Sanción por error en el envío de documentación por email

Sancion por error en el envío de documentación por email

La Agencia Española de Protección de Datos (AEPD), ha impuesto una sanción por error en el envío de documentación por mail por un importe de 3.000€ en el que remitía documentación de carácter personal de un tercero.

HECHOS

Todo ocurrió cuando una clienta de la asesoría se puso en contacto con ésta, solicitándole documentación necesaria para unos trámites ante Hacienda. La asesoría,  mediante correo electrónico le remitió un documento en el que aparecían datos personales de otro cliente que nada tenía que ver con la solicitante.

Tras esta reclamación, la agencia se puso en contacto con la asesoría para requerirle información, si bien la entidad nunca contestó a los requerimientos de la Agencia.

Así, de los hechos mencionados, se puede entender que se ha realizado una divulgación de datos personales al ser remitido al reclamante un correo electrónico con documento perteneciente a tercero, produciéndose de esta manera un quebrantamiento de las medidas técnicas y organizativas  y vulnerando la confidencialidad de los datos.

FUNDAMENTOS DE DERECHO

De los hechos, se desprende que la asesoría vulneró el artículo 5 del RGPD, principios relativos al tratamiento, en relación con el artículo 5 de la LOPGDD, deber de confidencialidad, al ser remitido por e-mail documento conteniendo datos personales de un tercero.

Este deber de confidencialidad, con anterioridad deber de secreto, debe entenderse que tiene como finalidad evitar que se realicen filtraciones de los datos no consentidas por los titulares de los mismos.
Por tanto, ese deber de confidencialidad es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.

Además de esto, existe una vulneración de las medidas de seguridad, por cuanto, el artículo 32 del RGPD “Seguridad del tratamiento”, establece que:

  1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
    a) la seudonimización y el cifrado de datos personales;
    b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
    d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
  3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
  4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros”.

De hecho, el RGPD define las violaciones de seguridad de los datos personales como “todas aquellas violaciones de la seguridad que ocasionen la destrucción, perdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

RESOLUCIÓN

De cara a establecer la sanción a imponer, por hechos tipificados en el artículo 83.5.a) y en el artículo 83.4.a) del RGPD, se han tenido en cuenta determinados factores:

  • El alcance meramente local del tratamiento llevado a cabo por la entidad reclamada.
  • Solo se ha visto afectada una persona por la conducta infractora.
  • El perjuicio operado a la reclamante debiendo acudir a esta instancia reclamando los citados hechos.
  • No consta que por parte de la asesoría se hayan adoptado medidas para evitar que se produzcan incidencias similares; tampoco ha respondido al requerimiento informativo de la Agencia lo que incide en la ausencia de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la misma.
  • No se tiene constancia de que la entidad hubiera obrado dolosamente, aunque la actuación revela una grave falta de diligencia.
  • La vinculación del infractor con la realización de tratamientos de datos de carácter personal.
  • La entidad reclamada es una pequeña empresa

Por todo ello, se acuerda una sanción por error en el envío de documentación por email de 2.000 euros por vulneración del artículo 5.1.f) del RGPD y de 1.000 euros por vulnerar el artículo 32.1 del RGPD. Sancion

Compartir:

Te podría interesar:

Contacto rápido
Archivos
Scroll al inicio