La Agencia Española de Protección de Datos (AEPD) ha publicado en su sede electrónica (https://www.aepd.es/es/informes-y-resoluciones/resoluciones) una nueva sanción. En este caso, se trata de una sanción de 2.000 € a una asesoría legal por compartir documentos e informes con un cliente erróneo. Se trata de una infracción del artículo 5.1-F del Reglamento General de Protección de Datos (RGPD) relativo al Principio de Integridad y Confidencialidad. La resolución a completo la puede leer en el siguiente enlace: https://www.aepd.es/es/documento/ps-00376-2020.pdf

Los motivos en que se basa dicha reclamación son que, el reclamante manifiesta que al solicitar copia de un certificado emitido de reclamación de deuda de un copropietario deudor, en lugar de enviarle el correcto, le remitieron copia de un certificado perteneciente a un tercero, vulnerando el deber de confidencialidad de la asesoría jurídica que lo envió.

El Reglamento General de Protección de Datos (RGPD) define las violaciones de seguridad de los datos personales como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, perdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”

De la documentación obrante en el expediente de la Agencia Española de Protección de Datos (AEPD) se ofrecen indicios evidentes de que el reclamado (asesoría jurídica)  ha vulnerado el artículo 32 del RGPD, al producirse una brecha de seguridad en sus sistemas al remitirse copia de la reclamación de cantidad de un tercero, al reclamante, al que informa de la deuda contraída por el tercero.

Hay que señalar que el RGPD en el citado precepto no establece un listado delas medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto de tratamiento, sino que establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.

Asimismo, las medidas de seguridad deben resultar adecuadas y proporcionadas al riesgo detectado, señalando que la determinación de las medidas técnicas y organizativas deberá realizarse teniendo en cuenta: la seudonimización y el cifrado, la capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, la capacidad para restaurar la disponibilidad y acceso a datos tras un incidente, proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas.

La Agencia Española de Protección de Datos ha tenido en cuenta como agravantes:

1.- Acción negligente grave (artículo 83.2 b #RGPD).
2.- Se encuentran afectados identificadores personales básicos (nombre, apellidos, domicilio), según el artículo 83.2 g #RGPD

Gonzalo Oliver Martín
OZONIA Consultores SL