El Comisario de Información australiano ha presentado ante el Tribunal Federal un procedimiento de sanción civil contra Medibank Private Limited en relación con la filtración de datos de octubre de 2022.
El Comisario alega que, entre marzo de 2021 y octubre de 2022, Medibank interfirió gravemente en la privacidad de 9,7 millones de australianos al no tomar medidas razonables para proteger su información personal contra el uso indebido y el acceso o la divulgación no autorizados, infringiendo la Ley de Privacidad de 1988.
Los procedimientos siguen a una investigación iniciada por la Comisaria de Información australiana, Angelene Falk, después de que Medibank fuera objeto de un ciberataque en el que uno o más actores de amenazas accedieron a la información personal de millones de clientes actuales y antiguos, que posteriormente se publicó en la dark web.
«La divulgación de información personal en la dark web expuso a un gran número de australianos a la posibilidad de sufrir daños graves, incluida la posible angustia emocional y el riesgo material de robo de identidad, extorsión y delitos financieros», declaró la Comisaria de Información australiana en funciones, Elizabeth Tydd.
El negocio de Medibank como proveedor de servicios de seguros de salud implica centralmente recopilar y conservar la información personal y sensible de salud de los clientes. En el ejercicio cerrado en junio de 2022, Medibank generó unos ingresos de 7.100 millones de dólares y un beneficio anual de 560 millones de dólares.
«Alegamos que Medibank no adoptó medidas razonables para proteger la información personal que obraba en su poder, habida cuenta de su tamaño, sus recursos, la naturaleza y el volumen de la información sensible y personal que manejaba, y el riesgo de perjuicio grave para una persona en caso de violación», declaró el comisario Tydd.
«Consideramos que la conducta de Medibank dio lugar a una grave injerencia en la intimidad de un número muy elevado de personas».
La Comisaria de Privacidad, Carly Kind, ha declarado: «Las organizaciones que recogen, utilizan y almacenan información personal tienen una responsabilidad considerable a la hora de garantizar que los datos se conservan de forma segura. Esto es especialmente cierto cuando se trata de datos sensibles».
«Este caso debe servir de llamada de atención a las organizaciones australianas para que inviertan en sus defensas digitales a fin de hacer frente a los retos de un panorama cibernético en evolución. Las organizaciones tienen el deber tanto ético como legal de proteger la información personal que se les confía y la responsabilidad de mantenerla a salvo.»
Antecedentes
La Oficina del Comisionado Australiano de Información (OAIC) inició una investigación sobre las prácticas de privacidad de Medibank a raíz de una violación de datos de Medibank y su filial ahm que fue notificada a la oficina el 25 de octubre de 2022.
La investigación se centró en determinar si los actos o prácticas de Medibank constituían una injerencia en la intimidad o una infracción del Principio australiano de privacidad (APP) 11.1.
En virtud de la APP 11.1, Medibank está obligado a adoptar las medidas que sean razonables en las circunstancias del caso para proteger la información que posee contra el uso indebido, la interferencia y la pérdida, así como contra el acceso, la modificación o la divulgación no autorizados.
La investigación de la OAIC examinó las prácticas de Medibank en relación con la gestión y la seguridad de la información personal y si dichas medidas eran razonables dadas las circunstancias para proteger la información personal del acceso no autorizado.
El Comisario de Información australiano puede solicitar al Tribunal Federal una orden de sanción civil cuando se alegue que una entidad ha cometido injerencias graves o reiteradas en la intimidad contraviniendo el artículo 13G de la Ley de Protección de la Intimidad.
Para estos procedimientos, el Tribunal Federal puede imponer una sanción civil de hasta 2.220.000 dólares por cada contravención del artículo 13G (según la tasa de sanción aplicable de marzo de 2021 a octubre de 2022). La decisión de imponer una sanción civil y la cuantía de la misma son cuestiones de las que debe ocuparse el tribunal.
La OAIC también ha recibido múltiples denuncias individuales relacionadas y una denuncia representativa.
https://www.oaic.gov.au/newsroom/oaic-takes-civil-penalty-action-against-medibank