Saltear al contenido principal
DESDE LA AUTORIDAD DE PROTECCIÓN DE DATOS DE ISLANDIA: Violación De Seguridad A InfoMentors Ehf

DESDE LA AUTORIDAD DE PROTECCIÓN DE DATOS DE ISLANDIA: violación de seguridad a InfoMentors ehf

This post is also available in: Italiano English Français

La autoridad de protección de datos ha impuesto una sanción gobernativa por una suma de 3.500.000 ISK, a InfoMentor ehf. Debido a una violación de la seguridad avenida en el sistema web Mentor en febrero de 2019. Debido a algunas carencias del sistema, dos partes, una en Islandia y la otra en Suecia, han sido capaces de acceder a números de identificación e imágenes (avatar) de un total de 424 niños sin permiso.

El punto débil era que los números de sistema tiene seis cifras de los estudiantes eran visibles en el URL de una página especifica en el sistema Mentor y que se seria podido acceder a las informaciones personales incluidas simplemente modificando los números en el URL pertinente.

InfoMentor ehf. Ha admitido que el error humano había significado que la corrección de la deficiencia no ha sido completamente completada, no obstante se habían dejado instrucciones en este sentido. Por esto, una solución había ya sido desarrollada, pero no implementada en el sistema hasta cuando la empresa no ha conocido el defecto de seguridad.

La Autoridad ha considerado que la violación de seguridad habría podido ser prevenida mediante un adecuado follow-up y pruebas de las medidas de seguridad.

La conclusión de la Autoridad ha sido que InfoMentor ehf. No había garantizado la seguridad de las informaciones personales dentro del sistema Mentor según las modalidades solicitadas en el artículo 32, apartado 1, letras b) y d) del Reglamento (EU) 2016/679, cf. El artículo 27, apartado 1 de la Ley 90/2018, sobre la protección de las informaciones personales, cf. También el artículo 8, apartado 1 de la Ley y el artículo 5, apartado 1, letra f) del Reglamento.

InfoMentor ehf. No ha garantizado la adecuada seguridad de las informaciones personales de las personas registradas que han sido interesadas de la violación de seguridad cuando la sociedad ha inviado los números ID de las personas interesadas en diferentes casos a la escuela y al responsable de privacidad errados.

El tratamiento de InfoMentors ehf. sobre la información personal de las personas en cuestión a este respecto, por lo tanto Artículo 8, apartado 1, punto 6 Ley núm. 90/2018, Recop. apartado 1 (f) Artículo 5 del Reglamento.

La decisión sobre la sanción administrativa ha tenido en cuenta en particular del numero de personas registradas que han sido afectadas desde la violación de seguridad y que habrían podido ser afectada desde el numero de usuarios del sistema Mentor. Era también de gran importancia que se trataba de informaciones personales de ninos que disfrutan una protección especial con arreglo a la Ley 90/2018 y el Reglamento.

También la Autoridad de Protección de Datos Personales ha sentido la necesidad de dirigir solicitudes mayores respeto a InfoMentors ehf en calidad de responsable de tratamiento en consideración del hecho que la actividad principal de la empresa es el desarrollo y el funcionamiento de un sistema web especificadamente destinado al tratamiento de las informaciones personales sobre los menores.

De otra parte, no hay indicaciones que las personas registradas sufrieron de daños debido a la violación de seguridad, además de los que InfoMentor ehf ha proporcionado datos que revean las medidas adoptadas desde la empresa con el fin de garantizar la seguridad de las informaciones personales en el Sistema Mentor.

La sanción administrativa ha sido adecuadamente fijada a 3.500.000 ISK.

En consideración del hecho que la violación de seguridad ha afectado una persona en Suecia, la Autoridad de Protección de Datos ha avisado la autoridad de protección de datos dentro del Espacio Económico Europeo.

La Autoridad de Protección de Datos se considera la autoridad de control principal a efectos del preámbulo del Reglamento (UE) 2016/679 y la Autoridad de Control sueca, Integritetsskyddsmyndigheten (antigua Datainspektionen) es la autoridad de control pertinente. De conformidad con el artículo 60 del Reglamento, la autoridad de protección de datos envió un proyecto de decisión a la autoridad sueca.
No se han recibido observaciones y, por tanto, la decisión se considera vinculante también para el Supervisor de Protección de la Integridad, véase. Apartado 6 del artículo 60 del Reglamento. Se señala que se trata de la primera decisión del Supervisor para la protección de los datos personales después de la entrada en vigor del Reglamento y de la Ley n. 90/2018 sobre el tratamiento de los datos personales transfronterizos.

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI ISLANDA

Volver arriba