La CNIL impone una multa de 1,5 millones de euros a una firma tras la filtración de 500.000 expedientes médicos

En el caso de la filtración de 500.000 registros médicos de pacientes franceses, la CNIL acaba de emitir su veredicto. La policía informática ha decidido imponer una multa de 1,5 millones de euros por negligencia al editor de software Dedalus. Ella culpa a la compañía por varias fallas de seguridad que llevaron a esta filtración masiva.

Créditos: Unsplash

Recuerde, en febrero de 2021, los archivos médicos de 500,000 pacientes franceses fueron pirateados y se encontraron a la vista en la web. Esta información provino de una base de datos de más de treinta laboratorios de biología médica situado en el noroeste de Francia.

En particular, encontramos datos bastante sensibles como “los apellidos, nombre, número de la seguridad social, nombre del médico prescriptor, fecha del último examen pero también y sobre todo la información médica (VIH, cánceres, enfermedades genéticas, embarazos, tratamientos farmacológicos seguidos por el paciente, o datos genéticos)” , como nos recuerda la CNIL. Tras esta fuga masiva, una empresa de Rennes también había desarrollado una herramienta gratuita para averiguar si sus datos médicos se habían visto comprometidos o no.

En los días posteriores a esta gran filtración, la CNIL había realizado varios controles con la empresa Dedalus Biologie, una empresa especializada en el desarrollo y venta de soluciones de software para laboratorios de análisis médicos. Después de una larga investigación, la CNIL acaba de publicar su veredicto este jueves 21 de abril de 2022. Así y sobre la base de los hallazgos realizados tras estos controles, la formación restringida de la CNIL (un organismo responsable de pronunciar sanciones) “consideró que la empresa había incumplido varias obligaciones derivadas del RGPD, en particular, la obligación de garantizar la seguridad de los datos personales”.

La CNIL impone una fuerte multa a Dedalus por negligencia

De hecho, la institución decidió imponer una multa de 1,5 millones de euros a la empresa Dedalus France. Esta cantidad ha sido establecidaen vista de la gravedad de los fallos identificados, pero también teniendo en cuenta la facturación de la empresa DEDALUS BIOLOGY”. A continuación se detallan los distintos incumplimientos observados en la obligación de garantizar la seguridad de los datos personales, tal y como establece el artículo 32 del RGPD:

  • Falta de procedimiento específico para operaciones de migración de datos
  • Falta de encriptación de los datos personales almacenados en el servidor problemático
  • Falta de eliminación automática de datos después de la migración al otro software
  • Falta de autenticación requerida desde Internet para acceder al área pública del servidor
  • Uso de cuentas de usuario compartidas entre varios empleados en la zona privada del servidor
  • Ausencia de procedimiento de supervisión y reporte de alertas de seguridad en el servidor

Como especifica la CNIL, estas insuficientes medidas de seguridad son principal responsable de la fuga de datos médico-administrativos de estos 500.000 pacientes franceses.

Leave a Reply

Your email address will not be published.