La Autoridad de Control en Protección de Datos Polaca multa con 645.000 euros a una empresa por medidas técnicas y organizativas insuficientes en el tratamiento de los datos.
El Presidente de la Oficina de Protección de Datos Personales (UODO) impuso una multa de más de 2,8 millones de zlotys (unos 645.000 euros) a la empresa Morele.net.
Las medidas organizativas y técnicas para la protección de datos personales que la empresa tenía implementadas, no eran las adecuadas al riesgo que suponía el tratamiento de datos personales que llevaba a cabo, por lo que los datos de unos 2,2 millones de personas cayeron en manos equivocadas. El Presidente de la Oficina de Protección de Datos Personales (UODO) concluyó diciendo que faltaban procedimientos de respuesta adecuados para hacer frente a la aparición de un tráfico inusual en la red.
Al imponer la multa, la autoridad de control llegó a la conclusión de que la infracción que se produjo en este caso era de considerable importancia y de carácter grave, y afectaba a un gran número de personas. En su decisión, la autoridad de control también señaló que, como consecuencia de la infracción, existía un alto riesgo de que se produjeran efectos adversos en las personas cuyos datos personales caían en malas manos, como por ejemplo el robo de identidad.
Los datos en cuestión incluían: nombre y apellidos, número de teléfono, dirección de correo electrónico y dirección de entrega. Sin embargo, en el caso de unas 35.000 personas, los datos se filtraron de su solicitud de préstamo a plazos. El alcance de los datos comprendía el número de identificación personal (número PESEL), la serie y el número del documento de identidad, la formación académica, el domicilio social, la dirección de correspondencia, la fuente de ingresos, el importe de los ingresos netos, el coste de la vida del hogar, el estado civil, así como el importe de los compromisos de crédito u obligaciones de alimentos.
En la decisión por la que se impone la multa, el Presidente de UODO concluyó que la empresa, al no cumplir con los medios técnicos de protección de datos exigidos, había vulnerado, entre otras cosas, el principio de confidencialidad, tal como se establece en el artículo 5, apartado 1, letra f), del RGPD. Por lo tanto, se ha producido un acceso no autorizado a los datos de los clientes y la obtención de los mismos. La autoridad consideró que se habían adoptado medidas infructuosas para la autenticación del acceso a los datos. La empresa implementó medidas técnicas de seguridad adicionales después de la violación.
La investigación reveló que la infracción se produjo también debido a un control ineficaz de los riesgos potenciales. La investigación reveló además otras faltas de conducta, pero fue la falta de medidas técnicas (garantías insuficientes) y organizativas adecuadas (sobre el control de los riesgos potenciales relacionados con el comportamiento atípico en línea) lo que llevó a imponer una multa. Sin embargo, para determinar su importe, el Presidente de UODO tuvo en cuenta circunstancias atenuantes, tales como: las medidas adoptadas por la empresa para poner fin a la infracción, la buena cooperación con el responsable del tratamiento y el hecho de que la empresa no haya infringido antes la ley de protección de datos personales.
