Una fina en el tamaño de 250,000 euro ha sido impuesta a Centro Óptico, una empresa francesa especializada en la venta de ojo y aparatos auditivos. Al parecer,, la empresa ha fallado en proteger los datos de sus clientes en su sitio web, y como resultado CNIL (la autoridad francesa de protección de datos) tiene decidido penalizar ellas.
Que pasó? La CNIL se dio cuenta de la fuga de datos significativa que afectó sitio de la compañía - www.optical-center.fr - en julio del año pasado. Un cheque en línea fue suficiente para revelar que era muy fácil de facturas de acceso de los clientes con sólo introducir varias direcciones URL en el navegador.
Las facturas normalmente contienen toneladas de información de identificación personal, como nombre y apellido, dirección física, Número de seguridad social. Además de eso, también contenía detalles de salud tales como la corrección oftálmica.
La compañía admitió que el sitio web no autenticar adecuadamente que los clientes se conectan a la zona personal de los clientes antes de divulgar sus facturas. De esta manera, era muy fácil para que cualquiera pueda acceder a las facturas de otros clientes - algo que podría haber sido explotados en muchos escenarios.
No es la Primera Centro Óptico Tiempo recibe una multa, Ya sea
Centro Óptico resolvió rápidamente el problema que estaba filtrando los datos del cliente. Sin embargo, no haber cumplido con el artículo 34 de la Ley de Protección de Datos francesa. Además, esta no es la primera vez que la compañía no tuvo en cuenta las normas de privacidad. Anteriormente que fue multado 50,000 euros en 2015 por otra violación de seguridad.
El 250,000 euros de multa es la sanción económica más alta jamás impuesta en Francia por un problema similar. Sin embargo, cabe señalar que esto ocurrió antes de que el GDPR entró en vigor. Con la GDPR, dichas multas pueden ser mucho más grande - hasta 4% de la facturación anual de una organización o 20 millones de euros.
Como ya escribimos, bajo GDPR, las organizaciones deben poner en práctica los principios de protección de datos, así como las medidas técnicas y organizativas, con el único propósito de proteger los derechos de privacidad de los usuarios y usuarios a la privacidad. Organizaciones sometidas a las próximas regulaciones deben invocar las protecciones integrales de privacidad, haciendo mientras tanto los sistemas y procedimientos de seguro se atengan estrictamente a las necesidades de seguridad de los datos.