La Comisión Nacional de Informática y Libertades (CNIL) acaba de anunciar que ha impuesto una multa de 1,5 millones de euros a Dedalus, un proveedor de software implicado en la filtración de datos médicos de 500.000 franceses.
Una importante fuga de datos
El 23 de febrero de 2021, la prensa reveló que se podía acceder gratuitamente en la web a una base de datos que contenía la información médica de medio millón de franceses. Rápidamente, la empresa Dedalus, que comercializa software a varios laboratorios, fue cuestionada. Unos meses después, el gobierno prometió penas muy fuertes en caso de negligencia.
La OTAN ejerce una guerra cibernética a unos cientos de kilómetros de Ucrania
Los datos involucrados eran particularmente sensibles e incluían “ el apellido, nombre, número de la seguridad social, nombre del médico prescriptor, fecha del examen pero también y sobre todo información médica (VIH, cánceres, enfermedades genéticas, embarazos, tratamientos farmacológicos seguidos por el paciente, o incluso datos genéticos) de estas personas así han sido difundidas en internet “, explica la CNIL en su comunicado de prensa.
La Comisión rápidamente realizó verificaciones con Dedalus y también se apoderó del tribunal de París que ordenó el bloqueo del sitio que alberga esta información a partir del 4 de marzo de 2021, lo que “ limitar las consecuencias para las personas “.
Una multa por numerosas infracciones identificadas por la CNIL
Más de un año después, la CNIL, por lo tanto, emite su veredicto en este caso al imponer una multa de 1,5 millones de euros a Dedalus, una sanción decidida ” decidido en función de la gravedad de las infracciones detectadas, pero también teniendo en cuenta el volumen de negocios de la empresa “.
La CNIL considera que Dedalus no ha cumplido con el RGPD, ley europea sobre la protección de datos personales. Fotografía: Christian Lue / Unsplash
El regulador explica que la empresa ha incumplido muchas obligaciones en virtud del Reglamento General de Protección de Datos (GDPR). Así, la CNIL denunció la ausencia ” procedimiento específico para operaciones de migración de datos ” y ” cifrado de datos personales almacenados en el servidor problemático “. Además, Dedalus no borró automáticamente los datos después de migrarlos a otro software.
Finalmente, la Comisión observó la ausencia procedimiento de seguimiento y levantamiento de alertas de seguridad en el servidor ” así como ” el uso de cuentas de usuario compartidas entre varios empleados en la zona privada del servidor “.
Dedalus promete haber hecho muchos cambios
Por el momento, sin embargo, no se ha identificado a los autores del robo y venta de datos en línea. Por su parte, Dedalus asegura haber recurrido a muchos cambios desde que salió a la luz este caso. Como se explica El mundola firma afirma tener “ desplegó todas las medidas posibles ” para ” identificar posibles vulnerabilidades » y haber trabajado en « subsanar las deficiencias identificadas por la CNIL “.
Ella también afirma haber llevado a cabo el “ refuerzo de determinadas infraestructuras informáticas “, para ” la mejora de varios procedimientos internos y externos “, lanza ” un componente importante de la formación interna” y realizó “contrataciones adicionales en los departamentos responsables de la ciberseguridad corporativa.
About the Author
