La Autoridad Danesa de Protección de Datos ha optado por denunciar al municipio de Lyngby-Taarbæk a la policía, ya que evalúa que el municipio no ha cumplido los requisitos para un nivel adecuado de seguridad en el reglamento de protección de datos.
El municipio de Lyngby-Taarbæk ha sido multado con entre 350.000 y 400.000 coronas danesas. por no haber cumplido con su obligación como responsable del tratamiento de implementar medidas de seguridad adecuadas en varios casos.
La Autoridad Danesa de Protección de Datos tuvo conocimiento de casos en los que el municipio informó de una violación de la seguridad de los datos personales relacionada con el acceso no autorizado a ellos.
Dos revisiones se referían a la falta de directrices y procedimientos para cancelar el acceso de los usuarios y a la ausencia de controles periódicos de los mismos. El problema afectaba al sistema informático KMD Nexus, que, entre otras cosas, fue utilizado en el área asistencial, y que por tanto contenía datos personales confidenciales y sensibles de un gran número de ciudadanos del municipio.
La inadecuada seguridad del municipio significó que al menos 1.000 ex empleados continuaron teniendo acceso al sistema después de que terminaron sus empleos. Según el municipio, se tuvo acceso a datos personales de aprox. 30.000 ciudadanos, y en al menos un caso este acceso fue abusado por un ex empleado que accedió a información sobre 1.022 ciudadanos.
Un tercer informe se refería a una persona no autorizada que había utilizado indebidamente la información de inicio de sesión de uno de los empleados del municipio. Esto dio acceso a los servicios de Office del empleado, incluidos Outlook, OneNote y SharePoint, que contenían información sobre aprox. 5.000 ciudadanos, empleados y socios comerciales.
Se puede acceder tanto al KMD Nexus como a los servicios de Microsoft directamente desde Internet. En este contexto, la Autoridad de Protección de Datos investigó si el municipio de Lyngby-Taarbæk había implementado una autenticación multifactor u otra seguridad efectiva para estas conexiones de acceso remoto. Resultó que este no era el caso, ya que los empleados podían iniciar sesión utilizando únicamente un nombre de usuario y contraseña.
Las medidas de seguridad faltantes estaban vigentes desde que se pusieron en uso los servicios de Microsoft y KMD Nexus en 2016 y 2018, respectivamente.
Requisitos para una seguridad adecuada
Los responsables del tratamiento tienen el deber de garantizar que los datos personales tratados no lleguen a conocimiento de personas no autorizadas.
«Puede, entre otras cosas, se garantiza garantizando continuamente que los empleados solo tengan acceso a los sistemas y la información que necesitan en su trabajo diario, y que este acceso finalice cuando los empleados dejen de estar empleados. Por lo tanto, los requisitos para la gestión de usuarios también forman parte desde hace muchos años de las medidas de seguridad más básicas», explica Vibeke Dyssemark, consultor jefe de la Autoridad Noruega de Protección de Datos, y continúa:
«Sin embargo, en estos procesos pueden producirse errores, por lo que también se deben realizar controles adecuados para garantizar que el acceso de los usuarios se haya cancelado de forma correcta y oportuna cuando los empleados cambien su función laboral o cesen».
Vibeke Dyssemark también destaca que el acceso a los sistemas informáticos con datos personales directamente desde Internet conlleva un alto riesgo:
«Cuando se da a los empleados acceso a sistemas informáticos con datos personales directamente desde Internet, aumenta el riesgo de que personas no autorizadas, p. ej. piratas informáticos: obtienen acceso a la información y pueden hacer un mal uso de ella. Si se concede acceso a información digna de protección, desde hace mucho tiempo es un requisito que se implemente la autenticación multifactor para garantizar un nivel adecuado de protección”.
Recomendación para una multa.
La Autoridad Danesa de Protección de Datos siempre realiza una evaluación concreta de la gravedad del caso de conformidad con el artículo 83, apartado 1 del Reglamento de Protección de Datos. 2, al valorar qué sanción es la correcta a juicio de la autoridad de control.
Al evaluar si se debe imponer una multa y al recomendar su cuantía, la Autoridad Danesa de Protección de Datos ha hecho especial hincapié en el hecho de que el municipio de Lyngby-Taarbæk en varios casos y durante un largo período no ha implementado medidas de seguridad básicas. Particularmente en relación a la gestión de usuarios, también se ha enfatizado que el municipio no había implementado lineamientos y procedimientos adecuados, a pesar de que el municipio había sido informado en varias ocasiones de que existían deficiencias en el área.
Al fijar el importe de la multa, la autoridad de control también ha tenido en cuenta las exigencias del Reglamento de protección de datos de que la multa en cada caso individual debe ser efectiva, proporcionada a la infracción y tener un efecto disuasorio. También se ha hecho hincapié en el tamaño del municipio en términos de población y licencia de explotación total.