La Agencia Danesa de Protección de Datos ha sido criticada en un caso en el que un Encargado del tratamiento, Mindworking A/S, no había garantizado la seguridad adecuada en el desarrollo de una plataforma (una aplicación web) dirigida a agentes inmobiliarios.
La Agencia Danesa de Protección de Datos ha tomado una decisión en un caso en el que Mindworking A/S, como procesador de datos y proveedor de una plataforma para transacciones inmobiliarias, no había garantizado que personas no autorizadas -mediante la inspección del código fuente (código XML)- pudieran acceder a los datos personales de la plataforma.
Violación de la seguridad de los datos personales
La información a la que se podía acceder en la plataforma era la que el agente inmobiliario individual había vinculado a una propiedad específica en venta. Esto incluía los nombres de los compradores potenciales y el precio que habían ofrecido por la propiedad, así como documentos que contenían datos personales. Se trataba, por ejemplo, de borradores de contratos de compraventa que -además de diversos datos de identidad- en algunos casos contenían también números de la seguridad social. Algunos de los datos personales ya eran información publicada en portales de registro de la propiedad.
Podían acceder a la información los usuarios vinculados a casos de compraventa concretos y tras iniciar sesión con un nombre de usuario y una contraseña. El usuario podía acceder a la información pulsando una tecla de función y activando las denominadas «herramientas Dev».
Falta de pruebas pertinentes
En la decisión, la Agencia Danesa de Protección de Datos afirma que, en general, los datos personales no deben aparecer en el código fuente ni en los campos de comentarios de la capa de visualización. Esto también se aplica a la información que no son datos personales, pero que podría comprometer la seguridad del tratamiento – por ejemplo, si es posible ver en texto claro los parámetros de gestión de servicios, certificados o similares.
La Agencia Danesa de Protección de Datos afirma además que no debe considerarse una medida de seguridad el hecho de que el acceso a la información requiriera que el usuario individual activara «Dev Tools» en el navegador.
En opinión de la Agencia Danesa de Protección de Datos, la funcionalidad de utilizar la tecla de función en cuestión es un proceso comúnmente conocido para inspeccionar el código fuente que no requiere competencias especiales en materia de seguridad informática.
La Agencia Danesa de Protección de Datos concluyó que el procesador de datos debería haber realizado las pruebas pertinentes de la plataforma antes de la puesta en marcha, ya que se trata de un error conocido y elemental que podría y debería haberse evitado fácilmente. Así pues, Mindworking A/S, como encargado del tratamiento, había infringido el artículo 32 del Reglamento al no haber adoptado las medidas organizativas y técnicas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos inherentes al tratamiento de datos personales.