La Oficina de Protección de Datos Personales ha impuesto una multa administrativa de 30.000,00 PLN al Tribunal de Distrito Szczecin-Centrum en Szczecin. La decisión constató una infracción de las disposiciones del RGPD consistente en que el responsable del tratamiento no adoptó medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad correspondiente al riesgo del tratamiento de datos mediante tarjetas de memoria portátiles.
La Oficina de Protección de Datos Personales recibió una notificación de una violación de datos personales presentada por el Tribunal de Distrito Central de Szczecin el 20 de septiembre de 2020. La violación se produjo como resultado de la pérdida de tres soportes de datos tipo pendrive: uno oficial, cifrado y dos privados, sin cifrar. Los medios perdidos contenían proyectos de sentencias y justificaciones que contenían datos personales (de diciembre de 2004 a agosto de 2020).
La investigación estableció el uso prolongado de soportes de datos privados en los equipos informáticos del Tribunal, no seguros y no verificados por el departamento de TI del Tribunal de Szczecin.
Además, se constató que el responsable del tratamiento, a pesar de contar con procedimientos para prohibir el uso de soportes de datos privados, no supervisó si el personal del Tribunal cumplía la normativa interna.
Durante el procedimiento, la autoridad constató que el responsable del tratamiento no había aplicado medidas técnicas adecuadas, como por ejemplo el bloqueo de puertos USB para impedir el uso de soportes de datos privados. Cabe destacar que un responsable del tratamiento que permita el uso de soportes de datos portátiles debe garantizar que se trata de soportes comerciales verificados por el departamento de TI y protegidos contra el acceso no autorizado en caso de pérdida o abandono.
Integridad y confidencialidad
Cabe señalar que los datos personales deben procesarse de una manera que garantice la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental, utilizando medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Es el responsable del tratamiento quien implementa las medidas técnicas y organizativas adecuadas para que, por defecto, sólo se traten aquellos datos personales que sean necesarios para cada finalidad concreta del tratamiento. Esta obligación se refiere a la cantidad de datos personales recopilados, el alcance de su procesamiento, la duración de su almacenamiento y su disponibilidad.
La falta de aplicación por parte del Tribunal de medidas de seguridad adecuadas a los riesgos dio lugar a que el responsable del tratamiento infringiera las disposiciones del RGPD.
Implementación y verificación
La implementación de medidas técnicas y organizativas por parte del responsable del tratamiento no es una acción única, sino que debe adoptar la forma de un proceso continuo mediante el cual el responsable del tratamiento revisa y, si es necesario, actualiza las salvaguardias adoptadas previamente. Una evaluación periódica de las medidas de seguridad aplicadas permitiría al responsable del tratamiento verificar que el procedimiento establecido que especifica la prohibición del uso de medios de almacenamiento privados se respeta y, por tanto, es efectivo.
Según la autoridad, si el responsable del tratamiento hubiera revisado la aplicación de la medida organizativa que prohibía el uso de soportes de datos privados, habría reducido significativamente el riesgo de infracción o incluso habría llevado a su completa eliminación.
Según la autoridad, el responsable del tratamiento era consciente del riesgo de utilizar soportes de datos privados, no seguros y no verificados antes de que se produjera la infracción, como lo demuestran las conclusiones de las auditorías realizadas ante el tribunal, el análisis de riesgos realizado y las conclusiones resultantes sobre cómo para minimizar los riesgos identificados, así como las medidas organizativas adoptadas en forma de prohibición del uso de soportes de datos privados especificados en el reglamento organizativo o una orden de uso de soportes cifrados.
Por tanto, la autoridad consideró que era suficiente para legitimar la imposición de una multa administrativa.