Errare humanum est a la vista de la normativa de protección de datos

En los últimos días, la Agencia Española de Protección de Datos («AEPD»), ha publicado dos resoluciones (procedimientos sancionadores números PS/00376/2020 y PS/00483/2020) en las que se sancionan a dos asesorías por haber remitido –por error- documentación que contenía datos de carácter personal sobre personas que relación alguna guardaban con las que los interesados habían solicitado información.

En la primera resolución, la AEPD considera como hecho probado que el vicepresidente de una comunidad de propietarios solicitó un certificado de deuda de un copropietario, y la asesoría encargada de la llevanza de estos trámites, en lugar de remitir la documentación de la persona solicitada, facilitó «un certificado perteneciente a un tercero, vulnerando el deber de confidencialidad».

En idénticos términos, la segunda resolución versa sobre una persona física que solicitó determinada documentación para realizar trámites ante la AEAT a su gestoría, y ésta «mediante correo electrónico, le remitió un documento en el que aparecen datos personales de otro cliente».

En ambos casos, la AEAP considera infringidos dos preceptos de la normativa de protección de datos de carácter personal:

El 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («RGPD»), al reputar que se ha producido una quiebra de seguridad en los respectivos sistemas de las asesorías reclamadas, «permitiendo el acceso a datos personales de un tercero»,

Y el art. 1 f) del RGPD, que rige los principios de integridad y confidencialidad de los datos personales, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento.

Por la vulneración del art. 32 RGPD, en uno de los casos, se impone como sanción a la asesoría reclamada un apercibimiento (requiriéndole a fin de que adopte las medidas necesarias para que cese la conducta objeto de reclamación que ha causado la brecha de seguridad denunciada), y en el otro, una sanción pecuniaria por importe de 1.000 € (en atención a que la asesoría reclamada no respondió al requerimiento informativo de la AEPD, «lo que incide en la ausencia de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la misma») y por la infracción del art. 5.1.f) RGPD, en ambos supuestos, se impuso una sanción económica de 2.000 €.

Por lo tanto, si se incurre en un supuesto similar o análogo a los relatados, -lo cual puede suceder, porque errare humanum est-, a fin de minimizar las consecuencias aparejadas, el Considerando 85 del RGPD establece que:

«(…) Tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas».

Desde PALACÍN, HERNÁNDEZ & CRESPO Abogados quedamos a su disposición para resolverle cualquier duda o aclaración.