Son reiteradas las resoluciones en la que nuestra autoridad de control nos indica con respecto al DNI, que su identificador numérico junto con el carácter de verificación correspondiente al número de identificación fiscal identifica a una persona física de modo indubitado. Esta cualidad lo convierte en un dato particularmente sensible, y este carácter se agrava cuando nos referimos a una copia escaneada del DNI, pues un tercero que tenga acceso al mismo puede suplantar la identidad de su titular con total facilidad, y perpetrar conductas que supongan un alto riesgo para la privacidad, el honor y el patrimonio del suplantado.
En este contexto, la Agencia Española de Protección de Datos (AEPD) ha vuelto a sancionar a una entidad EXP202301080, con una multa de 150.000 euros, reducida a 120.000 euros tras el pago voluntario, como consecuencia de una brecha de seguridad sufrida por una entidad que afectó a datos de más de 550.000 personas (nombre, apellidos, nº DNI, email y nº de teléfono), los cuales habían sido obtenidos vía Lista Robinson.
La entidad reclamada, es una empresa dedicada a la prestación de soluciones digitales y servicios de marketing online para autónomos y pequeñas empresas. Como parte de sus operaciones, está la del tratamiento de grandes volúmenes de datos personales, incluyendo información identificativa como nombres, direcciones de correo electrónico y datos especialmente sensibles como son los números de Documento Nacional de Identidad (DNI). Datos a los que tuvo acceso al habérselos comunicado ADIGITAL, cuando dio curso a la solicitud de la parte reclamante efectuada en 2018, a través del servicio de Lista Robinson de revocación del consentimiento para recibir llamadas comerciales de esta entidad, entonces denominada PÁGINAS AMARILLAS.
El procedimiento sancionador se originó a raíz de una reclamación presentada por un ciudadano que descubrió que dicha entidad estaba tratando sus datos personales, incluyendo su DNI, sin haber sido cliente de la empresa ni haber otorgado su consentimiento explícito. La compañía argumentó que había obtenido los datos del reclamante a través de la Lista Robinson, un sistema de exclusión publicitaria gestionado por la Asociación Española de Economía Digital (ADIGITAL).
PRECEPTOS VULNERADOS
1.- Violación del principio de confidencialidad (artículo 5.1.f RGPD): La empresa no implementó medidas adecuadas de protección, lo que permitió accesos no autorizados:
Aunque son muchas las medidas de seguridad que la entidad tiene implantadas, todas ellas pertinentes y necesarias para evitar el acceso a sus sistemas, no puede olvidarse que como responsable del tratamiento está obligada, específicamente, a garantizar la confidencialidad de los datos de cuyo tratamiento es responsable por lo que, esta falta de medidas técnicas y organizativas concretada en la ausencia de seudonimización o cifrado de datos y el acceso acreditado de un tercero a los datos de la parte reclamante y de otras (…) personas físicas de los que la entidad era responsable lleva a considerar plenamente acreditada la infracción del artículo 5.1.f).
2.-Incumplimiento de la obligación de notificación de brechas de seguridad (artículo 33 RGPD): La entidad reclamada notificó la brecha de seguridad fuera del plazo legal de 72 horas.
3.-Falta de comunicación a los afectados (artículo 34 RGPD): La empresa tardó semanas en informar a los usuarios cuyos datos fueron comprometidos, generando un alto riesgo para sus derechos y libertades.
Sobre estos dos últimos preceptos se acordó su archivo, al calificarse como leves y estar ambas prescritas en la fecha en la que se dictó el acuerdo de inicio del presente procedimiento.
FUNDAMENTACIÓN DE LA SANCIÓN
La AEPD basó su sanción en la falta de medidas de seguridad adecuadas para proteger los datos personales, especialmente en lo relativo al tratamiento del DNI y otros datos identificativos.
A la hora de imponer la sanción, además, debe tomarse en consideración el alcance de la operación de tratamiento, puesto que además de tratar datos personales de más de 550.000 personas físicas, los datos afectados por la brecha de confidencialidad son, con independencia del dato del NIF, numerosos: nombre, apellidos, teléfonos (fijo y/o móvil) y correo electrónico.
En ese sentido cabe recordar que las Directrices 4/2022 del Comité Europeo de Protección de Datos sobre el cálculo de multas indican que “En general, cuantos más datos de estas categorías se traten más grave es la infracción” y que “la cantidad de datos relativos a cada interesado es relevante, teniendo en cuenta que la intrusión del derecho a la privacidad y la proteccion de los datos personales aumenta con la cantidad de datos relativos a cada interesado.”
En su fundamentación, la Agencia señala que:
«Las actuaciones practicadas ponen de manifiesto que la entidad reclamada no había adoptado las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, en particular el cifrado y la seudonimización del DNI»
Además, la Agencia destaca que el incumplimiento del artículo 5.1.f) del RGPD, relativo al principio de integridad y confidencialidad, implica una falta de diligencia en la protección de los datos personales de los afectados por parte del responsable del tratamiento que no ha adoptado las medidas técnicas y organizativas de todo tipo cuya falta ocasionó como resultado el acceso ilícito o no autorizado a los datos personales.
ENTRE LAS IRREGULARIDADES DETECTADAS, LA AEPD DESTACÓ:
- Falta de cifrado y seudonimización del DNI y otros datos personales: «El tratamiento de datos personales, incluyendo el número de DNI, no contaba con mecanismos de cifrado que garantizaran su seguridad».
- Deficiencias en los protocolos de detección y respuesta ante incidentes: «El análisis de riesgos presentado por la empresa no contemplaba medidas específicas para la protección del DNI y otros datos identificativos»
- Deficiente gestión de accesos: «Se constató que los datos personales, incluidos el DNI y otros identificadores, estaban accesibles sin los debidos controles de acceso«.
Además, la resolución obliga a la entidad reclamada a:
- Implementar medidas de seguridad efectivas en un plazo de tres meses.
- Acreditar ante la AEPD las acciones correctivas adoptadas.
- Reforzar su política de protección de datos para evitar futuras infracciones.
RECOMENDACIONES PARA CUMPLIR CON EL RGPD
Este caso pone en evidencia la necesidad de que las empresas refuercen sus medidas de seguridad para evitar sanciones. Algunas recomendaciones clave incluyen:
- Evaluar los riesgos asociados al tratamiento de datos personales y aplicar medidas de protección adecuadas.
- Implementar el cifrado y la seudonimización para minimizar el impacto de posibles brechas de seguridad.
- Establecer protocolos de respuesta rápida ante incidentes, asegurando la notificación en tiempo y forma a la AEPD y a los afectados.
- Realizar auditorías periódicas para garantizar el cumplimiento normativo y mejorar la seguridad de los sistemas.
- Reforzar la seguridad del tratamiento del DNI, dado que su uso indebido puede derivar en riesgos graves como el robo de identidad.
CONCLUSIÓN
La protección de datos personales es un elemento clave en la seguridad y confianza digital, y su incumplimiento puede derivar en sanciones severas y una pérdida significativa de reputación. Las organizaciones deben adoptar un enfoque proactivo para garantizar la seguridad y el cumplimiento normativo, evitando riesgos legales y fortaleciendo la confianza de los usuarios en la gestión de su información personal.
