La no retirada del acceso a la cuenta de correo electrónico corporativa a un extrabajador después de su cese, es considerado una infracción de seguridad.
La Consejería de Educación y Formación Profesional del Gobierno de Illes Balears, fue sancionada con apercibimiento por una infracción del artículo 32 del RGPD, tipificada en el artículo 83.4 del RGPD. El denunciante manifiesta que durante el curso académico 2020/2021, estuvo ejerciendo de profesor en un IES, siéndole asignada una dirección de correo electrónico corporativo a la que dejó de tener acceso al finalizar el curso académico.
En 15 de diciembre de 2021, recibió comunicación de Google informándole de un nuevo inicio de sesión en la referida cuenta corporativa por lo que considera que podría haberse suplantado su identidad y vulnerado sus derechos en torno a la protección de datos.
El IES alega que el denunciante ha sido docente del centro desde el día 1 de septiembre de 2020 hasta el 31 de agosto de 2021 y que durante los primeros días de septiembre, se le facilitó una dirección de correo electrónico corporativo, con finalidades exclusivamente académicas y profesionales relacionadas con el mencionado centro docente.
Se ha detectado que accidentalmente no se le retiró el acceso a su cuenta de correo electrónico en el mes de septiembre de 2021, como debería haberse hecho, que el centro no ha cambiado la contraseña de la dirección de correo electrónico del reclamante, en consecuencia, éste seguía teniendo acceso a ésta.
La AEPD señala que la apertura del procedimiento sancionador no se debió al acceso a la cuenta corporativa por parte de una tercera persona, o que se hubiere suplantado la identidad del reclamante, sino al hecho de haber tenido conocimiento de que se mantuvo el acceso a la cuenta hasta junio de 2022, es decir, mucho más de un mes después del cese del reclamante como docente del centro, a pesar de que la recomendación era que el tiempo entre el cese y la suspensión de la cuenta fuera de un mes. Al continuar accediendo a la cuenta de correo electrónico, a su vez continúa pudiendo acceder a datos personales e información a la que ya no debería tener acceso por no trabajar en ese centro.
Este riesgo debe ser tenido en cuenta por el responsable del tratamiento quien debe establecer las medidas técnicas y organizativas necesarias y que aumenta la exigencia del grado de protección en relación con la seguridad y salvaguarda de estos datos.
Más información consulte nuestra página de servicios