Contexto

 

Cada vez son más numerosas las entidades que reciben sanciones por parte de la AEPD, no solamente nos referimos a las grandes empresas sino también a las pequeñas empresas y autónomos. Son muchos los aspectos que se deben tener en cuenta para garantizar al usuario una adecuada protección y tratamiento de sus datos personales conforme a la normativa. 

La formación y la actualización de conocimientos resulta imprescindible para no cometer “fallos” e irregularidades cuando el responsable en el ámbito de sus actividades tiene que realizar un tratamiento de datos personales. 

En la página web de la AEPD en el apartado de resoluciones, todos los días se publican sentencias sancionadoras. Es importante conocerlas, ya que de ellas se pueden extraer conclusiones sobre las decisiones de las autoridades de control. 

Evitar sanciones de hasta 10.000 euros con un adecuado protocolo en protección de datos

 

Recientemente la AEPD ha sancionado con 10.000 euros a un despacho de abogados por no haber actuado diligentemente con los datos personales de un cliente. Este despacho envió una decena de mensajes sin copia oculta a sus clientes, entre los que se encontraba el reclamante. 

La ausencia de un adecuado protocolo en protección de datos del despacho supuso que incumpliera la normativa: 

 Infracción del artículo 5.1.f del RGPD; los datos deben ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales contra el tratamiento no autorizado o ilícito.  

En este caso, no se mantuvo la confidencialidad de los datos al ser enviado el correo electrónico sin copia oculta, mostrando el contenido del menase a terceros ajenos. La sanción impuesta por este hecho fue de 10.000 euros, aunque finalmente el despacho ha hecho uso de las dos reducciones posibles quedando la multa en 6.000 euros. 

 

2º Infracción del art. 32 del RGPD; el responsable debe implantar medidas necesarias para garantizar un nivel de seguridad adecuado y garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de sus sistemas.  

El despacho de abogados no tenía un adecuado protocolo que garantizase tanto la confidencialidad de sus sistemas como la capacidad de resolución ante la quiebra de seguridad ocurrida. La sanción impuesta en este caso fue de apercibimiento. En la resolución, se le insta al reclamado a que incorpore las medidas adecuadas con el objeto de cesar en la conducta reclamada. Para ello, está obligado a enviar a la AEPD los medios acreditativos de que ha incorporado las medidas organizativas y técnicas adecuadas para corregir los efectos de la conducta sancionada. 

Conclusión

 

Esta es una de las muchas resoluciones que la AEPD resuelve de forma diaria. Hay que tener en cuenta, que el perfil de los reclamantes ha ido cambiando. Las reclamaciones son presentadas por ciudadanos cada vez más concienciados en proteger sus derechos sobre sus datos personales. Ello implica, que las empresas han de estar actualizadas y formadas en protección de datos para aplicar los protocolos que garanticen un tratamiento seguro y responsable de los datos personales.