Contacta

La CNIL impone una multa de 1,5 millones de euros a una empresa de software de salud, a raíz de una brecha de seguridad sufrida

Comparte

La CNIL, autoridad francesa en materia de protección de datos, sanciona a la empresa DEDALUS BIOLOGY, comercializadora de un software para laboratorios de análisis clínicos, por la fuga masiva de datos tras sufrir una brecha de seguridad.

La brecha de seguridad tuvo lugar en febrero del año 2021, teniendo como consecuencia la filtración de datos de 500.000 personas. Los datos implicados incluyen datos identificativos e información médica (sobre el padecimiento de enfermedades, embarazos, información genética…) especialmente protegida.

Tras los hechos, la CNIL llevó a cabo las pertinentes investigaciones para determinar el grado de cumplimiento por parte de DEDALUS de la normativa en materia de protección de datos. Esta investigación tuvo como resultado la consideración de la existencia de las siguientes infracciones del RGPD:

  1. Infracción del artículo 28 RGPD, sobre la obligación de firmar un acuerdo entre responsables y encargados del tratamiento. En este sentido, CNIL establece que en dicho acuerdo, entre DEDALUS como encargado y el responsable, no se incluía el contenido mínimo establecido por el RGPD.
  2. Infracción del artículo 29 RGPD, sobre la obligación del encargado del tratamiento de cumplir con las instrucciones fijadas por el responsable para el tratamiento de los datos correspondientes. En este caso, DEDALUS, encargado del tratamiento, a petición de determinados laboratorios, llevó a cabo un procedimiento de migración de software sin seguir con las instrucciones dadas por el responsable del tratamiento a estos efectos.
  3. Infracción del artículo 32 RGPD, sobre la obligación de implantar las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos. CNIL detecta que, en el proceso de migración:
  • No existía un procedimiento específico para las operaciones de migración de datos.
  • Los datos almacenados no estaban encriptados.
  • No existía ningún mecanismo de borrado automático de los datos en el software antiguo.
  • Falta de control de acceso al servidor.
  • Posibilidad de uso de cuentas de usuario compartidas por parte de los empleados.
  • Ausencia de un procedimiento de supervisión y alertas de seguridad.

Como resultado de todo lo anterior, DEDALUS BIOLOGY ha sido objeto de una sanción que alcanza los 1.5 millones de euros.

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias

25, abril 2024

Empresas de China y EEUU se unen para crear estándares globales de IA

Leer más

22, junio 2022

El TJUE confirma la multa de 116 millones de euros a empresas del sector de los lectores de discos ópticos por participar en un cártel

Leer más

18, febrero 2021

La Comisión Europea publica un estudio sobre la aproximación de los Estados miembros a datos personales relacionados con la salud.

Leer más

16, enero 2020

Sanidad inicia una lucha contra los “influencers” que recomiendan medicamentos en redes sociales.

Leer más

16, diciembre 2021

Streamers y el escándalo de la publicación de sueldos, ¿fuga por hackeo, o filtración interesada?

Leer más

20, noviembre 2019

El Tribunal Europeo de Derechos Humanos no admite el recurso presentado por el rapero Valtonyc contra su condena de prisión por injurias a la Corona.

Leer más