Multan con 3.000€ a una asesoría que envió datos personales de un tercero por email 

Escrito por Lara Rebon Gelpi
sanción alpi

La Agencia Española de Protección de Datos (AEPD) recibió el 30 de junio de 2020 una reclamación interpuesta contra la asesoría barcelonesa Alpi-Clúa por difusión de datos personales de un tercero. Por estos hechos, la empresa fue sancionada con una multa de 3.000€. Las brechas de seguridad pueden suceder por varios motivos, pero, ¿cómo ocurrió en este caso? 

Origen de la reclamación  

La reclamación contra Alpi-Clúa fue interpuesta por la representante legal de una mujer que era clienta de la asesoría. Los hechos ocurrieron cuando la reclamante solicitó una serie de documentos necesarios para completar unos trámites en Hacienda. El negocio reclamado remitió mediante correo electrónico un documento que, sin embargo, contenía los datos personales de otro cliente

Junto a la reclamación a la AEPD, la representante legal incluyó el recibo de presentación de documentación ante Hacienda por parte de la asesoría, indicando también que los datos que contenía pertenecían a otro cliente. Un caso similar al del bufete de abogados que vulneró la Ley de Protección de Datos al enviar publicidad, como ya te contamos. 

Actuación de la AEPD 

La Subdirección General de Inspección de Datos decidió aceptar la reclamación y realizar una serie de actuaciones. La primera fue comunicar a la asesoría los motivos por los cuales estaba siendo investigada. Se le requirió que en menos de un mes remitiese la siguiente documentación: 

  • Una copia de las comunicaciones del proceso. 

  • Un informe sobre las causas que han motivado la incidencia y la reclamación. 

  • Un informe sobre las medidas adoptadas para evitar que eventos como estos se repitan. 

  • Cualquier tipo de información relevante para esclarecer lo acontecido. 

Sin embargo, el requerimiento de la Agencia Española de Protección de Datos hizo constar que la asesoría Alpi-Clúa no emitió ningún tipo de respuesta o comunicación con la documentación solicitada. Este tipo de comportamiento ante una brecha de seguridad está desaconsejada en el artículo que desde Pdatos dedicamos al correcto procedimiento en estas situaciones

Actuación por omisión 

Debido al silencio que el negocio reclamado mantuvo, la AEPD actuó según lo dispuesto en el artículo 65 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Las sanciones que afrontó la asesoría se corresponden con la vulneración de los artículos 5 y 32 del Reglamento General de Política de Datos (RGPD). 

Como no se efectuaron alegaciones por parte de la empresa reclamada, se procedió a dictar resolución con mayor velocidad, tal y como dispone el artículo 64 de la Ley 39/2015 sobre el Procedimiento Administrativo Común de las Administraciones Públicas. 

La LOPDGDD puede ser liosa por los numerosos artículos que posee, los plazos u obligaciones que expone. El tratamiento de datos, la protección de datos personales, la política de privacidad, los textos legales, las cookies, las direcciones de correo electrónico o los datos almacenados forman parte de la normativa que un negocio debe cumplir para proteger a sus clientes y a sí mismo. Desde PDatos, queremos ayudarte a saber si tu negocio cumple con la ley de protección de datos con este test online en solo dos minutos

Hechos probados en la resolución 

La AEPD considera en la resolución de este caso que queda probado que la asesoría Alpi-Clúa vulneró el artículo 5 del RGPD, especialmente en lo relativo al tratamiento de datos y el deber de confidencialidad. El deber de confidencialidad, entendido anteriormente como deber de secreto, tiene por objetivo evitar las filtraciones de los datos no consentidos por las personas titulares de estos. 

Esta resolución incide en el hecho de que la confidencialidad es una obligación no solo del responsable y el encargado del tratamiento de datos, sino de toda aquella persona que interviene en cualquier fase del procedimiento. En este artículo te contamos todo lo relativo al tratamiento de datos y la responsabilidad en el proceso

De la documentación presentada junto al expediente se extrae la evidencia de que Alpi-Clúa vulneró también el artículo 32 del RGPD, al producirse una brecha de seguridad en el sistema permitiendo el acceso a datos personales. A mayores, se concluye que tampoco ha hecho cambios ni tomado medidas para evitar que este tipo de sucesos se repitan dentro de la empresa. 

Artículos aplicables a este caso 

Fragmentos de texto legal 

Art. 32 del RGPD 

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. 

Art. 83 del RGPD 

"A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad” 

Sanción y cierre del caso 

De acuerdo a los previsto en el artículo 82 del RGPD, a la hora de imponer la cuantía de la sanción se tuvieron en cuenta factores como el carácter continuado de la infracción, la vinculación de la actividad del infractor con el tratamiento de datos personales o la posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción. 

Ya que solo se vio afectada una persona y el alcance fue meramente local, además de ser una grave falta de diligencia y no un acto doloso, la sanción por vulnerar el artículo 5 del RGPD fue de 2.000€. Del mismo modo y con esos atenuantes, la resolución recoge otra multa de 1.000€ por no cumplir el artículo 32 del RGPD. 

Para conocer los detalles de la sentencia, el procedimiento de la AEPD y lo expuesto por las partes de esta reclamación, puedes consultar la resolución al completo aquí. 

Cuidar los datos y las comunicaciones de este tipo de información es de vital importancia para los negocios que trabajan con ellos.


También es básico contar y actualizar los textos legales de un lugar web. ¿No sabes cuáles son? En Pdatos trabajamos y elaboramos textos legales de manera gratuita para tu web. Podemos evaluar tu actual tratamiento de datos, redactamos los textos y te los hacemos llegar por e-mail. ¡Solicítalos ya! 


 En Pdatos somos expertos en protección de datos y contamos con especialistas con dilatada experiencia que te ayudarán a adaptar tu empresa a la normativa de protección de datos, la política de cookies y la redacción de esta. Asegúrate de cumplir con la normativa vigente y de no incumplir alguno de estos puntos, o podrás afrontar sanciones de elevada cuantía impuestas por la Agencia Española de Protección de Datos

 

Lara Rebon Gelpi
Anterior

Bases de datos: Qué son, tipos y cómo proceder con seguridad 
Siguiente

Auditoría de protección de datos, ¿es obligatoria?