La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 70.000 euros a la Sociedad Española de Oncología Médica (SEOM) por una brecha de seguridad que afectó a datos personales especialmente sensibles como historiales médicos, correos electrónicos y teléfonos.
La brecha no fue causada directamente por SEOM, sino por uno de sus proveedores tecnológicos. Sin embargo, la AEPD considera que no basta con firmar un contrato: la responsabilidad última de verificar que los encargados de tratamiento cumplen las medidas de seguridad recae sobre quien contrata.
En este caso, el proveedor no tenía implantadas las medidas que exige el Reglamento General de Protección de Datos (RGPD), y lo peor es que solo las aplicó después del incidente.
A pesar de contar con un acuerdo de encargado de tratamiento, la SEOM no realizó controles suficientes ni auditorías para confirmar que los sistemas eran seguros, lo que agravó su responsabilidad. El caso sirve como advertencia clara: delegar no equivale a desentenderse.
Si manejas datos personales debes supervisar activamente a tus proveedores: auditar, comprobar medidas técnicas, exigir formación y solicitar evidencias del cumplimiento. Un simple contrato no protege ni evita multas si no se garantiza que se cumpla lo firmado. La responsabilidad no se externaliza, y la imagen pública también puede salir dañada ante un fallo evitable.
______________________________
Pídenos una valoración sin compromiso para asesorarte con protección de datos personales.
