Detalles personales de los solicitantes de empleo de las galerías Tate filtrados en línea | Protección de datos

Los datos personales enviados por solicitantes de empleo en las galerías de arte Tate se han filtrado en línea, exponiendo sus direcciones, salarios y números de teléfono de sus referencias, según ha sabido The Guardian.

Los registros, que ocupan cientos de páginas, aparecieron en un sitio web no relacionado con la organización patrocinada por el gobierno, que opera la Tate Modern y Tate Gran Bretaña galerías de Londres, Tate St Ives en Cornwall y Tate Liverpool.

Los datos incluyen detalles de los empleadores actuales y la educación de los solicitantes, y se relacionan con la búsqueda de la Tate de un desarrollador de sitios web en octubre de 2023. Se incluye información sobre 111 personas. No se nombran, pero sí sus referentes, a veces con números de móvil y direcciones de correo electrónico personales. No quedó claro de inmediato cuánto tiempo habían estado circulando los datos en línea.

Max Kohler, un programador informático de 29 años, descubrió que sus datos aparecían en la filtración el jueves después de que un extraño que había visto el volcado de datos en línea le enviara un correo electrónico a uno de los árbitros de su solicitud.

Kohler descubrió que incluía su último salario, el nombre de su empleador actual y los nombres, correos electrónicos y direcciones de sus otros árbitros, así como largas respuestas que había dado a las preguntas de su solicitud de empleo.

“Es muy decepcionante y desilusionante”, dijo. “Pasas tiempo ingresando toda esta información confidencial, salarios de trabajos anteriores, direcciones de casa, y ellos no se ocupan de esta información y la tienen flotando en público.

“Deberían retirarlo, disculparse y debería haber un informe sobre cómo sucedió esto y qué van a hacer para garantizar que no vuelva a suceder. Debe ser personal mal capacitado o un error de proceso”.

El número de incidentes de seguridad de datos reportados a la Oficina del Comisionado de Información (ICO) del Reino Unido sigue aumentando. En 2022 se reportaron poco más de 2.000 incidentes por trimestre; eso ha aumentado a más de 3.200 entre abril y junio de este año.

Kate Brimsted, socia del bufete de abogados Shoosmiths y experta en privacidad de datos, derecho de la información y seguridad cibernética, afirmó: “Una infracción no tiene por qué ser deliberada, y aunque los ataques de ransomware aparecen en los titulares, la mayoría de las infracciones actuales se deben a errores. Es igual de importante contar con comprobaciones y procesos como parte de las prácticas diarias de las organizaciones. Todos somos falibles. Es un trabajo muy duro gestionar tus propios datos. Es difícil y a veces aburrido, pero es importante”.

La ICO, que regula la protección de datos en el Reino Unido, dijo: “Las organizaciones deben notificar a la ICO dentro de las 72 horas siguientes a tener conocimiento de una violación de datos personales, a menos que no represente un riesgo para los derechos y libertades de las personas. Si una organización decide que no es necesario informar de una violación, debe mantener su propio registro de la misma y poder explicar por qué no se informó, si es necesario”.

Un portavoz de Tate dijo: “Revisamos todos los informes a fondo y estamos investigando el asunto. No hemos identificado ninguna violación de nuestros sistemas y no haríamos más comentarios mientras el asunto esté en curso”.