✔ Últimamente estamos siendo testigos de numerosos procedimientos sancionadores en los que la Agencia Española de Protección de Datos (AEPD) está sancionando a las empresas por falta de diligencia en el tratamiento de datos de carácter personal o, para que lo entendamos, “errores humanos” a la hora de enviar documentación, provocando que terceros distintos a los de su titular accedan a dicha información personal.
En el post de hoy explicaremos (i) qué principios y obligaciones del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) pueden quedar infringidos a la hora de enviar o ceder erróneamente documentación personal, y (ii) analizaremos dos ejemplos de casos reales.
¿Qué principios y obligaciones del RGPD puedo infringir si envío o cedo erróneamente documentación personal?
El envío o cesión de datos errónea de documentación, suele producirse en la práctica mayoritariamente por los siguientes “errores humanos”:
-
- Se adjunta erróneamente documentación de otro cliente o se envía la documentación al correo electrónico de otro cliente.
- Se envía un correo electrónico informativo con copia abierta a todos los clientes (se estarían cediendo de forma ilegítimas los correos electrónicos al resto de destinatarios).
- Se confunden los nombres y apellidos u otros datos de un cliente con otro cuando se están cediendo sus datos personales.
Este tipo de acciones podrían implicar la infracción de los siguientes principios:
▸ Artículo 5.1f) RGPD. Integridad y confidencialidad:
Los datos deberán ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.
▸ Artículo 5. 1.d) RGPD. Exactitud:
Los datos deberán ser “exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan”
Y, a su vez, el quebrantamiento de la obligación de adoptar medidas de seguridad técnicas y organizativas apropiadas:
▸ Artículo 32 RGPD. Seguridad en el tratamiento:
“1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.”
Supuestos reales
Supuesto 1
La AEPD impone sanción de 3.000 euros a una asesoría por enviarle un email a un cliente con documentación de carácter personal de otro tercero
La asesoría – dedicada al asesoramiento profesional para consultas fiscales, laborales y contables – recibió vía correo electrónico, una solicitud de un cliente para que le aportase documentación para realizar con éxito unos trámites ante Hacienda. En contestación, la asesoría le envío por error un documento en el que aparecían datos personales de otro cliente.
La AEPD entiende infringidos el principio de integridad y confidencialidad (artículo 5.1ºf) RGPD) y la obligación de adoptar medidas de seguridad apropiadas (artículo 32.1º RGPD).
Supuesto 2
La AEPD impone sanción de 25.000 euros a una empresa de alquiler de coches por ceder datos de un cliente erróneo a la DGT por una multa de tráfico.
La empresa de alquiler de coche realizó una cesión legítima de datos a la DGT ante multa, pero se equivocó de cliente por tener los mismos nombres y apellidos.
Al respecto, la Audiencia Nacional – que confirma el procedimiento sancionador de la AEPD – establece que: “Conociéndose que pueden existir nombre y apellidos distintos, la reclamada cuenta con elementos para discriminar por DNI, número que coincide con el del permiso de conducir, número de cliente o impresión de la copia del contrato, entre otros, si bien estas comprobaciones las realizan los empleados, cabe indicar que en este caso no se llevaron a efecto, si se hubiera verificado alguno de los tres elementos, se podría haber detectado el defecto en su origen. Es decir, hay que exigir el documento identificativo en el momento adecuado para dotar de eficacia a la medida”.
La AEPD y la AN entienden infringidos en principio de exactitud (artículo 5.1ºd) RGPD).
⚖️ Estimado lector, si tiene alguna duda relacionada con la «protección de datos», no dude en ponerse en contacto con nosotros utilizando nuestro formulario corporativo.
