Europea (UE) y el Espacio Económico Europeo (EEE).

El artículo 5.1.f del RGPD regula el principio de integridad y confidencialidad, estableciendo que los datos personales deben ser tratados de manera que se garantice una seguridad adecuada, incluyendo la protección contra el tratamiento no autorizado o ilícito, y contra su pérdida, destrucción o daño accidental. Este objetivo para la protección de datos se logra mediante la aplicación de medidas organizativas y técnicas en los sistemas informáticos que aseguren el tratamiento de estos datos para cumplir con los requisitos de la directiva en confidencialidad, disponibilidad e integridad.

  1. Protección de Datos Personales: Garantiza que los datos personales sean tratados de manera segura y confidencial, protegiéndolos contra el acceso no autorizado, la pérdida, la destrucción o el daño accidental.
  2. Derechos de los ciudadanos: Refuerza los derechos de los individuos sobre sus datos personales, incluyendo el derecho de acceso, rectificación, supresión (derecho al olvido), y portabilidad de los datos.
  3. Responsabilidades de las empresas: Establece obligaciones claras para las empresas y organizaciones sobre cómo deben recopilar, almacenar y gestionar los datos personales. Por tanto, incluye la necesidad de tener el consentimiento explícito del usuario y la obligación de notificar violaciones de seguridad.

Sanciones por incumplimiento del RGPD

El artículo 32.1 del RGPD obliga a los responsables y encargados del tratamiento a garantizar la seguridad de los datos personales con las medidas técnicas y organizativas que apliquen en cada caso.

Para cumplir con estas obligaciones, el Reglamento de RGPD exige que los responsables del tratamiento identifiquen y evalúen los riesgos que el tratamiento de los datos puede implicar para los derechos y libertades de los titulares. A través de esta evaluación, deben determinar las medidas de seguridad necesarias para garantizar un nivel de seguridad adecuado, utilizando el Esquema Nacional de Seguridad (ENS).

Estas son las principales disposiciones que afectan a las empresas y organizaciones en el uso de datos personales de un usuario o ciudadano residente en la Unión Europea:

  • Consentimiento: Las empresas deben obtener un consentimiento claro y explícito de los individuos para procesar sus datos personales mediante escrito autorizado o grabación de voz que permita demostrarlo.
  • Derecho al olvido: Los individuos pueden solicitar la eliminación de sus datos personales cuando no se usen con la finalidad solicitada inicialmente.
  • Portabilidad de los datos: Permite a los individuos recibir sus datos personales en un formato estructurado y transferirlos a otro operador.
  • Notificación de fallos en seguridad: Las empresas deben notificar a los usuarios y a las autorizades afectados el caso de una violación de seguridad en los datos personales.

El RGPD supone un impacto significativo en cómo las empresas gestionan los datos personales, obligándolas a revisar y actualizar sus políticas de privacidad y seguridad. Las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual de la empresa de alcance internacional, la Administración se reserva el derecho a sancionar con la multa de mayor cuantía.

La normativa en protección de datos para entornos digitales es cada vez más estricta y supone elevadas sanciones para las empresas en caso de incumplimiento. Si estás pensando en revisar tus procesos de protección de datos y ciberseguridad, en Edorteam disponemos de un equipo de especialistas en normativa legal unido a un departamento técnico para aplicarlo de forma eficiente al software y los sistemas informáticos de tu empresa. Consulta nuestros servicios de auditoría en protección de datos y contacta un consultor experto para analizar la situación de tu empresa y  asesorarte sin compromiso.

Etiquetas: aepd, compliance empresa, cumplimiento normativo, data loss prevention, DLP, Encriptación de Datos, encriptar archivos, protección de datos, rgpd, sancion

Síguenos

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Otras publicaciones relacionadas