La AEPD sanciona a Informática Médica con 60.000 euros por no formalizar contrato con subencargado de tratamiento tras brecha de seguridad que afectó a 135.000 personas

La resolución sanciona a Informática Médica, S.L. (IM) por una infracción del artículo 28 del Reglamento General de Protección de Datos (RGPD). La denuncia se centra en la falta de un contrato formal con su subencargado de tratamiento, OUTENUVE, que sufrió una brecha de seguridad afectando a más de 135.000 personas, incluyendo datos de salud. IM alegó que solicitó el contrato pero OUTENUVE no lo formalizó, y que actuó con diligencia al elegir al proveedor. Sin embargo, la resolución argumenta que IM no cumplió con su obligación de asegurar un contrato escrito que garantizara la protección de datos. La sanción impuesta es de 60.000 euros debido a la gravedad de la infracción, la negligencia y el volumen de datos afectados.