El pasado 18 de febrero, la página de noticias tecnológicas Computer Sweden descubrió una significativa brecha de seguridad de datos personales concerniente a la grabación de 2,7 millones de llamadas telefónicas al número 1177, el número de atención médica sueca.

Las llamadas al 1177 suelen tratar sobre síntomas médicos y es habitual solicitar datos personales de la persona que llama, como su número de seguridad social.

Los archivos de audio de las llamadas estaban desprotegidos en el servidor, sin cifrar y sin contraseña, por lo que cualquier persona conocedora de la dirección de IP podía descargarse esta información.

Según la noticia, junto con cada fichero de audio aparece el número de teléfono de la persona que llamaba. Hay al menos 57.000 números de teléfono asociados a estos ficheros de audio.

La brecha de seguridad reviste especial gravedad, ya que los datos relativos a la salud tienen la consideración de datos personales sensibles según el RGPD (art. 9), y su publicidad puede tener serias repercusiones negativas para los afectados (ej. Alguien con el VIH que no desea que se conozca su enfermedad).

 

Partes involucradas en el sistema de llamadas 1177

Medhelp es la empresa encargada de recibir las llamadas del número 1177 en las regiones en donde viven los afectados por esta brecha de seguridad (Stockholm, Södermanland y Värmland).

Cuando se daba un elevado volumen de llamadas al 1177, Medhelp subcontrataba los servicios del centro de llamadas MediCall (Sweden) Co. Ltd., una empresa tailandesa con personal y propietarios suecos.

Son las grabaciones de las llamadas realizadas a Medicall las que han aparecido en la brecha de seguridad.

Las grabaciones de las llamadas realizadas al centro de llamadas Medicall se guardaban en un sistema nube ofrecido por la empresa sueca Voice Integrate Nordic AB.

Según Computer Sweden, cuando estos mencionaron la brecha de seguridad al Consejero Delegado de Voice Integrate Nordic, Tommy Ekström, este contestó: “Es catastrófico, son datos sensibles. No teníamos ni idea que esto estaba sucediendo. Revisaremos por supuesto nuestro sistema y averiguaremos lo que ha sucedido”.

A su vez, MedHelp dice que esta llevando a cabo una investigación informática para averiguar exactamente lo sucedido y buscar pruebas para remitir a la Autoridad de Protección de Datos sueca (Datainspektionen) y a la policía. 

 

¿Qué medidas ha tomado la Autoridad de Protección de Datos sueca?

Según una declaración de la Autoridad de Protección de Datos sueca publicada el 4 de marzo, ésta ha inciado una investigación de una de las partes involucradas en el sistema de llamadas 1177: la empresa Voice Integrated Nordic AB.

La autoridad menciona que, conforme al RGPD, los datos personales deben de estar debidamente protegidos para evitar el acceso no autorizado a los mismos. Los responsables del tratamiento tienen la responsabilidad de tomar las “suficientes medidas de seguridad”.

“Cuando se tratan de datos personales sensibles relacionados con la salud, los requisitos (de seguridad) son especialmente rigurosos” dice Suzanne Isberg, la supervisora de la presente investigación.

“Este es un caso complejo con distintas partes involucradas. Se realizarán preguntas y posibles investigaciones adicionales sobre las otras partes involucradas” dice también Suzanne Isberg.

 

Conclusión:

Nos encontramos ante otra potencial infracción del artículo 32 del RGPD relativo a las medidas de seguridad del tratamiento.

Si la investigación concluye en multa, esta sería la cuarta multa por infracción del articulo 32 del RGPD, junto con la multa a la Autoridad de Tierras de Malta, la multa al hospital portugués Centro Hospitalar do Barreiro Montijo, y la multa a la empresa alemana de redes sociales “Knuddels.de”.

Resulta también interesante ver como periodistas de investigación con conocimientos informáticos han podido descubrir esta grave brecha de seguridad. Quizás un nuevo mercado para este tipo de periodismo sea la búsqueda de brechas de seguridad de datos personales. Especialmente ahora con el RGPD en vigor.

Esperamos que la noticia haga reflexionar a las empresas que estén tratando datos personales sobre las medidas de seguridad que tienen implementadas. Hasta la fecha, las infracciones del artículo 32 del RGPD, son sin duda las más recurrentes. 

______

Gonzalo Sanchez-Jara Garralda, autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

Para más información sobre abc Compliance, pulse aquí. 

Suscríbase aquí para recibir los últimos post del RGPD Blog en su correo electrónico.