Tras lanotificación ante la Agencia Española de Protección de Datos de una brecha deseguridad ocurrida en una clínica dental, por la cual se informaba de lapérdida de un pendrive con imágenes de la cara de pacientes para tratamientos yestudios odontológicos junto con sus nombres y apellidos, se decide abrirexpediente sancionador por parte de la Agencia.
Este finalmente queda archivado, a la vista de las medidas adoptadas por la clínica e informadas a la Agencia, relativas a (i) la realización de una evaluación de impacto en relación con el riesgo en el tratamiento de datos personales, con una ponderación de “aceptable” ya que las imágenes tomadas para el tratamiento de ortodoncia no son completas; (ii) el establecimiento de un protocolo interno de respuesta ante este tipo de situaciones; (iii) la notificación a los empleados sobre las prohibiciones de uso de dispositivos portátiles y la responsabilidad civil derivada de ello; (iv) la revisión de los registros de accesos a los dispositivos y (v) la instalación de un programa de gestión de imágenes que incluya el cifrado y disociación de datos personales.
El expediente sancionador completo puede consultarse aquí: https://www.aepd.es/resoluciones/PS-00132-2019_ORI.pdf