La Autoridad Catalana de Protección de Datos (en adelante, “APDCAT”), ha emitido una resolución en la que declara que la práctica de comunicar el usuario y la contraseña a otra persona (en este caso, a un compañero de trabajo que prestaba servicios al Ayuntamiento) constituye una infracción del RGPD.
La APDCAT hace referencia al Esquema Nacional de Seguridad (en adelante, “ENS”) en su resolución, haciendo hincapié en la idea de que incluso para sistemas de información con un nivel de criticidad bajo, los mecanismos autenticadores (usuario y contraseña) deben estar bajo el control exclusivo del usuario.
Para la APDCAT, las disposiciones del ENS excluyen que se compartan credenciales con terceras personas, y, en el supuesto concreto, el tratamiento de datos referido al uso del usuario y contraseña de acceso de la persona denunciante por parte de una tercera persona que prestaba servicios al Ayuntamiento no está legitimado por el RGPD, siendo necesario que esta segunda persona dispusiera de sus propias credenciales de acceso.
