| Resolución | PS-00514-2024 |
| Firmado | 2025-07-03T00:00:00Z |
| Enlace | 📋 |
El Instituto de Salud Carlos III (ISCIII) fue sancionado por una brecha de datos personales que afectó a un proyecto de investigación sobre la calidad de vida de personas con VIH. La brecha, detectada por la empresa encargada del tratamiento de datos, ***EMPRESA.2, expuso datos identificativos y de salud de los participantes.
La decisión se basa en la falta de implementación de medidas de seguridad adecuadas que, de haber estado en vigor, habrían evitado o reducido significativamente el impacto de la brecha. Entre las medidas que se consideraron necesarias y que no estaban en vigor en el momento de la brecha se incluyen la autenticación multifactor, la monitorización continua de actividades sospechosas y la cifrado de datos sensibles.
La sanción se fundamenta en la vulneración del artículo 5.1.f del Reglamento General de Protección de Datos (RGPD), que establece la obligación de tratar los datos personales de manera que se garantice su integridad y confidencialidad. La falta de estas medidas de seguridad permitió el acceso no autorizado a datos personales sensibles, lo que constituye una infracción grave.
El ISCIII, como responsable del tratamiento, es el encargado de determinar los fines y medios del tratamiento de datos, por lo que se le imputa la responsabilidad de la brecha. La sanción impuesta es la declaración de infracción, sin multa económica, debido a que el ISCIII es un organismo público y la legislación española establece un régimen específico para las sanciones a entidades públicas en materia de protección de datos.