El regulador de protección de datos del Reino Unido ha multado al Ministerio de Defensa con 350.000 libras esterlinas (439.000 dólares) tras un grave error en el correo electrónico que podría haber provocado la muerte.
La Oficina del Comisionado de Información (ICO) dijo que el correo electrónico en cuestión fue enviado por la Política de Asistencia y Reubicación Afgana (ARAP) del Reino Unido, que es responsable de ayudar a reubicar a los ciudadanos afganos que trabajaron para o con el gobierno del Reino Unido durante la ocupación aliada del país.
La información personal de 245 de estas personas quedó expuesta accidentalmente a todos los destinatarios porque el remitente utilizó el campo «Para». En el caso de 55 de estas personas, las imágenes en miniatura también eran visibles en sus perfiles de correo electrónico. Dos «respondieron a todos» a la lista completa de destinatarios, y uno proporcionó su ubicación, dijo la ICO.
Dadas las circunstancias que rodearon su reubicación, vidas podrían haber estado en riesgo si los datos hubieran caído en manos de los talibanes, afirmó el regulador.
La ICO impuso una multa inicial de 1 millón de libras esterlinas por una infracción grave del RGPD, ya que se consideró que el Ministerio de Defensa no contaba con «medidas técnicas y organizativas apropiadas». Sin embargo, la ICO redujo posteriormente esta cantidad a £ 700 000, en parte para reflejar las medidas tomadas por el ministerio después del incidente.
El Ministerio de Defensa se puso en contacto rápidamente con los afectados, pidiéndoles que borraran el correo electrónico, cambiaran su dirección de correo electrónico y proporcionaran al equipo ARAP sus nuevos datos de contacto a través de un formulario seguro. También llevó a cabo una investigación interna, hizo una declaración en el parlamento sobre la violación y actualizó las políticas y procesos de correo electrónico de la ARAP. Esto incluye una política de «segundo par de ojos» al enviar correos electrónicos a varios destinatarios externos.
Según el nuevo enfoque de la ICO respecto de las multas al sector público, la sanción financiera se redujo posteriormente a la mitad, hasta £350.000.
Sin embargo, el comisionado de información, John Edwards, describió el incidente como “atroz” e instó a otras organizaciones a aprender las lecciones de la infracción.