La Agencia Española de Protección de Datos (AEPD) ha sancionado a un abogado que arrojó a la basura documentación de su despacho que contenía datos personales. Entre los papeles se encontraban escrituras, poderes notariales, sentencias de órganos judiciales, fotocopias de DNI de clientes y testamentos.
La Agencia considera que el abogado es responsable de una infracción del artículo 32.1 del Reglamento General de Protección de Datos (RGPD), tipificada en su artículo 83.4.a). Sin embargo, limita la sanción a una simple amonestación.
El contenido de la resolución relacionado con la brecha de seguridad es el siguiente:
ANTECEDENTES
- Con fecha 18/06/2020, la Sección del SEPRONA de Las Palmas, interpuso escrito de reclamación ante la AEPD. El motivo es el hallazgo de varias bolsas de plástico repletas de documentación junto a un contenedor. Entre la documentación se encuentran poderes notariales, sentencias de órganos judiciales, testamentos y otros documentos con datos personales. La Guardia Civil ha intentado contactar con el reclamado pero no lo ha conseguido ya que no contesta a las llamadas.
- Con fecha 06/07/2020 se le trasladó al reclamado la reclamación requiriéndole que en el plazo de un mes remitiera a la AEPD lo siguiente:
- Copia de las comunicaciones, de la decisión adoptada que haya remitido al reclamante a propósito del traslado de esta reclamación, y acreditación de que el reclamante ha recibido la comunicación de esa decisión.
- Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.
- Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares.
- Cualquier otra que considere relevante.
- No consta respuesta del reclamado.
- En fecha 26/08/2020, la Directora de la AEPD acordó admitir a trámite la reclamación presentada.
- Con fecha 05/11/2020 se inicia procedimiento sancionador.
- De las actuaciones practicadas en el presente procedimiento, han quedado acreditados los siguientes:
HECHO PROBADOS
Primero: El 18/06/2020 se remitió a la AEPD por parte del SEPRONA de Las Palmas, una denuncia por infracción de la normativa de protección de datos. La denuncia se realiza con motivo del hallazgo de unas bolsas de plástico repletas de documentación perteneciente a un abogado. La Guardia Civil intenta contactar pero no lo ha conseguido.
Segundo: Se aporta informe fotográfico de la documentación localizada en la que figura los datos personales del reclamado.
FUNDAMENTOS DE DERECHO
Los hechos se concretan en la existencia de una brecha de seguridad en los sistemas del reclamado posibilitando la vulnerabilidad del mismo al permitir que documentación conteniendo datos de carácter personal, fueran localizados junto a unos contenedores de basura.
El RGPD define las violaciones de seguridad de los datos personales como: “todas aquellas violaciones de la seguridad que ocasionen la destrucción, perdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
La AEPD trasladó al reclamado el 06/07/2020 el escrito de reclamación solicitando la aportación de información relacionada con la incidencia reclamada, sin que se haya recibido en este organismo respuesta alguna.
De conformidad con las evidencias de las que se dispone, dicha conducta constituye, por parte del reclamado la infracción a lo dispuesto en el artículo 32.1 del RGPD.
Esta infracción de acuerdo con el artículo 58.2.b) del RGPD puede ser sancionada con apercibimiento al considerar que la multa administrativa que pudiera recaer con arreglo a los dispuesto en el artículo 83.4.a) del RGPD constituiría una carga desproporcionada para el reclamado, amén de que no consta la comisión de ninguna infracción anterior en materia de protección de datos.
La directora de la AEPD RESUELVE:
Primero: Imponer al reclamado una sanción de apercibimiento.
Segundo: Requerir al reclamado para que en el plazo de un mes desde la notificación de la resolución acredite ante la AEPD la adopción de las medidas necesarias y pertinente para corregir los tratamientos de datos personales y evitar que vuelvan a producirse una nueva brecha de seguridad.
Le recordamos, como ya indicamos en publicaciones anteriores, la necesidad de destruir la documentación antes de deshacernos de ella por cualquier medio, así como el tamaño final de los residuos generados.
Si tiene alguna dude póngase en contacto con nosotros por cualquiera de los medio disponibles.