600 - Ejemplos prácticos de una evaluación de riesgos y vulneración de la seguridad en materia de protección de datos en un despacho de abogados o procuradores

1. Un abogado que abandona unas bolsas de plástico junto a un contenedor. En esas bolsas se contenían diferentes expedientes y archivos con datos personales de varios clientes

La AEPD, en el Procedimiento PS/00354/2020, hizo las siguientes apreciaciones:

«Los hechos puestos de manifiesto en la presente reclamación se concretan en la existencia de un incidente de seguridad en los sistemas del reclamado posibilitando la vulnerabilidad del mismo al permitir que documentación conteniendo datos de carácter personal, fueran localizados junto a unos contenedores de basura urbanos ubicados en barriada perteneciente a ***LOCALIDAD.1 (Gran Canaria) en bolsas de plástico, de distintos clientes del reclamado, permitiendo el acceso a los datos contenidos en los mismos.

(...) De la documentación obrante en el expediente se ofrecen indicios evidentes de que el reclamado ha vulnerado el artículo 32.1 del RGPD, al producirse una brecha de seguridad en sus sistemas permitiendo el acceso a los documentos contenidos en bolsas depositadas junto a unos contenedores de basura urbanos ubicados en ***LOCALIDAD.1; documentos conteniendo datos de carácter personal de clientes del reclamado. 

(...)

La responsabilidad del reclamado viene determinada por el incidente/quiebra de seguridad puesta de manifiesto por la sección del SEPRONA de la GC de Las Palmas, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico. Sin embargo, de la documentación aportada se desprende que el reclamado no solo ha incumplido esta obligación, sino que además se desconoce la adopción de medidas al respecto, a pesar de haberle dado traslado de la reclamación presentada.

De conformidad con lo que antecede, se estima que el reclamado sería presuntamente responsable de la infracción del RGPD: la vulneración del artículo 32.1, infracción tipificada en su artículo 83.4.a)».

CUESTIONES

1. En casos como el anterior, ¿cómo puede sancionar la AEPD?

Como indica la propia AEPD, el incumplimiento de la adopción de medidas de seguridad conforma una infracción grave [art. 73 f) de la LOPDGDD], con plazo de prescripción de dos años y posible sanción de hasta 10.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía [art. 83.4 a) del RGPD].

No obstante, en el Procedimiento PS/00354/2020, la AEPD optó por sancionar al abogado con una sanción de apercibimiento, en aras de las potestades que le otorga el artículo 58, apartado 2, letra b) del RGPD. Su justificación para ello, además del amparo legal del RGPD, fue que:

- La sanción bajo multa administrativa que pudiera recaer con arreglo a los dispuesto en el artículo 83.4.a) del RGPD constituiría una carga desproporcionada para el reclamado.

- El sancionado no ha cometido infracción anterior en materia de protección de datos.

2. La sanción de apercibimiento ¿qué puede significar?

La AEPD o autoridad de control, mediante este tipo de método sancionador, puede requerir al responsable a que adopte medidas técnicas adecuadas en sus sistemas para asegurar la confidencialidad de la información para que, en el futuro, no pueda incurrir de nuevo en ese tipo de incidencias, debiendo acreditar mediante prueba el cumplimiento de lo requerido. 

2. La reutilización de papel con datos personales para uso de funciones como abogado 

«El Procedimiento PS/00390/2019 resuelve sobre la reclamación son la reutilización de papel con datos personales, en concreto por utilizar la reclamada, en dos ocasiones, para convocar a los inquilinos de un inmueble, un folio en cuyo reverso aparecen datos de terceros referidos a procedimientos en los que la reclamada ha trabajado como abogada, de manera que el uso de dichos documentos al contener datos de terceros por su reverso, hace accesibles dichos datos a terceros, sin el consentimiento de los titulares de dichos datos personales. 

(...)

Se considera que los hechos conocidos —reutilización de documentos en cuyo reverso aparecen datos de terceros referidos a procedimientos en los que la reclamada ha trabajado como abogada, permitiendo de este modo el acceso a datos de terceros, sin el consentimiento de estos— son constitutivos de una infracción, imputable a la reclamada, por vulneración del art. 32 del RGPD, transcrito en el punto II que señala que "el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado"».

CUESTIÓN

¿Cómo resuelve la AEPD este procedimiento sancionador PS/00390/2019?

Como indica el artículo 83, apartado 4, del RGPD, la infracción de las obligaciones como las contenidas en el artículo 32 del RGPD se tipifica como grave, con plazo de prescripción a los daños (art. 73 de la LOPDGDD), sancionándose con multa administrativa de hasta 10.000.000 euros como máximo, o tratándose de una empresa, de una cuantía equivalente, al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. 

La AEPD resolvió imponiendo la siguiente multa y teniendo en cuenta las condicionantes recogidas en el artículo 83, apartado 2, del RGPD, en concreto, concluye:

«(...) se considera que procede graduar la sanción a imponer de acuerdo con los siguientes criterios que establece el artículo 83.2 del RGPD: 

Como agravantes los siguientes:

- En el presente caso estamos ante acción negligente no intencional, pero sobre datos significativos que permiten la identificación de una persona (artículo 83.2 b)

- Se encuentran afectados identificadores personales básicos (artículo 83.2 g)

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, (...) RESUELVE: PRIMERO: IMPONER a B.B.B., con NIF ***NIF.1, por una infracción del artículo 32 del RGPD, tipificada en el artículo 83.4 del RGPD, una multa de 2.000 € (dos mil euros)».