Sanción de 2000 euros a Incibe por infracción del principio de privacidad por defecto y desde el diseño.
El Instituto Nacional de Ciberseguridad (INCIBE) fue sancionado por la AEPD por infringir el principio de privacidad por defecto y desde el diseño, según el dispuesto en el art. 25 del RGPD.
La denuncia del año 2023 alega que la configuración de la plataforma de un curso masivo online, permitía que los datos personales de los alumnos fueran visibles para todos los demás participantes en el curso. Fue un error en la configuración de Moodle: existía un parámetro activado por defecto que permitía la visibilidad de los perfiles de los alumnos en el foro. INCIBE, como responsable del tratamiento, no modificó esta configuración predeterminada antes de iniciar el curso.
El denunciante alega que hubo un tratamiento indebido de sus datos personales dado que, el día en que comienza el curso, se han hecho públicos, para todos los participantes en el curso, datos personales de cada uno de ellos, incluyendo nombre, apellidos, dirección de correo electrónico, ciudad y país, sin consentimiento previo ni información suficiente sobre la finalidad y destinatarios de este tratamiento de datos.
La brecha de datos personales afectó a 399 usuarios únicos cuyos datos de perfil fueron filtrados y visualizados por otros alumnos. De los 9.000 alumnos inscritos, 318 accedieron al menos a un perfil que no era el
suyo. La duración de la brecha de seguridad fue de 15 horas.
La AEPD concluye que INCIBE falló en la confidencialidad por defecto y en la minimización de los datos.
Más información consulte nuestra página de servicios
