En la resolución de la AEPD se sanciona a una clínica dental por no atender a tiempo una brecha de seguridad de datos personales.
La entidad sancionada comunicó a la División de Innovación Tecnológica de la AEPD una brecha de seguridad de datos personales, siendo ésta realizada en una fecha muy posterior al plazo legal que marca la norma de 72hrs. Se comunicó la detección de un Malware en el ordenador servidor de la clínica, que impedía el acceso al sistema informático utilizado para la recopilación de datos. La brecha afectó a la disponibilidad y confidencialidad de los datos personales entre los que se incluían datos de salud e historiales clínicos de los pacientes.
La AEPD en su labor de investigación solicitó a la sancionada el registro documentado de la brecha de seguridad, el registro de actividades de tratamiento, la comunicación a los afectados y justificación del motivo de retraso de la notificación de la brecha. Además, le solicitó el análisis de riesgos, la posible Evaluación de impacto y las medidas de seguridad implementadas antes y después de la brecha.
La sanción ascendió a 20.000€ por falta de diligencia en la notificación y no haber aplicado las medidas adecuadas para mitigar los riesgos.
IMPORTANTE
La notificación de una brecha de seguridad de datos personales debe hacerse de forma inmediata y a más tardar en las 72hrs después de conocer el incidente.
