En otros artículos, hemos tenido oportunidad de mencionar que la actividad de las autoridades de control de nuestro país es frenética. No tienes más que ver la cantidad de resoluciones de la AEPD que ya llevamos en este comienzo de año. En Gesprodat, te hablamos de ellas como un método didáctico más.
Continúan las resoluciones de la AEPD
Si te tomas la molestia de analizar las razones tras ciertas sanciones en protección de datos, comprenderás la dimensión pragmática del plan de inspección de oficio de la AEPD. Esto te ayudará a corregir tus propios planes de protección de datos, así como evaluar el impacto de las leyes al respecto en tu empresa.
Así, desde nuestra perspectiva, como consultoría de protección de datos, te mostramos tres casos de tratamiento de datos erróneo.
Contra el Servicio Canario de Salud
El pasado 13 de febrero se resolvió el recurso de reposición del Servicio Canario de Salud contra la directora de la AEPD. El procedimiento se inició por un particular que denunció a esta administración por no atender debidamente su derecho de acceso al historial clínico detallado de su padre fallecido en dos ocasiones. Ante esta resolución denegatoria, solo cabe ya la vía jurisdiccional contencioso-administrativa.
En este caso, un delegado o una asesoría de protección de datos habría ayudado a no incumplir a esta administración ni vulnerar derechos fundamentales.
Contra Caixabank
A principios de febrero, la AEPD sancionó a Caixabank con 5 000 000 de euros. La razón fue una brecha de seguridad mediante la cual algunas personas pudieron ver las transferencias realizadas por otros clientes con los que no guardaban ninguna relación. Entre la información publicada figura el número del DNI, el domicilio y el número de cuenta.
El regulador de privacidad alegó, además, que esta entidad no actuó correctamente una vez conocidos los hechos. De hecho, no solo no corrigió dicho problema, sino que no disponía de las medidas de seguridad acordes al riesgo en la vulneración de los derechos y libertades de los clientes. También le acusó de corregir esos defectos de manera reactiva y no proactiva, con el fin de proteger a la organización, pero no a la clientela.
Finalmente, este organismo determinó que cometió una falta muy grave al incumplir el artículo 6 del RGPD y una sucesión de faltas leves tipificadas en el mismo texto legal.
Contra Romestone SL
Esta agencia inmobiliaria, que se dedica a alquilar habitaciones en apartamentos compartidos, ha recibido una sanción de 6000 euros por parte de la AEPD. Lo que motivó la multa fue la instalación de cámaras de videovigilancia en las zonas comunes de los apartamentos sin que los inquilinos tuviesen conocimiento de eso. De esta forma, ha incumplido el artículo 6.1 del RGPD y vulnerado la intimidad de todos los habitantes de la casa.
A pesar de las alegaciones de la empresa, la agencia se retrotrajo a sentencias del Tribunal Constitucional y del Tribunal Supremo. Determinó que había llevado a cabo un tratamiento de datos desproporcionado.
Como ves, las resoluciones de la AEPD nos ayudan, como mínimo, a replantearnos algunas de las decisiones que tomamos en nuestros entornos de trabajo. De este modo, equilibrarás las necesidades de control que tengas respetando los derechos fundamentales que debes guardar, en especial, la intimidad y el honor.