En el procedimiento sancionador PS/00076/2011 de la AEPD vemos la sanción que sufre una entidad por no tener implantadas las medidas de seguridad que exige la LOPD.
ACCESO POR LOS USUARIOS A RECURSOS NO NECESARIOS PARA PRESTAR SERVICIOS
En marzo de 2010, tiene entrada en la Agencia Española de protección de Datos el escrito de un empleado, D. A.A.A., en el que declara que la empresa en la que presta servicios, no cuenta con las medidas de seguridad respecto a cierta información sobre datos médicos de los trabajadores, pues desde los equipos informáticos ubicados en el muelle de recepción de mercancías donde trabaja, se pueden visualizar, entre otros, análisis clínicos de trabajadores de la empresa.
Durante las labores de inspección se comprueba que el denunciante accede a un equipo informático que está en el muelle, y que aunque el sistema pide un usuario y contraseña para acceder, el usuario sale ya por defecto, y la contraseña es la misma que el nombre de usuario.
AUSENCIA DE CONTROLES DE ACCESO A DATOS DE SALUD DE TRABAJADORES
Se puede además comprobar que desde ese equipo, a través de la red local es posible acceder a carpetas que están situadas en el equipo de la Jefa de Recursos Humanos del centro, en concreto es posible acceder a una carpeta denominada “Servicio Médico” y que contiene los resultados analíticos de los empleados del centro.
Resultado: Sanción de 20.000 € por vulneración del artículo 9.1 de la LOPD en relación a las medidas de seguridad.