Sanción en Suecia por una filtración de las grabaciones de servicios de atención al ciudadano

Comparte

La autoridad en materia de privacidad sueca (IMY) ha sancionado a la empresa MedHelp por las vulnerabilidades que sufrían en su web. Lo que ocurrió en el caso fue que cuando los usuarios llamaban al número de atención telefónica sobre cuestiones de salud, las grabaciones de las conversaciones estaban en un servidor web sin mayor seguridad al que cualquiera podría haber tenido acceso sin la necesaria autenticación. Según las correspondientes investigaciones, este incidente de seguridad pudo haberse producido por la incorrecta configuración de un dispositivo que almacenaba estos datos conectados a la red, el cual carecía de esta protección. Así, fruto de esta vulnerabilidad se constató qué se produjeron numerosos accesos a estas grabaciones sin la correspondiente autorización.

Ante esta situación, la autoridad sueca entendió que la empresa responsable de este tratamiento de datos (MedHelp), había incumplido con su deber de adoptar las medidas técnicas y organizativas necesarias que llevaran a que este tratamiento de datos personales tuviera un nivel de seguridad adecuado y evitar así el acceso por parte de terceros. A pesar de que la sancionada fue MedHelp por su calidad de responsable de tratamiento, conviene aclarar que la brecha de seguridad se produjo en el seno de una organización tailandesa que habían subcontratado para llevar a cabo esta actividad (encargado de tratamiento), una empresa que finalmente también se descubrió que no estaba sujeta a la legislación sanitaria sueca, ni a la correspondiente confidencialidad que exige la normativa del país nórdico.

Además, la IMY también concluyó que MedHelp tampoco informó a los usuarios de las grabaciones de esas llamadas tal y como exige el artículo del RGPD, lo que lleva a que la empresa incumplió con uno de los principios fundamentales de la norma, como es el deber de transparencia.

Leer más

Posts relacionados que podrían interesarte

27, enero 2022

La protección de datos en el ambiente laboral: una prioridad para la AEPD

16, noviembre 2023

¿Puede el derecho de acceso a la historia clínica suponer, también, acceder a los datos de los profesionales que han accedido a la misma?

9, abril 2020

Vox, acusado de una vulneración de derechos de propiedad intelectual al publicar y transformar una fotografía sin consentimiento de su autor.

22, marzo 2019

Agencia Española de Protección de Datos permite las comunicaciones a través de WhatsApp (con ciertos límites)

19, septiembre 2019

Medios de pago Cómo te afecta la nueva Directiva de pagos digitales.

21, abril 2019

Ranking de despachos de abogados especializados en startups 2019.