La Caja de Subsidios Familiares (CAF) de Gironda ha puesto en línea involuntariamente los datos personales de 10.204 de sus beneficiarios. Así se lo comunicó a uno de sus proveedores de servicios, que se encarga de formar a sus agentes, para que no se vuelva a cometer el error.
El proveedor de CAF olvida eliminar datos personales de su sitio web
Según una investigación de la unidad de investigación de Radio France, en marzo de 2021 el organismo de derecho privado envió a uno de sus clientes un fichero con los datos personales de más de 10.000 de sus destinatarios. Aunque se hayan suprimido el nombre y los apellidos de este documento para hacerlo anónimo, se ha incluido mucha información: fecha de nacimiento, ingresos mensuales, prestaciones recibidas, dirección, etc.
Mientras su proveedor formaba a nuevos agentes, puso por error el expediente en línea en su sitio web. » Cuando la CAF me dio estos datos, pensé que eran ficticios, dice uno de los empleados de la empresa que prefirió permanecer en el anonimato. No necesitamos datos reales para el entrenamiento, sólo datos realistas. El archivo estaba disponible en mi sitio web como parte de un curso de formación en línea y no lo eliminé posteriormente. «.
Durante 18 meses, toda la información de más de 10.000 personas estuvo a disposición de quien la quisiera en el sitio web. Se publicaron 181 datos por destinatario. Radio France pudo averiguar la identidad de la mayoría de estas personas.
Al divulgar públicamente datos personales, los riesgos se multiplican
Si el periodo es de temor a la divulgación de documentos en el contexto de los piratas informáticos, como ocurre con el ransomware, aquí la situación es diferente. Se trataría de un error cometido involuntariamente, en un contexto muy específico y sin intención de comprometer la confidencialidad de estos datos personales.
Alexandra Iteanu, abogada especializada en protección de datos, analizó para Radio France » Para que una transferencia de datos personales sea lícita, debe basarse en uno de los seis motivos jurídicos impuestos por el RGPD: consentimiento, contrato, misión de interés público, salvaguardia de intereses vitales, interés legítimo y obligación legal. Por lo tanto, el CAF no tenía derecho a comunicar estos datos si no había informado previamente a los interesados y obtenido su consentimiento «.
Con tanta información divulgada públicamente, los riesgos de robo de identidad y estafas se multiplican. La Caisse nationale des allocations familiales (Cnaf) explicó a Radio France » estos datos nunca deberían haber sido puestos en línea por el proveedor de servicios «. La organización ha iniciado una investigación interna para » comprender cómo pudo producirse esta situación y establecer un sistema de control más estricto «. Por último, la CAF de Gironda informará a todos los destinatarios afectados.
Como joven medio de comunicación independiente, OnDigital Magazine necesita tu ayuda. Apóyenos siguiéndonos y marcándonos como favoritos en Google News. Gracias por su apoyo.
