La Autoridad Nacional de Supervisión del Tratamiento de Datos Personales ha concluido dos investigaciones en dos operadores y ha constatado una infracción del artículo 32, apartado 2, del RGPD. (1) (b) y del artículo 32 (1) (b). (2) y (3) del artículo 32 (2) y (3) del (4) del Reglamento (UE) 2016/679.
Las investigaciones se iniciaron tras la presentación por parte de los operadores de la notificación de violación de datos personales prevista en el artículo 33 del Reglamento (UE) 2016/679.
Así:
1.El operador CENTRUL MEDICAL UNIREA SRL ha sido sancionado con una multa de 24.856 lei (equivalente a 5.000 EUR).
La violación de datos se produjo como consecuencia de la divulgación no autorizada de datos personales en Internet.
Durante la investigación, se descubrió que se habían divulgado sin autorización datos personales (como: nombre y apellidos, CNP, fecha de nacimiento; edad, sexo, número de teléfono laboral o personal, dirección de correo electrónico laboral o personal, información sobre la dirección de correspondencia, profesión, cargo, control horario, objetivos y bonificaciones) de un número significativo de interesados (pacientes y empleados).
En consecuencia, la investigación puso de manifiesto que el responsable del tratamiento no aplicó las medidas técnicas y organizativas adecuadas para garantizar un nivel de confidencialidad y seguridad acorde con el riesgo del tratamiento y no adoptó medidas suficientes para garantizar que toda persona física que actúe bajo la autoridad del responsable del tratamiento y tenga acceso a los datos personales sólo los trate a petición suya.
Al mismo tiempo, de conformidad con el artículo 58 para. (2) lit. d) del Reglamento (UE) 2016/679, también se ordenó contra el responsable del tratamiento Centrul Medical Unirea SRL la medida correctiva de revisión y actualización de las medidas técnicas y organizativas aplicadas tras la evaluación del riesgo para los derechos y libertades de las personas físicas, incluso en lo que respecta a la aplicación de un proceso para la comprobación, evaluación y valoración periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento realizado.
- El operador Genpact Romania SRL fue multado con 14.913,6 lei (equivalentes a 3.000 euros).
La violación de datos se produjo como consecuencia de la transmisión de un archivo que contenía datos de contratación de personal a una dirección de correo electrónico no autorizada de un empleado.
En el curso de la investigación, se puso de manifiesto que no se habían adoptado medidas para garantizar que ninguna persona física que actuara bajo la autoridad del responsable del tratamiento y tuviera acceso a datos personales los tratara a menos que se le solicitara que lo hiciera. También se descubrió que el responsable del tratamiento no aplicó medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo del tratamiento, incluida la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanente de los sistemas y servicios de tratamiento.
Como tal, esta violación dio lugar a un acceso no autorizado y a una divulgación no autorizada de datos personales (tales como: nombre y apellidos, número de teléfono, dirección de correo electrónico) de algunos interesados.
Asimismo, de conformidad con el art. 58 párr. (2) lit. d) del Reglamento (UE) 2016/679, también se ordenó contra el operador Genpact Romania SRL la medida correctiva de revisión y actualización de las medidas técnicas y organizativas implementadas, incluidos los procedimientos de trabajo relativos a la protección de datos personales, la implementación y transmisión a las personas responsables de instrucciones sobre la prohibición del uso de equipos personales de los empleados en diversas actividades no autorizadas por la empresa y medidas sobre la formación de las personas que actúan bajo su autoridad, sobre sus obligaciones en virtud de las disposiciones del Reglamento (UE) 2016/679, incluso sobre los riesgos y consecuencias de la divulgación de datos personales.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_08.05.2024&lang=ro