Sobre la base de un caso empezado por su propia iniciativa, la Agencia Danesa de Protección de Datos expresa serias críticas al Statens Serum Institut para haber empezado el tratamiento de datos personales sin una adecuada evaluación del riesgo, evaluación de impacto, consulta con la Agencia Danesa de Protección de Datos, el responsable del tratamiento y acuerdos y medidas de seguridad adecuadas.

En conexión con la intensificación de la situación CVOID-19 en Dinamarca (febrero – marzo 2020) y el sucesivo cerrar de empresas, el Statens Serum Institut (SSI) tendría que proporcionar los datos personales – bajo forma de informaciones sanitarias – a disposición de un grupo de expertos que tendría que calcular los posibles escenarios de reapertura.

La misma SSI había evaluado que el riesgo para los interesados iba desde moderado hasta alto y ha revelado que al comienzo del tratamiento no ha sido efectuada un mapa y una evaluación completas de riesgos afectados en el tratamiento. SSI ha pensado que esto por si solo implicaba un riesgo elevado para los derechos de los interesados.

Todavía, la solución IT originariamente prevista por el cambio de datos no podía que ser lista bastante presto, por esto en la semana 12 el acceso a los datos ha sido establecido sobre el server SFTP de SSI, dentro de un firewall externo en una zona accesible a expertos externos (llamada también DMZ). Las informaciones se colocaban en files dedicados, donde los expertos acedaban desde un username y una password.

SSI ha afirmado que la evaluación del riesgo debida a la falta de recursas internas y la situación al comienzo empezó solo en la semana 16 y que la primera versión de una evaluación de impacto era disponible en la semana 17. Los acuerdos por el tratamiento de datos con los miembros del grupo de expertos han sido firmados en la semana  17.

Al final de 2019, SSI ha empezado una actualización en el campo de protección de datos. En febrero – marzo de 2020, hay dos posiciones para la compliancia (una era abierta). Ha sido actualizado con otros ochos posiciones para empezar el 1 de abril. SSI ha declarado de haber utilizado la asistencia externa cuando ha descubierto que faltaban los empleados.

La Agencia Danesa de Protección de Datos ha revelado que SSI había deja, ene l momento en cual, antes del empiezo del tratamiento, se dio cuenta que comportaba un riesgo elevado para los derechos de los interesados, habría debido empezar trabajar sobre la evaluación del impacto.

Esto especialmente cuando estaba claro que tenía prisa para comenzar el tratamiento. Además, el Órgano ha llegado a la conclusión de que – cuando existe un riesgo inherente para los derechos de los interesados – este riesgo no se ha reducido a través de las iniciativas que deberían derivarse de una evaluación de impacto, Sólo se puede iniciar el tratamiento una vez que se ha consultado al Servicio de Inspección de Datos.

La Agencia Danesa de Protección de Datos ha llegado a la conclusión de que los acuerdos necesarios para el tratamiento de datos no se celebraron hasta cinco semanas después del inicio del tratamiento.

Además, la Agencia Danesa de Protección de Datos consideró que la elección de la solución temporal en el servidor SFTP de SSI no había tenido debidamente en cuenta el riesgo de acceso no autorizado a la información, evaluado en particular en relación con la naturaleza, el interés y la capacidad de la información entre las partes interesadas y la naturaleza técnica de la solución elegida. Por consiguiente, la Autoridad consideró que la solución no era segura.

La Agencia Danesa de Protección de Datos consideró que era una circunstancia atenuante que el tratamiento debía establecerse durante una situación de crisis internacional, que había un interés social significativo en la rápida ejecución del tratamiento y que SSI – sin embargo – había considerado la posibilidad de desviarse temporalmente de las normas de protección de datos y, en cierta medida, habían intentado remediarlo.

En este contexto, la sanción se fijó exclusivamente para críticas graves.

En general, la Agencia Danesa de Protección de Datos opina que el incumplimiento de las salvaguardias legales que el Reglamento supone para reducir los elevados riesgos en un determinado tratamiento, y que el inicio de dicho tratamiento sin consultar a la autoridad de control es un incumplimiento muy grave.

Tanto más cuanto que dicho método socava la garantía de que la autoridad de control evaluará la plena legalidad del tratamiento y de que no se iniciará ningún tratamiento ilegal de alto riesgo para los derechos de los interesados. La sanción prevista en este caso sólo debe contemplarse a la luz de la situación extraordinaria que prevalecía en aquel momento.

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA DANIMARCA