La Autoridad Nacional de Supervisión del Tratamiento de Datos Personales ha concluido dos investigaciones en dos operadores y ha constatado una infracción del artículo 32, apartado 2, del RGPD. (1) (b) y del Art. 32 (1) (b). (2) y (3) del Art. 32 (2) y (3) de la Directiva. (4) del Reglamento (UE) 2016/679.
Así:
1.Se impuso al operador MEDICOVER SRL una multa de 4.970,30 lei (equivalente a 1.000 euros).
La investigación se inició a raíz de la transmisión por parte del operador de la notificación de violación de datos personales.
La violación de datos se produjo como consecuencia de la divulgación no autorizada de datos personales de un informe de consulta médica a otro paciente al que no estaban destinados.
La investigación reveló que el responsable del tratamiento no adoptó medidas para garantizar que cualquier persona física que actúe bajo su autoridad y tenga acceso a los datos personales sólo los trate a petición del responsable del tratamiento y no aplicó medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, incluida la capacidad de garantizar la confidencialidad e integridad de los sistemas y servicios de tratamiento.
Por ello, esta situación provocó la pérdida de confidencialidad de los datos personales tratados, por revelación no autorizada y acceso no autorizado a datos personales (tales como: nombre, apellidos, fecha de nacimiento, edad, motivo de consulta, antecedentes patológicos personales, diagnóstico, conclusiones y recomendaciones, medicación prescrita, hospitalización, derivación a pruebas/consultas) de un paciente, al entregar el informe médico de la consulta a otro paciente.
- El operador IRIDEX GROUP SALUBRIZARE SRL fue multado con 9.951,80 lei (equivalentes a 2.000 EUR).
La investigación se inició a raíz de una denuncia recibida de un particular.
La violación de la seguridad de los datos se produjo como consecuencia de la transmisión de un mensaje electrónico colectivo a las direcciones de correo electrónico de los clientes de la empresa, que eran visibles para todos.
En el curso de la investigación, se puso de manifiesto que el responsable del tratamiento no había tomado medidas para garantizar que cualquier persona física que actuara bajo su autoridad y tuviera acceso a datos personales solo los tratara a petición suya, y no había aplicado medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo del tratamiento, incluida la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanente de los sistemas y servicios de tratamiento.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_09_05_2024&lang=ro