La autoridad de control italiana ha impuesto a una consultora estratégica una sanción de 85.000 euros por la aplicación de medidas de seguridad insuficientes. La investigación se inició tras la notificación efectuada por la propia compañía, poniendo de manifiesto deficiencias relevantes en la gestión de la información.
Así, con ocasión de un ciberataque, el tercero tuvo acceso a datos identificativos, direcciones de correo electrónico, nombres de usuario y contraseñas de empresas clientes o de personal que utilizaba los servicios de la entidad afectada. La autoridad de control italiana destaca que parte de las contraseñas se conservaban en “texto plano” y otras mediante técnicas de cifrado que no se ajustaban a los estándares de seguridad, además de almacenar información durante largos periodos de tiempo pese a haber dejado de ser necesaria para las finalidades originales del tratamiento.
En relación con la obligación de comunicar la brecha de seguridad, se pone de manifiesto por la autoridad de control que la notificación a los afectados fue tardía (se efectuó dos meses después de tener conocimiento del incidente), a pesar de que dicha filtración suponía un riesgo significativo para sus derechos y libertades, produciéndose como consecuencia de la intervención de la autoridad de control. Es por ello por lo que se cuestiona la valoración de riesgos realizada por la empresa, que consideró innecesario realizar dicha comunicación al entender que el riesgo era reducido.
La autoridad de control reitera la necesidad de que los responsables del tratamiento de datos adopten medidas técnicas y organizativas adecuadas (sobre todo, respecto de la conservación innecesaria de contraseñas antiguas) y garanticen una gestión transparente de las brechas de seguridad (informando adecuadamente a los afectados).
Puede acceder a la resolución sancionadora aquí.
