La Comisión Nacional de Informática y Libertades (CNIL), el «gendarme» francés de datos personales, anunció el jueves 21 de abril que había condenado a la empresa Dedalus a una fuerte multa de 1,5 millones de euros tras una fuga masiva de datos de salud.
A mediados de febrero de 2021, un usuario de Internet puso a disposición gratuitamente, en un foro de debate, una base de datos que contenía información médica sensible sobre medio millón de franceses. En concreto, podríamos encontrar su apellido, nombre y dirección postal, pero también su número de teléfono y dirección de correo electrónico, así como su grupo sanguíneo o su número de la Seguridad Social. La información médica ultrasensible también se incluyó en los datos publicados, en particular en relación con «al VIH, cánceres, enfermedades genéticas, embarazos, tratamientos farmacológicos seguidos por el paciente, o incluso datos genéticos»especifica la CNIL.
Rápidamente se identificó que la fuente de la fuga provenía del software comercializado a los laboratorios por la empresa Dedalus Biology. En ese momento, la CNIL abrió una investigación y realizó controles a la empresa. Los contundentes resultados de estos controles llevaron a la autoridad administrativa a imponer una elevada multa, pero también a hacer pública esta sanción.
“Muchas fallas”
La CNIL considera a la empresa responsable de las principales infracciones del Reglamento General de Protección de Datos (GDPR), el marco europeo para datos personales. En particular, critica a la empresa por «muchas deficiencias técnicas y organizativas en términos de seguridad»en particular «falta de cifrado» algunos datos, «falta de autenticación» para acceder a parte de la infraestructura de TI, o «la ausencia de borrado automático de datos después [leur] migración «.
Para la CNIL, “Esta falta de medidas de seguridad satisfactorias es una de las causas de la brecha de datos que comprometió los datos médico-administrativos de cerca de 500.000 personas”. La CNIL también acusa a la empresa de haberse excedido en las solicitudes de sus clientes, en este caso laboratorios médicos, cuando «la migración de un software a otra herramienta»extrayendo «un volumen de datos mayor que el requerido».
Solicitado tras el anuncio de la multa impuesta por la CNIL, Dedalus afirma haber, “tan pronto como se revele el ciberataque en 2021”, “desplegó todas las medidas posibles” para “identificación de posibles vulnerabilidades” y he trabajado en «remediar las deficiencias identificadas por la CNIL». La empresa afirma haber realizado “refuerzo de determinadas infraestructuras informáticas”para “la mejora de varios procedimientos internos y externos”lanza “una parte importante de la formación interna” y hecho “contrataciones adicionales” en los departamentos responsables de la ciberseguridad corporativa.
Una investigación judicial abierta
Pocos días después de la revelación de la fuga de datos, el tribunal, instruido en procedimientos sumarios por la CNIL, ordenó a los proveedores de servicios de Internet franceses que bloquearan el acceso de los usuarios de Internet al sitio en el que se publicaron los datos.
Si la multa impuesta por la CNIL viene a sancionar las deficiencias en materia de seguridad, la persona o personas responsables de la piratería y la publicación de los datos no han sido identificados. Estos datos podrían haberse puesto a la venta por primera vez, varios meses antes del descubrimiento público de la fuga, en foros en línea especializados. El vendedor original habría publicado estos datos en acceso abierto luego de una disputa con un comprador.
La fiscalía de París abrió una investigación por piratería informática y la encomendó a la unidad policial especializada en la lucha contra el ciberdelito.
Actualización del 21 de abril a las 17:45: reacción de Dedalus añadida.