La agencia británica Information Commissioner’s Office (“ICO”) impuso el pasado 17 de diciembre de 2019, una multa de 275.000 libras (aproximadamente 323.000 euros) a la empresa farmacéutica londinense Doorstep Dispensaree Ltd (“Doorstep”).

Hechos:

Durante una investigación separada llevada a cabo por la agencia británica Medicine and Healthcare products Regulatory Agency (la “MHRA”) sobre la empresa Doorstep, se descubrieron 47 cajas pertenecientes a la empresa, en un patio trasero de la misma, con aproximadamente 500.000 documentos con numerosos datos personales. Los documentos no estaban bajo ningún tipo de seguridad, y algunos estaban mojados, lo que indicaba que llevaban en ese lugar algún tiempo.

Los documentos contenían nombres y apellidos, direcciones, fechas de nacimiento, números de la seguridad médica, e información y prescripciones médicas. La fecha de los documentos data de entre enero 2016 a junio de 2018.

La MHRA notificó a la ICO el 31 de julio de 2018 la existencia de dichas cajas por tratarse de una posible infracción del RGPD.

El 15 de agosto de 2018, la ICO inició su investigación sobre lo sucedido. Durante la investigación, Doorstep envío a la ICO, entre otros, los siguientes documentos: (i) su Código de Conducta, (ii) su Aviso de Privacidad y (iii) su Procedimiento de manejo de datos. Tras su análisis, la ICO comprobó que dichos documentos no se habían actualizado desde el 2015, por lo que no incluían mención alguna al RGPD.

El 25 de junio de 2019, la ICO emitió una Notificación de Intención de imponer una multa de 400.000 libras (aproximadamente 470.000 euros) a Doorstep por infracción del RGPD, e invitó a Doorstep a que realizara una declaración escrita para contestar a la ICO.

Tras la declaración escrita de Doorstep, la multa se redujo a 275.000 libras.

Infracciones:

La ICO concluye que Doorstep infringió los artículos 5.1.f), 24.1, 32.1 y .2 del RGPD.

Conforme a la resolución de la ICO, los datos personales de los que era responsable Doorstep no fueron tratados de forma segura, al ser guardados en cajas sin cerrojo fuera del edificio de la empresa. La entrada de agua en los documentos prueba que estos podrían haber sido dañados o destruidos. Doorstep en ningún momento adoptó medidas técnicas adecuadas, como un almacenamiento seguro, o la trituración de los documentos, con el fin de garantizar el tratamiento seguro de los datos personales.

Asimismo, debido al volumen y la sensibilidad de los datos personales encontrados, su pérdida o acceso ilícito, habrían supuesto un alto riesgo para los derechos y libertades de los afectados, razón por la cual los documentos merecían mejores medidas de seguridad que las practicadas por Doorstep.

La ICO también concluye que Doorstep infringió los artículos 13 y 14 del RGPD.

El aviso de privacidad que Doorstep facilitó a la ICO durante la investigación no contenía toda la información requerida por los artículos 13 y 14 del RGPD. Por ejemplo: el aviso de privacidad (i) no indicaba de forma explícita que Doorstep era el responsable de los datos, y tampoco ofrecía ningún dato de contacto, y (ii) no indicaba la base jurídica para el tratamiento de datos.

La ICO sintetiza el caso de la siguiente manera: “La naturaleza sistémica de los fallos de protección de datos de Doorstep Dispensaree destaca por el hecho de que sus políticas y procedimientos son obsoletos e inadecuados”.

Agravantes y atenuantes:

Sin perjuicio de los agravantes y atenuantes, a la hora de determinar la cuantía de la multa, la ICO ha tenido en cuenta el tamaño de Doorstep y la información financiera disponible sobre la empresa en el Registro Mercantil del Reino Unido, así como las declaraciones que Doorstep ha realizado sobre su posición financiera. La ICO es consciente de que “la pena debe ser efectiva, proporcional y disuasoria”.

Agravantes

“La naturaleza, gravedad y duración de la infracción…” (83.2.a del RGPD). Los datos médicos son considerados datos sensibles conforme a lo dispuesto, en el artículo 9 del RGPD, y los afectados pueden ser fácilmente identificados y relacionados con los datos de su salud. Es por ello que su abandono sin ningún tipo de seguridad, y la ausencia de notificación a los afectados de toda la información recogida en los arts. 13 y 14, reviste especial gravedad.

“La intencionalidad o negligencia en la infracción” (83.2.b del RGPD). Si bien las infracciones no se han considerado deliberadas, la ICO concluye que existió un alto grado de negligencia y falta de cumplimiento del RGPD por parte de Doorstep.

“El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32” (83.2.d del RGPD). La ICO determinó que no había apenas evidencia de que Doorstep implementara medidas técnicas y organizativas para proteger los datos personales. Esto supone un fallo importante para una empresa que procesa grandes cantidades de datos de salud de forma rutinaria.

“las categorías de los datos de carácter personal afectados por la infracción” (83.2.g del RGPD). Los datos incluyen información que permite la identificación de los afectados (nombre, dirección y fecha de nacimiento) así como datos sensibles, como es la información y prescripciones médicas.

Atenuantes:

“Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados” (83.2.c del RGPD). La ICO ha tenido en cuenta las mejoras en la práctica de protección de datos que Doorstep actualmente está haciendo o tiene la intención de hacer según lo dispuesto en su declaración escrita. La ICO también ha valorado positivamente la medida de Doorstep de formar a sus empleados en esta materia.

“El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción” (83.2.f del RGPD). Pese a que la cooperación inicial por parte de Doorstep fue pobre, la ICO ha reconocido positivamente la actitud cooperativa de Doorstep durante el proceso de la declaración escrita, y sus esfuerzos en mejorar su práctica de protección de datos.

Conclusión:

La ICO impone por fin su primera multa por infracción del RGPD y abre la veda en el Reino Unido. Será interesante ver como la ICO resuelve los casos de las empresas Marriot y British Airways, las cuales se enfrentan a posibles multas de 99 y 183 millones de libras respectivamente (115,5 y 213 millones de euros aproximadamente) por infracciones del RGPD.

Destacar que, si bien varias de las infracciones llevadas a cabo por Doorstep podrían haberse sancionado con “multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior…” la multa ha sido proporcional a los recursos financieros de la empresa, como viene sucediéndose en resoluciones de otros países.

Resulta especialmente llamativo que, tras más de un año y medio desde la entrada en vigor del RGPD, todavía haya empresas en general, y que tratan datos personales médicos en particular, que no solo no han tomado medidas en cuanto a la seguridad de sus documentos con datos personales, sino que además su política de privacidad no se ha adaptado al RGPD.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.