El pasado mes de noviembre se publicó una resolución de la Agencia Española de Protección de Datos (AEPD) en la que se sanciona al Instituto Nacional de Ciberseguridad (INCIBE) por infringir el artículo 25 del Reglamento General de Protección de Datos (RGPD).
El reclamante, un particular inscrito en un curso online organizado por INCIBE, considera que sus datos personales han sido indebidamente tratados dado que se hacían públicos para todos los participantes de dicho curso. Los datos personales que se mostraban eran el nombre, apellidos, dirección de correo electrónico, ciudad y país.
INCIBE, una vez notificado por la AEPD, informo de que una vez conoció la brecha de seguridad, se puso en contacto con DICAMPUS, que gestionaba la plataforma y tomó las medidas necesarias para mitigar los efectos del incidente. En todo caso, la AEPD inició actuaciones de investigación, de ellas se concluye que la brecha de seguridad estuvo causada por un error en la configuración de privacidad de la plataforma de formación utilizada por INCIBE (Moodle), configuración que existía por defecto en el software, que dejaba datos visibles a todos los participantes del curso, y que no se cambió en el diseño previo de la plataforma antes del inicio del primer curso.
Entre los hechos probados se destaca:
• INCIBE es responsable del tratamiento y suscribió contrato de encargo con DICAMPUS;
• Los datos filtrados de cada alumno tenían una opción de configuración que permitía modificar su visibilidad y hacer que fueran visibles de distinta forma: sólo para el usuario, para otros usuarios o no visibles (solo administradores). Sin embargo, estaban configurados por defecto para que fueran visibles para el resto de los usuarios;
• De los 9.000 alumnos inscritos, la brecha afectó a 399 usuarios cuyos datos de perfil fueron filtrados y visualizados por otros alumnos. Por otro lado, 318 usuarios accedieron al menos a un perfil que no era el suyo.
La AEPD señaló que existe incumplimiento del artículo 25 RGPD por:
• No aplicar medidas técnicas y organizativas desde las primeras fases de diseño de un producto;
• No hacerlo reduciendo el tratamiento de datos personales y garantizando la seguridad de estos;
Finalmente, la AEPD impone una sanción de 2.000€ a INCIBE por el incumplimiento del artículo 25 RGPD. Respecto de la infracción del artículo 5.1 f) RGPD, esta se encuentra subsumida en la infracción del artículo 25 RGPD.