La Autoridad polaca de Protección de Datos ha emitido una resolución en la que sanciona a una organización al pago de 54.000 euros, por no aplicar medidas técnicas adecuadas al riesgo.
La principal idea que transmite la Autoridad polaca en su resolución es que no se puede transferir a las personas empleadas la obligación de implementar las medidas de seguridad necesarias.
El contexto de la resolución es el siguiente:
- Se produce una brecha de seguridad en una organización, como consecuencia de la pérdida de un USB que contenía datos no cifrados.
- En el transcurso de la investigación, la empresa hace constar que, si bien se produjo la mencionada brecha de seguridad, había facilitado un video explicativo a las personas empleadas sobre como cifrar unidades flash al transportar dispositivos USB.
La Autoridad polaca hace constar que:
- No puede considerarse que redirigir a las personas empleadas a un video explicativo con la instrucción para el cifrado de dispositivos USB constituya el correcto cumplimiento de las obligaciones de la organización, ya que finalmente la obligación de aplicar esta medida de seguridad técnica específica se trasladó al empleado.
- La gestión del riesgo es uno de los elementos básicos del sistema de protección de datos, siendo éste un proceso continuo. Por tanto, es necesario verificar periódicamente tanto la adecuación como la eficacia de las salvaguardas aplicadas. La Autoridad polaca establece que el responsable del tratamiento debe probar, medir y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
