Por Estrella Arana, Responsable del área de Privacidad y Protección de Datos.
La Agencia Española de Protección de Datos («AEPD») ha impuesto una sanción de 70.000 Euros a una Fundación de oncología médica que trata datos de salud por no haber implementado medidas de seguridad suficientes (Expediente núm. EXP202416691).
La Fundación Sociedad Científica de Oncología Médica (en lo sucesivo, «FSEOM» o «la Fundación»)notificó a la AEPD que uno de sus proveedores había sufrido una brecha de seguridad que había afectado a los datos de salud de alrededor de 2.600 pacientes que formaban parte de un estudio observacional liderado por la Fundación. Dicho proveedor era una CRO (esto es, una empresa que subcontrata el promotor de un estudio clínico para que se encargue de la gestión del mismo)que gestionaba el estudio observacional en su conjunto y también prestaba servicios desde el punto de vista tecnológico, ya que proveía de una aplicación móvil (app) y arquitectura tecnológica. Como encargado de tratamiento de los datos de FSEOM, se firmó un contrato de encargo que incluía varios anexos en los que se especificaban las medidas de seguridad a aplicar por el proveedor, por lo que desde la Fundación se consideraba que había obrado correctamente.
La violación de seguridad de datos personales se produjo a través de un ataque informático y tuvo lugar en los sistemas del proveedor, ya que éste almacenaba en sus servidores el correo electrónico de los participantes en el estudio observacional, su número de teléfono móvil y diversos datos relativos a la salud de cada participante. Por ello, este ataque afectó a la confidencialidad de sus datos.
Una vez se tuvo conocimiento de la brecha, tanto la Fundación como el proveedor trabajaron para mitigar las consecuencias del suceso lo antes de posible y se implementaron medidas técnicas y organizativas orientadas para evitar, en lo posible, incidentes de seguridad como el sucedido. Entre estas acciones se incluyó la notificación por parte de FSEOM, como responsable del tratamiento de los datos, tanto a la AEPD como las personas afectadas por el ciberataque.
Posteriormente se inició un procedimiento de investigación por parte de la AEPD y, tras analizar toda la documentación e información aportada por FSEOM (la cual incluía informes periciales de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica), se concluyó que el hecho de que la empresa proveedora (encargada del tratamiento) no tuviera implantadas ciertas medidas en el momento del incidente, facilitó que se produjera la brecha de datos personales, así como el mayor impacto de la misma. Y es que la AEPD considera que las medidas, que con gran probabilidad habrían impedido que se produjera la brecha o hubieran reducido su impacto, se introdujeron por el propio encargado a posteriori (de forma reactiva) con el fin de evitar que volviera a producirse una brecha de datos similar, pero no antes ni tampoco siguiendo las instrucciones de la Fundación.
La AEPD recuerda que, de conformidad con el artículo 4.8 del RGPD, el encargado del tratamiento es quien «trate datos personales por cuenta del responsable del tratamiento», por lo que entiende que FSEOM, como responsable del tratamiento, no tenía implantadas las medidas técnicas u organizativas apropiadas para evitar un incidente como el que se produjo. Por tanto, la AEPD considera que los hechos son constitutivos de una infracción imputable a FSEOM por vulneración del artículo 5.1.f) del RGPD (principio de integridad y confidencialidad), puesto que, como responsable, no garantizó una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
En un primer momento, la AEPD impone a FSEOM una sanción de 70.000 Euros, ya que tiene en consideración su volumen de ventas (aunque no se indica en la resolución) y también estima que existen circunstancias agravantes, como son:
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido (artículo 83.2, letra a), del RGPD): en este sentido, el acceso indebido a los datos personales se produjo debido a no contar con las medidas técnicas u organizativas apropiadas para evitar un incidente como el que dio origen a este procedimiento.
- Las categorías de los datos de carácter personal afectados por la infracción (artículo 83.2, letra g), del RGPD): como se ha indicado, entre los datos afectados por la brecha había datos de salud de los pacientes participantes en el estudio observacional, por tanto, datos de categoría especial protegidos por el artículo 9 del RGPD.
- La vinculación de la actividad del infractor con la realización de tratamientos de datos personales (artículo 76.2, letra b), de la LOPDGDD): FSEOM es una organización dedicada a recabar datos de salud sobre una patología determinada, por lo que está habituada al tratamiento de datos personales y su diligencia debería ser mayor.
Finalmente, FSEOM reconoció la infracción cometida, adoptó las medidas pertinentes para corregir los efectos de su conducta y realizó el pago voluntario de la cuantía propuesta por la Agencia, de modo que la sanción se redujo a 42.000 Euros.
En conclusión, la AEPD ha dejado claro que las empresas (como responsables del tratamiento) que contratan con un proveedor (encargado) para que realice un servicio no dejan de ser responsables de dicho tratamiento de datos personales, sino que deben desempeñar una actitud activa y guiar al encargado en cuanto a las medidas técnicas y organizativas a implementar. Es decir, el hecho de contar con un proveedor y firmar un contrato de encargado no significa descargar toda la responsabilidad en dicha entidad, sino que el responsable lo es durante todo el proceso de tratamiento de los datos y, por ello, también debe asumir las consecuencias que ello conlleva. Como en este caso, asumir una multa sancionadora que impone la autoridad de control.
