En el procedimiento sancionador PS/00537/2017 instruido por la Agencia Española de Protección de datos, se acuerda sancionar a la entidad CRUZ ROJA por incumplimiento del artículo 9.1 de la Ley Orgánica de Protección de datos 1999, en el que se dice que: “El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado (…).”
La denunciante expone que, accediendo a la web***URL.1 y tecleando un nombre al azar en el buscador de la parte superior derecha, el sistema refleja nombres y apellidos de la base de datos, incluso, en algunos casos, sin necesidad de estar autenticado. Además, cuando se incluye un nombre y apellidos, salen los e-mails de las personas referidas. Se aporta como prueba la impresión de pantalla en la que se reflejan 3 resultados de personas que incluyen tales términos.
Los servicios de inspección de la Agencia, en fase de actuaciones previas, verifican la falta de confidencialidad de la página web, instando a la entidad a que actúe para subsanar el error técnico. La empresa informática que lleva el mantenimiento de la web procede a darle solución en un plazo de dos días.
La AEPD finalmente cuantificó la sanción en la cantidad de 4.500 euros.
IMPORTANTE
Art.72.1.a de la LOPDPGDD: Vulnerar el principio de integridad y confidencialidad de la información supone una Infracción muy grave.
