Ville Tapio recibió una sentencia de prisión suspendida de tres meses.
El Tribunal de Distrito de Helsinki ha condenado al exdirector general del centro de psicoterapia Vastaamo ville tapio a una sentencia suspendida de tres meses por un delito de protección de datos.
El Tribunal de Distrito moderó el castigo debido a la amplia publicidad que recibió la violación de datos de Vastaamo y las amenazas de muerte que recibió Tapio.
Tapio estaba a cargo de la empresa cuando se vio afectada por una filtración de datos excepcionalmente grande. Un pirata informático irrumpió en los servidores de Vastaamo, robó datos de pacientes de decenas de miles de finlandeses y los usó con fines de extorsión.
Los cargos de Ville Tapio comenzaron a procesarse en el tribunal de distrito de Helsinki a principios de marzo. El procesamiento tomó días. antti nikkanen
Se sospecha de la violación de datos en sí Aleksanteri Kivimaki, anteriormente conocido por el nombre de pila Julius. Está en prisión bajo sospecha, entre otras cosas, de violación de datos agravada.
Deficiencias conocidas
Según la acusación, la primera filtración de datos ya tuvo lugar en 2018, cuando la empresa no reaccionó hasta 2020 después de que se filtraran datos de pacientes a la red oscura Tor.
La acusación de Ville Tapio se debió al hecho de que estaba al tanto de las debilidades de seguridad de la información de su empresa y la violación de datos. Según el fiscal, no trató de arreglar los problemas, sino que tapó las huellas.
Los trabajadores de TI en el mostrador intentaron sugerir correcciones a Tapio para mejorar la seguridad de la información de la empresa.
Los empleados y Tapio se comunicaron sobre el tema una noche de abril de 2019. En ese momento, Tapio respondió a una propuesta de la siguiente manera:
— Llegados a este punto, convendría ir de la forma más ligera posible, de modo que se pueda decir que las entradas y declaraciones de visita están encriptadas.
La reunión relacionada con la adquisición de Vastaamo fue al día siguiente del intercambio de mensajes.
Según el tribunal de distrito, de los mensajes se desprende que Tapio conocía los artículos del Reglamento General de Protección de Datos relativos a la seudonimización y el cifrado, su significado y el hecho de que no se siguieron en el procesamiento de datos personales por parte de Vastamo.
La seudonimización se refiere al procesamiento de datos personales de tal manera que los datos no pueden vincularse a una persona específica hasta que se proporcione información adicional, que debe mantenerse cuidadosamente separada de los datos personales.
Según el tribunal de distrito, la información personal del cliente y las notas de visita se almacenaron en la base de datos de pacientes de Vastaamo en un lenguaje sencillo sin el cifrado suficiente y de tal forma que podrían combinarse entre sí.
Según el tribunal, el propósito de Tapio era encubrir el método de procesamiento de datos personales utilizado por el otro lado de la reunión de negocios. Intentó que los empleados de TI cumplieran con el nivel mínimo de soluciones a las deficiencias conocidas apenas un día antes de la reunión de negocios.
– Tapio ha incurrido en un delito de protección de datos cuando no ha implementado las exigencias del Reglamento General de Protección de Datos relativas a la seudonimización y encriptación de los datos personales tratados en Vastamo, dictaminó el tribunal en su sentencia.
Negó el cargo
Según los fiscales, Tapio intentó ocultar la violación de datos contra Vastaamo que tuvo lugar en marzo de 2019 y no había informado al comisionado de protección de datos ni a Valvira al respecto. Según los fiscales, Tapio tampoco tomó las medidas suficientes para mejorar la seguridad de los datos después del allanamiento.
Según el tribunal de distrito, la falta de notificación ya ha caducado. Según el tribunal, tampoco se demostró que Tapio hubiera ordenado la destrucción de los datos de tráfico de red relacionados con la violación de seguridad de datos.
En estos aspectos, la acusación fue desestimada.
Tapio negó haber cometido los delitos y exigió que se desestimara todo el cargo.
La sentencia no es vinculante. Poderosamente según Tapio y los fiscales están considerando presentar una denuncia ante la Corte de Apelaciones.
Inicialmente, la policía también sospechó de dos empleados a cargo de la seguridad de la información en Vastaamo de un delito de protección de datos. Sin embargo, el fiscal no presentó cargos.