Consumidores en Acción ha denunciado ante la Agencia Española de Protección de Datos (AEPD) al portal de búsqueda de empleo Randstad por la posible vulneración de la normativa de protección de datos, al permitir a los usuarios ver nóminas de los trabajadores subcontratados por la mercantil en cualquier punto geográfico español.
La propia asociación ha pedido la apertura de un expediente sancionador contra esta empresa. Según recoge eldiario.es, un fallo de seguridad presente hasta junio, ya subsanado, ha dejado al descubierto datos personales como el número de la Seguridad Social, DNI, nombres y apellidos con solo pulsar un botón, de tal manera que marcando la tecla F5 o pinchando sobre el botón actualizar del navegador mientras se veía una nómina, se tenía acceso a los datos de los afectados.
Sobre este hecho, FACUA considera un escándalo esta brecha de seguridad que ha permitido el acceso a cualquier usuario de la web a los datos personales de los perjudicados, visibles a todo el mundo y dejando entreabierta la posibilidad a que cualquier persona de manera malintencionada pudiera suplantar la identidad de otra.
Según la fuente consultada por eldiario.es, también era posible copiar la dirección de la barra del navegador y pegarla en otro o enviarla por correo para empezar sesión en un ordenador distinto. Cuando esto sucedía, el sistema no solicitaba las claves para autentificarse de nuevo, de manera que, solo copiando y pegando esa URL, una persona sería capaz de acceder al perfil de otra sin autentificarse.
FACUA indica a Randstad que el Reglamento de la Unión Europea (UE) 2016/679, en su artículo 32, apartado primero, recoge que "el responsable y el encargado del tratamiento" de datos personales "aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo" que incluya "la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento".
Asimismo, la asociación señala que la Ley Orgánica de Protección de Datos (LOPD) contempla que los responsables de custodiar los datos personales "deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado". A su vez, FACUA recuerda que el Reglamento General de Protección de Datos (RGPD) establece que esta empresa tiene que mandar un comunicado a los afectados para informarles de que ha tenido conocimiento del fallo de seguridad que ha expuesto públicamente sus datos.
