DKV multada a pagar 132.000 € por filtrar datos de salud a terceros no autorizados
El pasado 13 de julio, la Agencia Española de Protección de Datos (en adelante, AEPD), publicó una resolución por la cual se sancionaba a DKV SEGUROS Y REASEGUROS, S.A.E (en adelante, DKV), al pago de 160.000 euros (132.000 euros con aplicación de las reducciones de reconocimiento de responsabilidad y pago voluntario).
El procedimiento trae causa en el envío de 51 emails al reclamante, en los cuales se incorporaban autorizaciones médicas de terceros, que incluían incluso el tipo de prueba diagnóstica.
Para la AEPD, la empresa aseguradora ha incumplido los siguientes artículos del Reglamento General de Protección de Datos (en adelante RGPD): art. 5.1.f) (principio de integridad y confidencialidad), art. 32 (seguridad del tratamiento) y el art. 33 (notificación de una violación de la seguridad de los datos personales a la autoridad de control).
- Vulneración del principio de integridad y confidencialidad (art. 5.1.f)
La AEPD, resalta en primer lugar que la práctica realizada, ofrece indicios evidentes de que DKV vulneró el art. 5.1 f), relativo al principio de integridad y confidencialidad.
Para ello, tiene en cuenta lo establecido en el considerando 39 del RGPD, según el cual “Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento”
La AEPD observa esta flagrante violación de los citados preceptos y remarca, la duración del ilícito ya que, como establece la AEPD, “consta que la parte reclamada remitió, desde el 16 de abril de 2020 al 9 de marzo de 2021, a tercera persona, 51 correos electrónicos que no iban dirigidos a ella”
- Vulneración de la seguridad del tratamiento (art. 32)
Para la AEPD, DKV no ha realizado una correcta implantación de medidas técnicas y organizativas de acuerdo con el RGPD.
Para ilustrar este hecho, la autoridad de control cita el 32. 2 del RGPD que obliga a:
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (El subrayado es de la AEPD).
La AEPD constata que de las actuaciones practicadas existen indicios razonables y suficientes para indicar que las medidas de seguridad implantadas por DKV (tanto las técnicas como las organizativas), en relación con los datos de salud que se encontraban en juego, no eran las adecuadas, al producirse estos accesos indebidos.
La AEPD destaca el hecho de que la categoría de datos en juego (datos de salud), sean categorías especiales de datos, las cuales suponen un riesgo añadido que “aumenta la exigencia del grado de protección en relación con la seguridad y salvaguarda de la integridad y confidencialidad de estos datos”
Por otro lado, rechaza que pueda tratarse de un fallo humano concreto, ya que el error ha sido producido por trabajadores pertenecientes a encargados diferentes. Para la AEPD, el ilícito ha sido producido por una configuración defectuosa del CRM, lo cual pone de manifiesto la falta de medidas de seguridad adoptadas por DKV.
- Vulneración de la notificación de la violación de la seguridad a la autoridad de control (art. 33).
La AEPD resalta, que en el presente caso, nos encontramos ante una brecha de seguridad de la cual DKV ha tenido constancia desde el 13 de julio de 2020 y que no ha comunicado en los plazos exigidos por el RGPD, a la autoridad de control (en este caso, la AEPD).
Por todo ello, la AEPD confirma la vulneración de DKV del citado precepto, ya que a pesar de poner en su conocimiento la violación producida, el reclamante; la AEPD hizo “caso omiso del aviso”
- Sanción: agravantes examinados y reducciones aplicadas sobre la multa final
En la graduación de la sanción, la autoridad de control estimó que concurrían los siguientes criterios agravantes:
Respecto a la infracción del art. 5.1:
-Naturaleza, gravedad y duración: ya que el error fue mantenido en el tiempo desde el 16-04-2020 al 09-03-2021, a pesar de que la reclamante se lo notificara a DKV en reiteradas ocasiones
-Número de afectados: la AEPD constata que ha habido 32 afectados distintos por los 51 correos objeto de análisis.
-Las categorías de datos afectados por la infracción: en este caso, al tratarse de categorías especiales (datos de salud); la autoridad de control lo tiene en consideración como agravante en la imposición de la sanción.
Respecto a la infracción del artículo 32:
-Las categorías de datos afectados por la infracción: tal y como se ha indicado anteriormente, el hecho de que se tratara categorías especiales de datos supone un agravante.
-El carácter continuado de la infracción: la AEPD, destaca que el error se mantenga desde el 16-04-2020 al 09-03-2021.
-La vinculación de la actividad del infractor con la realización de tratamientos de datos personales: la AEPD señala que, en el desarrollo de su actividad, DKV lleva a cabo un elevado volumen de tratamiento de datos personales.
Respecto a la infracción del artículo 33:
-Las categorías de datos afectados por la infracción: que la violación se haya producido sobre categorías especiales de datos supone un agravante.
-La vinculación de la actividad del infractor con la realización de tratamientos de datos personales: el alto volumen de tratamiento de datos personales de DKV, supone un agravante respecto al incumplimiento de la notificación de la violación a la autoridad de control.
Por todo lo indicado, la compañía aseguradora fue sancionada al pago de 160.000 euros, cantidad que finalmente se ha visto reducida a 132.000 euros, por acogerse la entidad a las reducciones de reconocimiento de responsabilidad y pago voluntario existentes en nuestro procedimiento administrativo sancionador.
Carlos Cuesta Hernández, Senior Privacy Counsel, Legal Army