A pesar de que en la actualidad las empresas están mucho mas digitalizadas que años atrás, todavía sigue habiendo mucha documentación en papel, documentación que en numerosas ocasiones contiene datos de carácter personal, de clientes, de empleados y un largo etcétera.
Las entidades han de cumplir con la normativa de protección de datos de carácter personal (RGPD y LOPDGDD) en todo el ciclo de vida de los datos:
- Captura de datos.
- Almacenamiento.
- Uso/Tratamiento.
- Cesión/Transferencia.
- Destrucción.
El hecho de incumplir la normativa de protección de datos en cualquier de las fases indicadas en el tratamiento de datos de carácter personal implicara una sanción por parte de la autoridad de control (AEPD), como ocurre en la resolución que analizaremos en el presente artículo, PS 00571-2013:
El procedimiento se inicia con informe de la Policía local, en el cual se pone de manifiesto el hallazgo en un solar de correspondencia abandonada, la cual contiene datos de carácter personal, se encuentran hasta un total de 1.404 cartas, dichas cartas llevan el logo de una Compañía postal (en adelante Compañía 1), cuando se contacta con dicha entidad indica que la correspondencia encontrada debía haber sido repartida por empleados de otra compañía postal (en adelante Compañía 2). La empresa que debía de encargarse del reparto, Compañía 2 reconoce su logo e indica que esta correspondencia debía de haber sido entregada por cuatro trabajadores, dos que no trabajan actualmente en la entidad y dos que, si continúan, pero que al tratarse de correspondencia ordinaria es imposible averiguar que repartidor de los cuatro no realizo el reparto que le correspondía produciendo ese abandono de documentación.
Unos meses después del primer encuentro de documentación abandonada se recibe en la AEPD una nueva denuncia por parte de la Delegación del Gobierno en Islas Baleares, en la que se traslada un escrito de la policía en relación con la localización de un total de 5354 cartas abandonadas en dos ubicaciones de la Palma y cuya gestión correspondía a la Compañía 1, gestionando el reparto por medio de su distribuidor en La Palma, Compañía 2.
En relación con estos incidentes, los responsables del tratamiento afectados, entre los que se encontraban empresas como BBVA, ENDESA, ORANGE, etcétera proceden a notificar la brecha de seguridad acaecida ante la autoridad de control, por lo que la AEPD recibe numerosas notificaciones al respecto. Entre la información que se pudo ver comprometida dentro de estas cartas se encontraban: movimientos de cuentas, información sobre saldos, notificaciones correspondientes a notificaciones vinculadas a procesos de recuperación de deudas impagadas.
Desde el punto de vista de la protección de datos personales, la compañía 1 interviene bajo la condición de encargada del tratamiento, si bien para el desarrollo y ejecución de esos servicios postales, subcontrata dichos servicios o parte de ellos a otra entidad (Compañía 2), donde tuvo su origen la brecha debido a la acción negligente de uno o varios trabajadores desleales. Si bien, la Compañía 2 trato los datos de forma incompatible con el marco del tratamiento determinado por Compañía 1, por ello debe ser considerado como responsable del tratamiento a efectos del art. 28.10 RGPD.
Puedes consultar otras entradas anteriores a nuestro blog en la que se sanciono como en el presente caso a un encargado de tratamiento por el servicio prestado a un responsable.
La AEPD procede a dar traslado de dicha reclamación a Compañía 2, para que proceda a su análisis y en el plazo de un mes informe a la autoridad de control de las acciones llevadas a cabo para adecuarse a la normativa en materia de protección de datos, a lo cual el Delegado de Protección de Datos de la compañía responde lo siguiente:
- La Compañía 1 ha informado sobre un incidente de seguridad con el reparto de correspondencia, en el que el personal interno estuvo involucrado. Las personas responsables fueron identificadas y despedidas. Se ha comunicado al resto de los empleados, al departamento de Cumplimiento para una nueva formación y al Delegado de Protección de Datos para analizar la situación.
- El incidente fue premeditado y la disponibilidad y la conexión de la correspondencia, incumpliendo la normativa interna y la legislación postal. Los datos expuestos son identificativos básicos (nombre, apellidos, dirección), sin evidencia de manipulación de las cartas.
- No se considera que haya un alto riesgo para los derechos de las personas afectadas, ya que no se ha materializado ningún daño significativo. Se adjunta una lista de las medidas adoptadas por la Compañía 2, como el despido de los empleados y la implementación de formaciones.
Tras analizar las brechas de seguridad notificadas a la AEPD por los responsables del tratamiento afectados la autoridad de control procede a realizar un requerimiento de información a Compañía 2, entidad encargada del reparto final de la correspondencia y responsable del abandono. El requerimiento estuvo marcado por la siguiente línea de investigación:
Se debe obtener el informe de la brecha, investigar las medidas de seguridad para proteger la confidencialidad de los trabajadores y los envíos postales, y revisar los contratos de encargo o subencargo relacionados con los tratamientos afectados.
Tras varios requerimientos por parte de la AEPD sin respuesta de la Compañía 2, finalmente responde acreditando la siguiente información:
- Compromisos de Confidencialidad de empleados firmados.
- Formaciones realizadas en la materia.
- Medidas adoptadas para garantizar la trazabilidad y seguimiento de envíos.
A posteriori la autoridad de control procede a realizar el requerimiento de información del encargado del tratamiento Compañía 1:
Se debe investigar el registro de incidentes y actividades de los tratamientos afectados, así como la notificación de la brecha a la Agencia y a los afectados. Además, se debe revisar las notificaciones a las empresas implicadas, los contratos de encargo con estas, y el contrato con el subencargado (Compañía 2), junto con el análisis de riesgos y las medidas preventivas adoptadas.
Recibiendo la AEPD respuesta positiva por parte de la Compañía 1, la cual adjunta toda la información solicitada.
Tras la investigación la AEPD concluye lo siguiente:
- Desde el punto de vista de la protección de datos personales, en todas las relaciones contractuales citadas, la Compañía 1 interviene bajo la condición de encargada del tratamiento, siendo responsables del tratamiento de los datos personales las entidades clientes de Compañía 1.
- Para el desarrollo y ejecución de esos servicios postales, Compañía 1 subcontrata dichos servicios o parte de ellos con otras entidades, especialmente para aquellos lugares en los que su red de reparto no tiene cobertura propia.
- En las relaciones de este tipo que Compañía 1 formaliza, la entidad subcontratista interviene, desde el punto de vista de la protección de datos personales, bajo la condición de subencargada del tratamiento.
- La Compañía 1 formalizó un contrato con la entidad Compañía 2, en virtud del cual esta última se obliga cubrir la distribución de correo ordinario en la ciudad de Palma de Mallorca. Con motivo de esta contratación, ambas entidades suscribieron el correspondiente contrato de encargo de tratamiento, el cual se declara reproducido en este acto a efectos probatorios. En dicho contrato, entre otras cuestiones, se detallan los tipos de datos afectados por el encargo, las categorías de interesados y las operaciones de tratamiento.
Se dispone, asimismo, que Compañía 1 tiene el carácter de encargado de tratamiento, siendo Compañía 2 subencargado de tratamiento y actuando el cliente (BBVA, ENDESA, ORANGE, etcétera) de Compañía 1 como responsable del tratamiento.
Finalmente, Entre las obligaciones asumidas por Compañía 2 como subencargado del tratamiento
figuran las siguientes:
- Garantizar que las personas autorizadas para tratar los datos personales se comprometan de forma expresa y por escrito a respetar la confidencialidad y cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
- Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas.
- A tenor del art 32 RGPD, Compañía 2 se compromete a adoptar las medidas necesarias para evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos personales de los clientes de Compañía 1.
- Compañía 2 notificará a Compañía 1 sin dilación indebida y con la mayor celeridad posible y en cualquier caso antes de las 24 horas, a través de correo electrónico dispuesto al efecto las brechas de seguridad salvo que sea improbable que constituya un riesgo para los derechos y libertades de personas físicas.
- Corresponde a Compañía 1 o a su cliente (responsable de tratamiento) notificar las brechas a la AEPD y a los interesados.
- De acuerdo con la evaluación de riesgos realizada por el cliente de Compañía 1, y lo establecido en el art 28 RGPD, Compañía 2 como mínimo deberá implementar las medidas de seguridad correspondientes al nivel medio de conformidad con lo dispuesto en el Reglamento de desarrollo de la LOPD (RLOPD) RD 1720/2007, mientras no se especifique en su sustitución otras medidas.
De todo lo anterior la AEPD toma la determinación de sancionar a Compañía 2 por el incumplimiento de los siguientes preceptos normativos:
- Ha quedado acreditado que existieron varias remesas de cartas que no fueron entregadas a sus destinatarios y, en lugar de ello, fueron arrojadas en espacios públicos, según los detalles que constan reseñados en los hechos probados de esta resolución, afectado a miles de envíos. El abandono de dichas cartas en un descampado en las que figuran datos de carácter personal (nombre y apellidos, y dirección postal), posibilitó, en algunos casos, su acceso no autorizado por terceros ajenos, y en otros casos, su destrucción o daño accidental no autorizado, vulnerándose los principios de confidencialidad y de integridad, ambos establecidos en el artículo 5.1.f) del RGPD. Todo ello ha sido reconocido por la propia entidad Compañía 2. Por lo que la AEPD considera que los hechos acontecidos son constitutivos de una infracción, imputable a Compañía 2, por vulneración del artículo 5.1.f) del RGPD, con agravante por intencionalidad o negligencia.
- La AEPD considera que las medidas de seguridad implementadas por parte de Compañía 2 son insuficientes, por lo que esa falta de medidas de seguridad adecuadas que provoca la infracción del artículo 32.1 RGPD constituye una infracción en si misma considerada e independiente de los incidentes de seguridad detectados, brechas de datos personales producidas.
Por lo tanto, se considera que los hechos conocidos son constitutivos de una infracción, imputable a la entidad denunciada (Compañía 2), por vulneración del artículo 32 del RGPD, por no contar con las medidas técnicas y organizativas adecuadas para garantizar la confidencialidad e integridad de la información.
La sanción que estipula la autoridad de control para lo indicado es la siguiente:
- Por la infracción del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 de dicha norma, una multa administrativa de cuantía de 120.000,00 euros.
- Por la infracción del artículo 32 del RGPD, tipificada en el artículo 83.4 de dicha
norma, una multa administrativa de cuantía de 80.000,00 euros.
A mayores la AEPD en virtud del artículo 58.2. d) del RGPD, impone a Compañía 2 en el plazo de seis meses desde que la presente resolución sea firme y ejecutiva, acredite haber procedido al cumplimiento de las siguientes medidas de seguridad:
- Un sistema de comprobación de la trazabilidad de las cartas que envían.
- Instrucciones concretas para los empleados indicando la formar de entregar las cartas de manera que se dé cumplimiento con la normativa de datos de carácter personal.
Como se desprende del presente articulo y hemos adelantado al inicio de éste, la normativa de protección de datos ha de cumplirse durante todo el ciclo de vida de los datos para evitar sanciones por parte de la autoridad de control, siendo necesario que nuestra entidad cuente con una serie de medidas de seguridad para dar cumplimiento al articulado detallado, además es muy importante que tengamos un procedimiento de actuación ante brechas de seguridad en el que no han de olvidarse puntos como los siguientes:
- Conocimiento del personal del procedimiento interno.
- Formaciones al personal en materia de protección de datos.
- Información y conocimiento del personal de como identificar y como actuar ante una brecha de seguridad.
- Información y conocimiento del personal de si la entidad cuenta con un Delegado de Protección de Datos.
- Plazos para registro interno de brechas de seguridad y para la notificación ante la autoridad de control y/o en su caso a los interesados/afectado.
Si quieres conocer mas en profundidad como actuar ante una brecha de seguridad en tu entidad puedes hacerlo pinchando aquí.
