La Agencia de Protección de Datos de Dinamarca evalúa que un proveedor de pruebas rápidas no ha implementado medidas de seguridad adecuadas durante la elaboración de informaciones confidenciales e informaciones sanitarias en relación a las pruebas COVID-19.
La Agencia Danesa de Protección de Datos ha señalado a la policía Charlottenlund Lægehus Medicals Nordic I/S (“Medicals Nordic”) para haber elaborado informaciones confidenciales y informaciones sanitarias sobre los ciudadanos en relación a las pruebas COVID-19, sin que la sociedad ha establecido la necesaria seguridad de tratamiento de las informaciones. La Agencia Danesa de Protección de Datos ha establecido una sanción de 600.000 DKK.
La Autoridad toma la cuestión muy seriamente porque se refiere a informaciones sensibles. Cuando se confía el tratamiento de las informaciones sobre la salud de los ciudadanos, hay la responsabilidad de cuidarse, y esto no ha sido hecho en este caso.
En enero de 2021, la Agencia Danesa de Protección de Datos ha venido a conciencia que Medicals Nordic ha utilizado la aplicación WhatsApp para compartir informaciones confidenciales y informaciones sanitarias sobre los ciudadanos que han sido testadas en los centros de pruebas de empresas.
Sobre esta base, la Agencia Danesa de Protección de Datos ha empezado una investigación de la propia operación, que, por ejemplo, tendría que aclarar si Medicals Nordic ha implementado adecuadas medidas de seguridad organizativas y técnicas en relación a la transmisión de las informaciones de los ciudadanos.
Por esta razón, la Agencia Danesa de Protección de Datos ha revelado que Medicals Nordic no ha establecido medidas de seguridad en una serie de casos.
Precauciones de seguridad
Los empleados de Medicals Nordic han utilizado sus teléfonos privados para compartir informaciones confidenciales sobre los ciudadanos a la administración central de la agencia mediante la aplicación WhatsApp. Por esta razón, Medicals Nordic había creado un grupo WhatsApp por cada de los cuatros centros gestionados desde la empresa.
Todos los empelados que han trabajado en un centro de pruebas han sido invitados al grupo WhatsApp en cuestión y han recibido todos los mensajes que otros empleados han compartidos en los grupos.
Esto significaba que los empleados, según la Agencia Danesa de Protección de Datos, no había una necesidad laboral de tratar las informaciones – que otros empleados tendían que compartir a la administración central – recibían las informaciones, como, por ejemplo, el numero de previdencia social y las informaciones sanitarias sobre los ciudadanos.
Un control inadecuado de los accesos a los grupos ha significado que los empleados no eran más empleados no han sido removidos desde los grupos WhatsApp, de manera que podían continuar a acceder a las informaciones compartidas en los grupos.
¿Por qué quejarse con la policía?
La Agencia Danesa de Protección de Datos efectúa siempre una evaluación concreta de la gravedad del caso con arreglo al artículo 83, apartado 1, del GDPR, en evaluar cual sanción sea la mejor, bajo opinión de la Autoridad.
En evaluar la aplicación de una sanción, la Agencia Danesa de Protección de Datos ha subrayado que las informaciones reservadas y las informaciones sanitarias relativas a un gran numero de ciudadanos han sido tratadas de manera no cierta y compartidas a personas no autorizadas, incluidos los empleados que no tenían la necesidad de trabajar para recibir las informaciones. Además, hay otros empleados que no eran más empleados de la empresa.
Además, la Agencia Danesa de Protección de Datos ha subrayado que las violaciones en casos diferentes, a juicio de la Autoridad, se han ocurrido intencionalmente, en cuanto Medicals Nordic, entre todo, no había efectuado las necesarias evaluaciones de los riesgos en relación al tratamiento.
FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA DANIMARCA