Press "Enter" to skip to content

Delante de GDPR, Reino Unido multa a la Universidad de Greenwich £ 120,000 por violación de datos

                                    
                    

La Universidad de Greenwich ha sido multada con £ 120,000 por el Comisionado de Información del Reino Unido por una grave violación de datos que involucró a cerca de 20,000 personas.

    
        

El lunes, el regulador de información del Reino Unido dijo que la multa fue la primera emitida a una universidad bajo la Ley de Protección de Datos de 1998.

Bajo las reglas actuales de protección de datos del Reino Unido, los controladores de información – como la universidad – están obligados a tomar medidas razonables para proteger los datos.

Sin embargo, los reguladores dicen (.PDF) que la Universidad de Greenwich falló en este deber después de una conferencia de capacitación en 2004.

La conferencia se celebró en la entonces Facultad de Informática y Matemáticas de la Universidad. Un micrositio se dedicó al evento de capacitación que registraba la información tanto del personal como de los estudiantes, y este sitio web no se aseguró o se cerró después.

Tres años más tarde, los actores de amenazas explotaron una vulnerabilidad en el dominio para acceder a áreas del servidor web. Como resultado, la información que incluye nombres, direcciones y números de teléfono pertenecientes a 19,500 personas incluyendo estudiantes, personal y ex alumnos se vio comprometida.

Para empeorar las cosas, los datos que pertenecen a aproximadamente 3,500 de estos individuos y expuestos a través del el servidor incluyó información confidencial como detalles sobre la enfermedad, dificultades de aprendizaje y "circunstancias atenuantes", de acuerdo con el regulador.

    

    

Esta información se filtró en línea.

"Los estudiantes y miembros del personal tenían derecho a esperar que su información personal se mantuviera en forma segura y esta grave violación habría causado angustia significativa", dijo Steve Eckersley, Jefe de Aplicación en el ICO. "La naturaleza de los datos y el número de personas afectadas han informado nuestra decisión de imponer este nivel de multa".

La investigación del ICO reveló que el micrositio se desarrolló sin que la universidad, como institución, conociera en ese momento, ya que el departamento estaba descentralizado. Sin embargo, esto no elimina la responsabilidad general de la universidad.

El ICO cree que no existían sistemas técnicos y de gestión adecuados que se definirían como esfuerzos de protección de datos "razonables". Por lo tanto, se impuso la multa.

Con la fecha límite del Reglamento General de Protección de Datos (GDPR) del 25 de mayo de 2018 a pocos días de distancia, las consecuencias en el futuro para la seguridad laxa y la protección de datos deficiente serán más estrictas. Sin embargo, el viaje ya ha demostrado ser difícil para las organizaciones.

Un reciente estudio de IBM sugiere que, si bien muchas empresas creen que GDPR podría convertirse en una fuerza para el bien en términos de privacidad y restricciones de recopilación de datos, solo 36 por ciento de las organizaciones creen que estarán listas a tiempo.

Ver también: el DoJ acusa a piratas informáticos iraníes de robar datos de 144 universidades estadounidenses

En respuesta a la decisión, la universidad aceptó la responsabilidad y planea pagar la multa de inmediato, lo que reducirá la cantidad adeudada a £ 96,000.

"Desde 2016, hemos tomado una cantidad de pasos significativos para mejorar nuestros procedimientos de protección de datos", agregó la universidad. "Tomamos esto muy en serio, y nos gustaría pedir disculpas nuevamente a aquellos que puedan haber sido afectados".

Cobertura anterior y relacionada

Enlace de origen

Be First to Comment

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *