La ciudad de Helsinki ha informado de una grave violación de datos personales en su red de datos. La Oficina del Defensor de la Protección de Datos está investigando la violación de datos personales para determinar si la ciudad ha cumplido los requisitos de protección de datos y ha empleado las salvaguardias adecuadas. La policía está investigando el incidente como acceso ilegal agravado a un sistema de información.
El 30 de abril, el Ayuntamiento de Helsinki notificó a la Oficina del Defensor de la Protección de Datos una violación de datos personales en la División de Educación. Según la información facilitada por la ciudad de Helsinki, el autor accedió a los datos de 38.000 empleados de la ciudad y, en el peor de los casos, la violación de datos personales afecta a más de 80.000 alumnos y a sus tutores.
La Oficina del Defensor de la Protección de Datos actuó inmediatamente cuando se descubrió el incidente. En un primer momento, se ordenó al Ayuntamiento que informara a los interesados y al público sobre la violación de los datos personales. La investigación de la Oficina del Defensor de la Protección de Datos sigue en curso. Se ha pedido al Ayuntamiento que presente un informe sobre el incidente antes del 5 de junio.
«Según nuestros conocimientos actuales, se trata de un incidente grave. En casos como este, es importante informar a la gente lo antes posible sobre la violación de datos personales para que puedan protegerse de sus consecuencias», afirma la Defensora del Pueblo adjunta para la Protección de Datos, Annina Hautala.
Se estudiarán nuevas medidas basadas en el informe
La Oficina del Defensor de la Protección de Datos está investigando el asunto desde la perspectiva del cumplimiento de la legislación sobre protección de datos. El Ayuntamiento también ha informado del incidente al Centro Nacional de Ciberseguridad de la Agencia Finlandesa de Transportes y Comunicaciones (Traficom) y a la policía. El Centro Nacional de Ciberseguridad y la Oficina del Defensor de la Protección de Datos cooperarán en la investigación en la medida necesaria.
«Garantizar la seguridad del tratamiento de los datos personales debería ser lo primero en la agenda de protección de datos de cualquier organización. El Defensor del Pueblo Europeo vela por que todo el mundo cumpla la legislación en materia de protección de datos, de modo que todos podamos estar seguros de que nuestros datos personales están a salvo. Para respaldar estos poderes coercitivos, se ha otorgado a la autoridad de protección de datos la facultad de imponer sanciones a las organizaciones que infrinjan la legislación sobre protección de datos. Evaluaremos los próximos pasos una vez tengamos el informe del Ayuntamiento de Helsinki», dice Hautala.
Las empresas pueden ser condenadas a pagar una multa administrativa por violaciones graves de datos personales. Según la legislación vigente, las multas administrativas no pueden imponerse a entidades del sector público. Para garantizar la igualdad de sanciones por intervenir en las prácticas ilícitas de las organizaciones del sector público, el Programa del Gobierno del Primer Ministro Petteri Orpo especifica que las multas administrativas deben extenderse también al sector público.
Consejos para las víctimas de la violación de datos
Los afectados por la violación de datos personales pueden ponerse en contacto directamente con el Ayuntamiento de Helsinki para obtener información adicional. El Ayuntamiento ha anunciado que facilitará más información a medida que avance la investigación.
Si una organización ha infringido el Reglamento General de Protección de Datos de manera que cause daños a una persona, tiene derecho a una indemnización por los daños. Las reclamaciones por daños y perjuicios relacionadas con violaciones de datos personales u otros delitos pueden resolverse en relación con el juicio penal. También puede presentar la reclamación de indemnización directamente a la organización en cuestión.