Cargando. Por favor, espere

Portada

AXA paga una multa impuesta por la Agencia Española de Protección de Datos por la falta de medidas de seguridad en el tratamiento de datos que fueron incluidos en un USB encriptado enviado por correo postal, al incluir la clave de acceso en el mismo sobre.

Remitió por mensajería postal, en un sobre, un USB con datos de 143 personas, incluidos medios de pago. El USB estaba cifrado, pero la contraseña iba también dentro del sobre, que vino devuelto, pero sin el USB ni la contraseña dentro.

La falta de diligencia a la hora de implementar las medidas apropiadas de seguridad con la consecuencia del quebranto del principio de confidencialidad constituye por sí solo el elemento de la culpabilidad. Aunque es cierto que la reclamada fue quien notificó a la Agencia que había padecido una brecha de seguridad, ello no enerva la realidad de la ausencia de medidas de seguridad adecuadas.

El RGPD no establece un listado de las medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto de tratamiento, sino que establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.

Es decir, las medidas de seguridad deben resultar adecuadas y proporcionadas al riesgo detectado. La determinación de las medidas técnicas y organizativas deberá realizarse teniendo en cuenta: la seudonimización y el cifrado, la capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, la capacidad para restaurar la disponibilidad y acceso a datos tras un incidente, proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas. En el caso, la Agencia sitúa la falta de medidas adecuadas en el hecho de incluir la contraseña del USB que contenía los datos en el interior del sobre.

La AEPD acuerda la terminación del procedimiento sancionador incoado tras proceder AXA al pago voluntario de la multa, que se concreta en 80.000 euros, al beneficiarse de la reducción del 20% del importe fijado por la Agencia (100.000 euros), aunque no reconoce su responsabilidad.

El pago realizado voluntariamente implica la terminación del procedimiento, salvo en lo relativo a la reposición de la situación alterada, por lo que se imponen las medidas necesarias para que cese la conducta o se corrijan los efectos de la infracción.

Scroll