En la resolución R/01306 de la AEPD podemos ver la sanción que puede sufrir una entidad por no tener implantadas las medidas de seguridad exigidas.
Con fecha 29 de marzo de 2010 tiene
entrada en la AEPD un escrito de D. A.A.A., en el que declara que, la empresa
HIPERCOR, S.A., no cuenta con las
medidas de seguridad oportunas con relación a información de datos clínicos,
ya que desde dos terminales ubicados en el muelle de recepción de mercancías,
donde tiene su puesto de trabajo, se pueden visualizar, entre otros, análisis
clínicos de trabajadores de la empresa.
Durante la visita de las inspectoras de
la AEPD, el denunciante accede a un equipo informático que está en el muelle,
observándose que aunque el sistema pide
un usuario y contraseña para acceder, el usuario sale ya por defecto, y la
contraseña es la misma que el nombre de usuario.
Se puede además comprobar que desde ese
equipo, a través de la red local es
posible acceder a carpetas que están situadas en el equipo de la Jefa de
Recursos Humanos del centro, en concreto es posible acceder a una carpeta
denominada “Servicio Médico” y que contiene los resultados analíticos de los empleados del centro.
A las 15:30 horas, las inspectoras de la
Agencia y los representantes de la entidad, se trasladan al muelle,
verificándose que ha sido subsanado el error.
Resultado: Sanción de 20.000 € por
vulneración del artículo 9.1 de la LOPD en relación a las medidas de seguridad.
Las medidas de seguridad, además de
figurar en el documento de seguridad, han de implantarse
IMPORTANTE
No hay comentarios:
Publicar un comentario