La Agencia Española de Protección de Datos ha sancionado a una aseguradora con una multa de 132.000 euros por el envío de 51 correos a destinatarios desconocidos, que contenían datos de salud entre ellos, pruebas diagnósticas.

Estos hechos han vulnerado el principio de confidencialidad recogido en el artículo 5.1 f) del RGPD que dispone que los datos deben ser tratados de tal manera que se garantice una seguridad adecuada, mediante la aplicación de medidas técnicas u organizativas. En este sentido, también el artículo 32 del RGPD, establece la obligación para los responsables y los encargados del tratamiento de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad.

La Agencia establece como agravante para aumentar la sanción la repetición del error y/o conducta.

Esta sanción nos recuerda la importancia de adoptar medidas de seguridad, tales como:

• El envío de correos electrónico con datos de salud debe ir cifrado.

• La contraseña debe facilitarse por otro medio distinto al correo.

• El registro de los incidentes de seguridad para su valoración y poder adoptar medidas correctivas.

En supuesto de producirse un error de estas características, es imprescindible contactar con el Delegado de Protección de Datos para realizar una valoración y registro dado que puede suponer una brecha de seguridad.

Carolina Sanabrias