¿Cuál es la responsabilidad de las asesorías/empresas en la protección de derechos personales?

15/06/2021

A continuación vamos a analizar un supuesto de hecho en que una asesoría es sancionada con 3.000 euros por equivocarse al enviar documentación vía email (PS 483/2020 AEPD)

La clienta de una asesoría profesional de consultas fiscales, laborales y contables solicitó documentación necesaria para realizar unos trámites ante la Agencia Tributaria. La asesoría remitió mediante correo electrónico un documento en el que aparecían los datos personales de un tercero, otro cliente de la misma asesoría. Ante tales hechos la clienta interpuso reclamación ante la Agencia Española de Protección de Datos (AEPD) por vulneración de protección de datos personales.

Una vez recibida la reclamación la AEPD requirió a la asesoría para que aportase la documentación e información sobre dicha incidencia a los efectos de poder realizar la pertinente investigación, solicitando copia de las comunicaciones entre la asesoría y el cliente, un informe sobre las medidas adoptadas para proteger los datos personales y evitar incidencias de este tipo, así como cualquier otra documentación pertinente. Sin embargo, la asesoría no atendió a los requerimientos de la AEPD. La directora de la AEPD acordó la admisión a trámite de la reclamación y se inició el correspondiente procedimiento sancionador contra la asesoría, que no presentó escrito de alegaciones.

Según el artículo 58.2 del Reglamento General de Protección de Datos así como los artículos 47 y 48 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), la competencia para iniciar y resolver los procedimientos sancionadores de esta naturaleza pertenece a la AEPD (concretamente, a la Directora de la Agencia Española) según los poderes reconocidos en ambos textos normativos. También se rigen por la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en lo relativo a los procedimientos de naturaleza sancionadora.

Al no formular alegaciones en el procedimiento la parte reclamada los hechos probados son los que presentó la denunciante: que al solicitar documentación necesaria para realizar trámites ante Hacienda, recibió por parte de la asesoría un documento en el que constaban los datos personales de otro cliente de la asesoría, infringiendo de esta manera la seguridad de los datos personales que tenía obligación de proteger.

¿Cuáles son las infracciones cometidas?

Se vulnera uno de los principios fundamentales relativos al tratamiento de datos, esto es, el principio de integridad y confidencialidad recogido en el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD). La propia resolución de la AEPD establece que el deber de confidencialidad tiene como finalidad “evitar que se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Por tanto, ese deber de confidencialidad es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.”

Asimismo, sostiene la AEPD que existe una vulneración del artículo 32.1 del RGPD, esencial en materia de protección de datos, ya que regula las medidas de seguridad del tratamiento de datos y en este incidente se quebró la seguridad en el sistema de la asesoría que permitió el acceso a datos personales de un tercero sin el consentimiento de dicha persona. La AEPD señala que el RGDP no concreta sobre las medidas de seguridad específicas que deben aplicarse para cumplir con la protección adecuada de datos objeto de tratamiento, sino que indica que “que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.” Estas medidas pueden incluir seudonimización y el cifrado de datos, sistemas de garantía de recuperación tras incidencias técnicas, entre otras.

¿Cómo se sancionan estas infracciones?

El propio RGPD regula las sanciones que caben tras presentar una reclamación ante la autoridad de control respectiva (en este caso, la AEPD), y en su artículo 83 recoge las condiciones generales para la imposición de multas administrativas que deben tenerse en cuenta.

La RGPD establece un sistema dual para fijar la cuantía de las sanciones protección de datos, que puede llegar a los 20 millones de euros o establecerse en función de un porcentaje determinado del volumen de negocio del ejercicio financiero anterior de la empresa sancionada, aunque siempre se impondrá la multa más gravosa.

La AEPD en este caso, a efectos de fijar el importe de la sanción correspondiente por las infracciones cometidas, tiene en cuenta las circunstancias concretas a este caso, incluyendo, “que solo se ha visto afectada una persona por la conducta infractora; el perjuicio operado a la reclamante debiendo acudir a esta instancia reclamando los hechos descritos; no consta que la asesoría haya adoptado medidas para evitar que se produzcan incidencias similares; no consta que la asesoría haya respondido al requerimiento informativo de la AEPD, lo que incide en la ausencia de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la misma; no consta que la asesoría haya actuado dolosamente, aunque la actuación revela una grave falta de diligencia…”

Por lo tanto la AEPD resuelve según los criterios de graduación del RGPD, imponiendo a la asesoría vulneradora una multa de 2.000€ por la infracción del artículo 5.1.f) del RGPD y 1.000€ por la vulneración del artículo 32.1 del RGPD.

Conclusión

Esta resolución de la Agencia Española de Protección de Datos pone de manifiesto la responsabilidad que tienen las empresas en cuanto al tratamiento responsable de los datos personales de sus clientes y la importancia de cumplir con la normativa de protección de datos. Se demuestra la eficacia del procedimiento sancionador en estos casos de infracción del derecho de protección de datos en resoluciones como la presente, mediante el cual vemos los efectos que tiene el incumplimiento de dicha normativa a causa de una falta de diligencia como puede ser enviar por error un documento con datos personales a un tercero.

Las reclamaciones en torno a las vulneraciones de protección de datos personales son cada vez más frecuentes e importantes en el mundo jurídico, y con ello se destaca la responsabilidad que tienen las empresas en este ámbito, ya que en menor o mayor medida todas manejan datos de personas y deben liderar la salvaguarda del derecho de protección de datos.

Fuente: ECONOMIST&JURIST.
¡Resuelve Ya Tus Problemas Legales!
¡Llama ahora GRATIS!
900 374 000900 374 000
¿Prefieres que te llamemos? pulsa aquí