LAS REVISIONES PERIÓDICAS DE SEGURIDAD SON CLAVE
En su sentencia, el PDPC dijo que ha enfatizado repetidamente la necesidad de que las organizaciones realicen revisiones periódicas de seguridad de sus sistemas de TI.
Si bien Agape había hecho esto, las revisiones no cubrieron el servidor de archivos porque era una característica heredada exclusiva del compromiso de Agape con Fullerton Health. Por lo tanto, Agape no revisó ni evaluó las implicaciones y los riesgos de seguridad del servidor de archivos.
Cuando se violaron los datos, la contraseña del servidor de archivos también se había desactivado sin querer durante unos 20 meses. No se pudo establecer la causa.
Esto llevó a que el servidor de archivos se convirtiera en una «lista de directorio abierta en Internet sin protección de contraseña, y altamente vulnerable al acceso no autorizado, modificación y riesgos similares durante un período de tiempo excesivo», dijo el PDPC.
Antes de que se deshabilitara la contraseña en diciembre de 2019, se había compartido entre los reclusos para acceder al servidor de archivos. Tampoco se fijó una fecha de caducidad para la contraseña.
Mientras tanto, Fullerton Health estaba obligada a ejercer una supervisión razonable de las actividades de procesamiento de datos de Agape al monitorear regularmente sus procesos de manejo de datos personales, dijo el PDPC.
En cuanto a si Fullerton Health estaba al tanto de la carga de datos de clientes en el servidor de archivos de Agape, y si lo permitió, el PDPC dijo que no había pruebas suficientes para llegar a una conclusión.
Sin embargo, el hecho es que Fullerton Health sabía que Agape estaba involucrando a los reclusos. Fullerton Health debería haber realizado consultas razonables para determinar cómo se almacenarían y transmitirían los datos del cliente, dijo el PDPC.
EL IMPACTO DEL INCIDENTE FUE «AMPLIFICADO»
Al determinar qué sanción financiera imponer, el PDPC señaló que, a través del sistema SharePoint, Fullerton Health había revelado inadvertidamente datos personales destinados únicamente al uso interno de sus empleados.
Agape no necesitaba estos datos para prestar sus servicios. El PDPC dijo que esto llevó a que el “impacto del incidente se amplifique”.
Fullerton Health también era el controlador de datos y “tenía la responsabilidad final de ejercer la diligencia debida y la supervisión razonable sobre Agape”, agregó el PDPC.
Consideró el hecho de que la facturación anual de Fullerton Health, según sus últimas cuentas auditadas disponibles, era casi 50 veces mayor que la de Agape.
En cuanto a los factores atenuantes, el PDPC señaló que ambos habían tomado medidas correctivas inmediatas cuando salió a la luz la violación de datos. También han tomado medidas para evitar que el incidente vuelva a ocurrir.
En octubre del año pasado, la cantidad máxima que una empresa puede recibir como multa por una violación de datos se incrementó al 10 por ciento de su facturación anual en Singapur o a 1 millón de dólares singapurenses, lo que sea mayor.
Anteriormente, las organizaciones que violaran la Ley de Protección de Datos Personales enfrentarían una sanción económica de hasta 1 millón de dólares singapurenses.