Una importante brecha de seguridad fue notificada a la AEPD por la Consejería de Educación y Cultura en marzo de 2021 calificada como “brecha de confidencialidad, integridad y disponibilidad, al haberse constatado que los datos personales de los afectados han quedado expuestos a terceros no autorizados, que se cambiaron contraseñas de acceso, por lo que algunos de los afectados no tuvieron temporalmente acceso a sus cuentas, así como que se modificaron datos bancarios de algunas personas”.
Se vieron afectados por este ataque unos 37.500 docentes, según afirma la AEPD en la resolución de procedimiento sancionador núm. PS/00059/2022, -publicado por la Agencia el pasado 23 de agosto de 2022-, que fueron informados de lo ocurrido por los servicios informáticos de la propia Consejería, hecho del que también se hizo eco la prensa local.
La Consejería afirmó que las medidas adoptadas para minimizar los efectos del incidente fueron satisfactorias, pero, dado que esta no era la primera vez que dicho organismo público sufría una brecha de seguridad, según consta en los archivos de la Agencia, se concluye que las medidas “no resultaron apropiadas ni suficientes, y que, según su propia manifestación inicial al contestar al requerimiento de la AEPD, el proceso de implantación de las medidas derivadas del análisis de riesgos realizado en su momento no estaba finalizado a la fecha del incidente”.
Aproximadamente un año después de los hechos, el 4 de marzo de 2022, la Directora de la Agencia Española de Protección de Datos acordó iniciar un procedimiento sancionador contra la Consejería de Educación y Cultura por presunta infracción del art. 32 del RGPD – tipificada en el art. 83.4 del RGPD-; el procedimiento finalizó el pasado 17 de mayo con una propuesta de sanción de apercibimiento, notificada a la Consejería de Educación y Cultura el pasado 20 de mayo de 2022, al confirmarse la infracción tras el análisis de la información obrante en el expediente, pues el incidente se podría haber evitado con un sistema de doble autenticación, de ahí que se deduzca que las medidas implantadas previamente no resultaron adecuadas y suficientes para impedir el incidente.
A pesar de que la AEPD ha propuesto una sanción de apercibimiento, aprovecha la resolución del expediente para recordar que la infracción del Art. 32 del RGPD “Seguridad del tratamiento” conllevaría la imposición de multas administrativas de “10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”, si bien, el art. 77 de la LOPDGDD establece un régimen especial para los organismos públicos, de ahí que se sancione con apercibimiento a la Consejería de Educación y Cultura.
En definitiva, aquellos organismos públicos que no estén adoptando las medidas necesarias para blindar la seguridad de sus datos, deben implementarlas cuanto antes con el objetivo de minimizar los riesgos y evitar brechas de seguridad, denuncias de interesados afectados y el acceso a la información por terceros ajenos. Unive Abogados ofrece el servicio de DPD externo en Ayuntamientos, y organismos públicos de cualquier naturaleza, así como la implantación del Esquema Nacional de Seguridad obligatorio para entidades públicas de cualquier tamaño.