202103.31
0

Una asesoría es sancionada con 3.000 euros por equivocarse al enviar documentación vía email (PS 483/2020 AEPD)

Si hace un par de semanas informábamos sobre la sanción de 2.000 euros impuesta a una asesoría por enviar un documento a la persona incorrecta, esta vez, en un supuesto similar, la Agencia Española de Protección de Datos (AEPD), en su procedimiento Nº PS/00483/2020, ha impuesto la multa de 3.000 euros a otra asesoría por enviarle un email a un cliente con documentación de carácter personal de un tercero.

La AEPD considera infringidos los arts. 5.1.f) (Principio de integridad y confidencialidad y 32.1 (Medidas de seguridad) del Reglamento General de Protección de Datos (RGPD).

Antecedentes

La asesoría (reclamada), con sede en Barcelona y con más de treinta años de asesoramiento profesional para consultas fiscales, laborales y contables, recibió en junio de 2020, vía correo electrónico, una solicitud de un cliente (reclamante) para que le aportase documentación para realizar con éxito unos trámites ante Hacienda.

En cambio, fruto de lo anterior, la reclamada le envió al reclamante, mediante correo electrónico, un documento en el que aparecían datos personales de un tercero, en concreto, de otro cliente de la asesoría.

Tras tener conocimiento de tales circunstancias, la Subdirección General de Inspección de Datos requirió a la asesoría para que remitiese a la AEPD la siguiente información:

  • Copia de las comunicaciones, de la decisión adoptada que haya remitido al reclamante a propósito del traslado de esta reclamación, y acreditación de que el reclamante ha recibido la comunicación de esa decisión;
  • Informe sobre las causas que han motivado la incidencia que ha originado la reclamación;
  • Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares;
  • Cualquier otra que considere relevante.

Después de que la asesoría no diese respuesta alguna a tal requerimiento, la Directora de la AEPD, Mar España Martí, acordó admitir a trámite la reclamación presentada por el reclamante contra el reclamado.

Deber de confidencialidad

“Los hechos reclamados que han dado lugar al presente procedimiento se materializan en la divulgación de los datos personas al ser remitido al reclamante un correo electrónico con documento perteneciente a tercero en el que estaban contenidos con quebrantamiento de las medidas técnicas y organizativas vulnerando la confidencialidad de los datos”, anticipa la AEPD en el fundamento de derecho tercero de la reciente resolución.

En la misma línea, informa la Agencia que la documentación obrante en el expediente ofrece evidencias que el reclamado vulneró el art. 5 del RGPD, en relación con el art. 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), al remitir por e-mail un documento con contenido personal de un tercero.

El deber de confidencialidad previsto en el art. 5 de la LOPDGDD (con anterioridad deber de secreto), tiene como finalidad evitar que se realicen filtraciones de los datos no consentidas por los titulares de los mismos. En particular, advierte la AEPD, que el mencionado deber de confidencialidad es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.

Quiebra de seguridad

Ya en el fundamento de derecho octavo, la AEPD sostiene que de la documentación obrante en el expediente “se ofrecen indicios evidentes de que el reclamado ha vulnerado el art. 32 del RGPD, al producirse un incidente de seguridad en su sistema permitiendo el acceso a datos personales de un tercero, al ser remitido correo permitiendo el acceso al documento que los contenía con quebrantamiento de las medidas establecidas”.

Además, como ya hemos informado al inicio, la AEPD trasladó a la asesoría la reclamación presentada para que aportase información relacionada con la incidencia reclamada. En cambio, la Agencia no recibió respuesta alguna.

A juicio de la AEPD, la asesoría es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico. No obstante, según se desprende de la documentación aportada, la asesoría no solo ha incumplido la anterior obligación citada, sino que además se desconocen las medidas adoptadas al respecto.

Criterios de graduación

A efectos de fijar el importe de la sanción de las multas a imponer en el presente caso por las infracciones tipificadas en los arts. 83.4 a) y 83.5 a) del RGPD de las que se responsabilizan al reclamado, se estiman concurrentes los siguientes factores:

  • El alcance meramente local del tratamiento llevado a cabo por la asesoría;
  • Solo se ha visto afectada una persona por la conducta infractora;
  • El perjuicio operado a la reclamante debiendo acudir a esta instancia reclamando los hechos descritos;
  • No consta que la asesoría haya adoptado medidas para evitar que se produzcan incidencias similares;
  • No consta que la asesoría haya respondido al requerimiento informativo de la AEPD, lo que incide en la ausencia de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la misma;
  • No consta que la asesoría haya actuado dolosamente, aunque la actuación revela una grave falta de diligencia;
  • La vinculación del infractor con la realización de tratamientos de datos de carácter personal;
  • La entidad reclamada es una pequeña empresa.

Sanciones

Así las cosas, la Directora de la AEPD, de conformidad con los criterios de graduación establecidos, tanto adversos como favorables, impone a la asesoría una multa de 2.000 euros, por la infracción del art. 5.1 f) del RGPD y tipificada en el art. 83.5 a) del mismo cuerpo legal.

En la misma línea, impone a la citada entidad otra sanción económica de 1.000 euros, por la infracción del art. 32.1 del RGPD y tipificada en el art. 83.4 a) del mismo texto normativo.

Fuente: “economistjurist.es”