En materia de protección de datos, todos los ciudadanos debemos cumplir con el “principio de integridad y confidencialidad”, el cual impone que los datos personales deben ser tratados de manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su perdida, destrucción o daño accidental mediante la aplicación de medidas técnicas u organizativas apropiadas.
Dicho principio lo encontramos en el artículo 5.1.f) del Reglamento Europeo de Protección de Datos, (en adelante (RGPD)). Se trata de una de las estipulaciones que ha incumplido el protagonista de la Resolución publicada por la Agencia Española de Protección de Datos (AEPD) que vamos a analizar a lo largo de este artículo.
En el Procedimiento Sancionador nº 00354/2020 se apercibe a un letrado como consecuencia de dejar, junto a unos contenedores de basura, dos bolsas de plástico con documentación repleta de datos personales. El SEPRONA fue el servicio que encontró las escrituras, poderes notariales, Sentencias, fotocopias de DNIs de clientes, testamentos… etc. que había dentro de las mencionadas bolsas.
Una vez interpuesta la reclamación contra el letrado, el mismo no contestó a ninguno de los requerimientos ni alegaciones solicitados por nuestra autoridad de control. Por lo que la AEPD inicio y resolvió el procedimiento sancionador en base a los siguientes fundamentos de derecho:
1.- En primer lugar, hacemos mención de nuevo al artículo 5 del RGPD donde se encuentra estipulado el principio de integridad y confidencialidad, según el cual se debe regir el tratamiento de los datos personales.
2.- Dentro del mismo artículo, encontramos una referencia a la seguridad de los datos personales la cual viene regulada en el articulo 32 del mismo cuerpo legal, estableciendo una serie de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo las cuales debían haber sido aplicadas por el responsable de tratamiento.
3.- La Agencia entiende que se produce una vulneración del artículo 32 del RGPD, la cual se encuentra tipificada en el artículo 83.4.a) de la misma Ley, así como en los artículos 71 y 73 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, (en adelante LOPDGDD).
Así las cosas, nuestra autoridad de control considera que los hechos puestos de manifiesto en la reclamación se pueden concretar en la existencia de un incidente de seguridad en los sistemas del reclamado que han hecho posible su vulnerabilidad al permitir que la documentación que incluía datos de carácter personal se encontrará en un lugar público con total acceso a cualquier ciudadano.
Este hecho tiene la consideración de violación de seguridad de datos personales. El RGPD así lo define en su artículo 4.12): “Toda violación de la seguridad que ocasione la destrucción, perdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
¿Cuál es la consecuencia de una violación de seguridad?
Que se produce una brecha de seguridad la cual, una vez detectada y evaluada, debe ser documentada durante el proceso de recopilación de los datos personales que han sido revelados. La propia Agencia Española de Protección de Datos tiene publicada una “Guía para la notificación de brechas de datos personales”, donde se indica como actuar cuando se produce este tipo de sucesos.
Además, el responsable de tratamiento debe ser capaz de determinar con precisión tres elementos básicos cuando se produce una brecha de seguridad:
1.- Las categorías de datos personales afectadas: identificativos, económicos o financieros, datos de salud, origen racial o étnico… etc.
2.- El número de personas afectadas.
3.- El perfil de las personas físicas afectadas: clientes, ciudadanos, alumnos, usuarios, pacientes… etc.
De esta manera, se podrá determinar el nivel de riesgo para los afectados por la brecha de datos personales. En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos y que pudieran ocasionar daños y perjuicios físicos, materiales o inmateriales.
En nuestro Blog hemos analizado en varias ocasiones determinadas casuísticas que pueden ocurrir cuando ocurre una brecha de seguridad. Por ejemplo, pincha aquí si quieres conocer en que situaciones debemos notificar ante la AEPD la comisión de una brecha o bien estar al tanto de las sanciones impone nuestra autoridad de control cuando se dan estas situaciones.
En el caso que nos ocupa, este suceso se ha producido debido a la vulneración del artículo 32 del RGPD, ya que el reclamado no ha cumplido con las medidas técnicas y organizativas incluidas dentro de dicho artículo. Entras otras, el letrado no cumplió con las siguientes:
- Los datos personales hallados dentro de la bolsa no estaban seudonimizados.
- No se ha garantizado la confidencialidad, integridad, disponibilidad del tratamiento de los datos personales por parte del reclamado ya que no implemento ningún tipo de medida de protección de los mismos.
- No se ha tenido en cuenta el riesgo del tratamiento de los datos personales encontrados.
Si bien es cierto que las medidas de seguridad que instaure el responsable de tratamiento deben resultar adecuadas y proporcionadas al riesgo detectado, en esta ocasión, el reclamado no ha actuado de forma diligente al no cumplir con ninguno de los mandatos que se estipulan dentro de la norma. En la propia resolución se manifiesta que se desconoce la adopción de medidas al respecto.
Continuando con las medidas, en este caso, correctivas que la AEPD decide imponer al letrado, argumenta que, sin perjuicio de lo establecido en el anteriormente citado artículo 83 del RGPD, se opta por la posibilidad que el artículo 58.2.b) del mismo texto legal otorga. Es decir, la Agencia toma la decisión de acudir al apercibimiento para corregir los tratamientos de datos personales que no se adecúen a sus previsiones.
¿Por qué se impone el apercibimiento y no directamente una sanción pecuniaria? En la resolución se explica que se escoge esta primera opción debido a que nuestra autoridad de control considera que la multa administrativa que pudiera recaer sobre el reclamado al amparo de lo estipulado en el artículo 83.4.a) del RGPD constituiría una “carga desproporcionada” para el letrado. Asimismo, indican que no consta que el reclamado haya cometido ninguna infracción anterior en materia de protección de datos por lo que ese hecho también origina un resultado sin multa.
No obstante, no solo se impone una sanción de apercibimiento, sino que se requiere al letrado para que, en el plazo de un mes desde la notificación de la resolución, acredite ante la Agencia la adopción de medidas técnicas y organizativas adecuadas para asegurar la confidencialidad de la información incluida en sus sistemas, todo con el objetivo de que no se vuelvan a producir incidencias de esta naturaleza en el futuro. Además, el reclamado debe entregar medios de prueba que realmente acrediten que las medidas técnicas y organizativas requeridas por la AEPD se han cumplido.
A colación de ello, os proporcionamos una serie de pautas de destrucción segura de documentación para datos contenidos en soportes no automatizados (papel), muy útil tanto para empresas como para particulares:
- La utilización de proveedores de servicio de destrucción documental.
- La utilización de herramientas de destrucción física de papel, tal y como, destructoras de papel.
- Inutilización del soporte que almacena la información en el dispositivo para evitar la recuperación posterior de los datos que almacena: desintegración, pulverización, fusión e incineración.
La intención del análisis de la resolución que hemos ido analizando a lo largo del presente articulo no es otra que dar a conocer los riesgos a los que se enfrenta cualquier ciudadano o entidad al realizar acciones como esta. Tirar documentación que contenga datos personales y, en algunos casos, tan sensibles como Sentencias sin anonimizar, escrituras, DNIs o testamentos puede concluir no solo en un apercibimiento por parte de la Agencia, como es el caso, sino que, en otras circunstancias, el reclamado podría haber sido sancionado de forma pecuniaria. Por ello, debemos concienciarnos cada día más acerca de la importancia de cumplir con la normativa en materia de protección de datos.
