60.000 euros: el precio de perder 5 pendrives sin cifrar
60.000 euros: el precio de perder 5 pendrives sin cifrar
La pérdida de información sensible puede ser motivo de sanciones elevadas, con unas normativas de protección de datos cada vez más estrictas se van conociendo nuevos ejemplos por multas aplicadas por su incumplimiento. Uno de estos ejemplos es produjo a partir de lo que pasó en Radio Televisión Española (RTVE), la Agencia Española de Protección de Datos condenó hace unos meses el ente comunicativo a pagar una multa de 60.000 euros por la pérdida de 5 pendrives con información sin cifrar, es decir que los dispositivos se podían abrir y consultar los datos sin necesidad de utilizar ninguna contraseña ni permiso.

¿Cómo se perdieron los cinco pendrives?
Los hechos se remontan a noviembre de 2018 cuando en las instalaciones de Radio Televisión Española desaparecieron 5 pendrives sin cifrar. Estos dispositivos se encontraban, concretamente, en una bolsita monedero en la oficina de Atención al Participante del Plan de Pensiones, situada al centre de treball que RTVE té a Prado del Rey. Estos 5 pendrives eran propiedad de la Unión Sindical Obrera de RTVE y contenían una gran cantidad de datos de trabajadores de RTVE, datos sensibles como el nombre, apellidos, DNI, teléfono, dirección, fecha de nacimiento o estado civil entre otros, además, también contenían datos de tipo profesional como el puesto de trabajo, la categoría, el nivel salarial y las fechas de jubilación. En los mismos dispositivos también se encontraban otros datos muy delicados de los trabajadores como resoluciones médicas y de incapacidad, infracciones penales y condenas con el texto de la sentencia. El número de afectados es muy grande porque había recogidos los datos de todos los participantes del plan de pensiones desde 1995, el conjunto de datos se complementaba con el censo de trabajadores de RTVE.
Los pendrives desaparecidos se vieron por última vez el 12 de noviembre de 2018, el 25 de enero de 2019 RTVE y Comisiones Obreras declararon esta fuga de datos en la Agencia Española de Protección de Datos y, un poco más tarde, el 12 de marzo de 2019 la Unión Sindical Obrera de RTVE interpuso una reclamación contra la Corporación de Radio Televisión Española. infringir el artículo 32 del Registro General de Protección de Datos.
¿Cúal fue el posicionamiento de RTVE en este asunto?
Los hechos se remontan a noviembre de 2018 cuando en las instalaciones de Radio Televisión Española desaparecieron 5 pendrives sin cifrar. Estos dispositivos se encontraban, concretamente, en una bolsita monedero en la oficina de Atención al Participante del Plan de Pensiones, situada al centre de treball que RTVE té a Prado del Rey. Estos 5 pendrives eran propiedad de la Unión Sindical Obrera de RTVE y contenían una gran cantidad de datos de trabajadores de RTVE, datos sensibles como el nombre, apellidos, DNI, teléfono, dirección, fecha de nacimiento o estado civil entre otros, además, también contenían datos de tipo profesional como el puesto de trabajo, la categoría, el nivel salarial y las fechas de jubilación. En los mismos dispositivos también se encontraban otros datos muy delicados de los trabajadores como resoluciones médicas y de incapacidad, infracciones penales y condenas con el texto de la sentencia. El número de afectados es muy grande porque había recogidos los datos de todos los participantes del plan de pensiones desde 1995, el conjunto de datos se complementaba con el censo de trabajadores de RTVE.
Los pendrives desaparecidos se vieron por última vez el 12 de noviembre de 2018, el 25 de enero de 2019 RTVE y Comisiones Obreras declararon esta fuga de datos en la Agencia Española de Protección de Datos y, un poco más tarde, el 12 de marzo de 2019 la Unión Sindical Obrera de RTVE interpuso una reclamación contra la Corporación de Radio Televisión Española. Por su parte la corporación de RTVE presentó alegaciones contra esta reclamación ya que consideraba que esta negligencia no había sido responsabilidad directa de la empresa, se argumentava que los pendrives eran propiedad de un delegado sindical de Comisiones Obreras que, como miembro de la Comisión de Control del Plan de Pensiones, tenía acceso a la oficina donde se encontraban los dispositivos. RTVE opinaba que los representantes sindicales también forman parte de la empresa y que, en consecuencia, debían cumplir la Normativa Interna de la organización y el convenio colectivo, en estos documentos incluye requerir a los representantes sindicales una responsabilidad extra de confidencialidad, un tipo de responsabilidad que según el ente comunicativo este representante no había cumplido.
¿En que artículo del RGPD se basa la sanción?
A pesar de estas alegaciones RTVE ha sido condenada por la Agencia de Protección de Datos a una multa de 60.000 euros por infringir el artículo 32 del Registro General de Protección de Datos.
El artículo 32 considera que los datos personales se cifrarán y garantizar la confidencialidad y disponibilidad de manera permanente en los sistemas y servicios de tratamiento, también se exige la capacidad de restaurar la disponibilidad y el acceso a los datos personales en caso de incidente y seguir un proceso de revisión constante de la eficacia de estas medidas. Además el artículo pide que hay que establecer la adhesión a un código de conducta que permita demostrar el cumplimiento de las medidas de las líneas anteriores.
La infracción de este artículo tiene como consecuencia la sanción monetaria recogida en el artículo 83.4 del Registro General de Protección de Datos, la cantidad de esta multa administrativa se basa en el cálculo del 2% del volumen de negocio total anual de la empresa a la que se ha condenado.
Este tipo de sanciones nos indican que hay que seguir una política estricta de seguridad en todos los dispositivos con los que trabajamos, especialmente con aquellos que salen del entorno de trabajo habitual, una pérdida o robo de estos dispositivos con los datos sin cifrar ni cualquier protocolo de protección puede ser muy perjudicial para nuestra organización. En Escuda te podemos asesorar para implementar las políticas más adecuadas a los dispositivos de tu organización, puedes rellenar este formulario o llamar al 931 931 848.
Noticias relacionadas:
Balance RGPD: Que ha pasado estos dos años?
Balance RGPD 2: Un foco sobre las sanciones
#protecciondedatos #rgpd #lopd #ciberseguridad #cifradodedispositivos
Puede que estos artículos te gusten
¿Cuál sería el impacto de un ciberataque en nuestra organización?
¿Está mi organización lista para hacer frente a un ciberataque? En anteriores publicaciones nos hemos preguntado “¿Por qué mis datos interesan a los ciberdelincuentes?” Y sobre todo “¿Es posible evitar ataques a través de los mails? ¿Cómo?” También hemos informado de...
Precauciones a la hora de borrar datos
¿Qué pasa si borramos esos datos?Se habla mucho de la importancia de los datos e informaciones (tanto personales como profesionales y de empresa), sin embargo, poco sabemos sobre cómo aplicar, de verdad, las normas que nos ayudan a protegerlos.Aprovechamos algunos...