¿Sabes que el Reglamento 2016/679 que afecta a la protección y el trato de datos personales no es orientativo y debe ser cumplido sin excusa? Prueba de esto son las sanciones de la AEPD que recientemente estamos conociendo. Una de las más llamativas, la condena a una asesoría al pago de 3000 euros por incluir, en un e-mail para un cliente, los datos de un tercero. Conocidos estos hechos, asesorías y gestorías deben trabajar con cautela y legalidad para no faltar a ninguno de los artículos del Reglamento ni de la Ley Orgánica 3/2018 para la protección de datos personales en España.
Sanción de 3000 euros por incluir información de terceros en un e-mail
Esta es la cifra con la que ha sido multada una asesoría barcelonesa. ¿El motivo? Un cliente les reclamó una documentación y la empresa adjuntó un acceso que, entre otros archivos, contenía información privada de un tercer cliente. ¿Un simple error sin importancia? En absoluto. Tus datos son demasiado sensibles como para verse vulnerados por un descuido.
Al conocer los hechos, la Agencia Española de Protección de Datos, vigilante ante la vulneración de datos en Internet, envió al infractor una notificación donde le requerían, entre otras informaciones, la causa de esta grieta de seguridad en los datos, y las medidas que había adoptado para subsanar el error y que no se repitiese. La entidad reclamada nunca respondió y, por consiguiente, las sanciones de la AEPD no se hicieron esperar.
La protección de datos es un tema sensible, y su vulneración puede ponerte en grave riesgo a ti o a tu empresa.
Base jurídica de la sanción y su cuantía
La AEPD considera que la empresa infractora ha faltado a varios artículos, tanto de la LOPD como del Reglamento Europeo 2016/679 que regula el tratamiento de nuestros datos sensibles. La lista de infracciones es la siguiente:
- El deber de confidencialidad que debe cumplir la empresa que maneje datos personales de terceros, recogido en el artículo 5 de la LOPD. La misión del artículo es evitar la filtración de datos que, aunque en este caso parece deberse a un error de planificación, ha puesto en compromiso información de un tercero. Esta infracción conlleva una sanción de 2000 euros, tal y como se recoge en el artículo 83.5 del RGPD.
- La ausencia de confirmación expresa del tercero en cuestión para que se permita el acceso a sus datos. Esta obligación está recogida en el artículo 32 del Reglamento General de Protección de Datos. En ningún momento el tercero afectado consiente de forma expresa ni el acceso ni la facilitación a terceros de sus datos privados. Por este motivo, se le impone una sanción de 1000 euros, aunque podría alcanzar los 10 millones de euros según recoge el artículo 83.4 de este mismo reglamento.
¿Por qué las sanciones se limitan a esa cantidad? Es cierto que el RGPD establece sanciones máximas millonarias; sin embargo, la AEPD ha cuantificado en 2000 y 1000 euros, respectivamente, las multas por los siguientes criterios: solo hay una persona afectada, el alcance geográfico del error es local, la empresa reclamada es una PYME y no consta que esta actuase con dolo, aunque la infracción es considerada grave. El hecho agravante, por contra, es que no existe constancia de que la asesoría haya tomado medidas para que no se repita este accidente.
A la vista de los hechos, para evitar las sanciones de la APED y cumplir con la ley, es necesario un plan de acción minucioso para que no se filtren datos de terceros, aunque sea por un error involuntario. Un asesoramiento experto, o una auditoría externa de los sistemas de información de tu empresa, puede ser de gran ayuda para revelar grietas en tu sistema.
