Autoridad italiana de control de la protección de datos

El 10 de junio de 2021, la autoridad italiana de protección de datos GARANTE PER LA PROTEZIONE DIE DATI PERSONALI (GPDP) impuso una multa de 40.000 euros al aeropuerto de Bolonia, ref. 9685922. La empresa en cuestión había encargado a un proveedor o procesador un sistema digital de denuncia de irregularidades. Los usuarios podían utilizar este sistema -también de forma anónima- para denunciar irregularidades legales. El marco jurídico italiano establece, en particular para los sectores público y privado, que los denunciantes que revelen su identidad deben ser protegidos de represalias y medidas discriminatorias. 

Puesta en marcha de un sistema digital de denuncia de irregularidades 

El proveedor ya no utilizaba un protocolo de red seguro (ni siquiera el protocolo https) para la transferencia de datos, aunque el sistema de denuncia de irregularidades es accesible a través de Internet. Los datos almacenados en la base de datos tampoco estaban cifrados. Además, los datos de registro sobre el comportamiento de navegación de los usuarios del sistema de denuncia de irregularidades se almacenaban a través de una configuración de cortafuegos. Además, la empresa en cuestión no había llevado a cabo una evaluación de impacto de la protección de datos al implantar el sistema de denuncia de irregularidades. 

La autoridad italiana de protección de datos consideró que el comportamiento de la empresa en cuestión constituía varias violaciones de los requisitos del Reglamento General de Protección de Datos ("RGPD") y le impuso una multa de 40.000 euros:

Falta de cifrado - violación del art. 32 GDPR

La autoridad italiana de protección de datos vio una violación de la aplicación obligatoria de medidas técnicas y organizativas de conformidad con el art. 32 (1) (a) y Art. 5 (1) (f) GDPR en la medida en que la empresa no implementó mecanismos de encriptación adecuados para el transporte y almacenamiento de las notificaciones. El protocolo http (Hypertext Transfer Protocol) no puede garantizar la confidencialidad ni la integridad de los datos de las notificaciones intercambiadas entre el navegador del denunciante y el servidor del proveedor. Además, la autenticidad del sitio web del sistema de denuncia no puede ser verificada por el denunciante. También se objetó que los datos de los avisos en la base de datos del sistema de denuncia de irregularidades se almacenaban sin cifrar. 

En particular, la autoridad italiana de protección de datos también subrayó que la naturaleza de los datos de la notificación y los elevados riesgos que pueden derivarse de un uso indebido de los mismos exigen un mecanismo de cifrado elevado.  

El argumento de la empresa afectada de que unas medidas de seguridad de los datos más amplias habrían ocasionado más costes no cambió nada respecto a una infracción para la autoridad de protección de datos. Además, la empresa afectada también es responsable del cumplimiento de dichas medidas cuando actúa un encargado del tratamiento. 

Inadmisibilidad del registro - violación del art. 25 GDPR

Cabe destacar, y a menudo no se ha tenido en cuenta en la práctica, la denuncia de la autoridad de control de protección de datos de que el registro de los procesos de navegación de los denunciantes en el sitio web del sistema de denuncia de irregularidades constituye una violación del art. 5(1)(f), Art. 25 y art. 32 del RGPD. 

Debido a la configuración de un cortafuegos, los accesos de los empleados al sitio web del sistema de denuncia de irregularidades con estaciones de trabajo o dispositivos personales conectados a la red corporativa se almacenaban en archivos de registro y se conservaban durante 90 días. Estos incluían la dirección IP y -debido a una conexión con el Directorio Activo- también el nombre de usuario. 

Esto constituyó una violación del principio de "protección de datos desde el diseño" y de "protección de datos mediante ajustes por defecto" de acuerdo con el Art. 25 DEL RGPD. Por lo tanto, los sistemas de denuncia de irregularidades deben diseñarse de forma que no se almacenen archivos de registro. De lo contrario, la confidencialidad y el anonimato corren peligro. 

Falta de evaluación del impacto de la protección de datos 

La autoridad italiana de control de la protección de datos también se opuso al hecho de que la empresa en cuestión no hubiera llevado a cabo una evaluación de impacto de la protección de datos de conformidad con el art. 35 DEL RGPD. Sin embargo, esto debería haberse hecho al implantar un sistema de denuncia de irregularidades. Las denuncias pueden contener datos sensibles. Pueden contener información sobre presuntas infracciones de la ley y tener consecuencias masivas para el acusado y el denunciante. Esto plantea riesgos particulares para los derechos y libertades de los interesados. 

Cumpla todos los requisitos con nuestro Hintbox

La decisión de la autoridad italiana de control de la protección de datos pone de relieve dos aspectos: En primer lugar, la confidencialidad y el anonimato sólo pueden garantizarse básicamente mediante un sistema de denuncia digital. En segundo lugar, un sistema de denuncia de este tipo requiere la aplicación de algunas medidas técnicas. Nuestro Hintbox cumplió todos los requisitos de la ley de protección de datos y las especificaciones de las autoridades supervisoras de protección de datos de una manera legalmente conforme. 

Cifrado de extremo a extremo y cifrado de bases de datos

Toda la información y la comunicación entre el denunciante y el responsable del cumplimiento se cifra de extremo a extremo. Además, los datos de la base de datos se cifran de nuevo. Los datos se alojan en un centro de datos con certificación ISO-27001 en Alemania. 

No se rastrean las direcciones IP ni otros datos del dispositivo

Al utilizar nuestro sistema de denuncia no se almacena ningún dato o información, como la dirección IP u otros datos del dispositivo. Esta es la única forma de garantizar la confidencialidad y el anonimato.

Le ayudamos con su evaluación de impacto sobre la protección de datos

Por supuesto, apoyamos a su empresa de forma gratuita con su evaluación de impacto de protección de datos, para que pueda aplicar todos los requisitos del Art. 35 DSGVO de forma rápida y correcta.