La Agencia Española de Protección de Datos multa a RTVE por carecer de medidas de seguridad adecuadas en el tratamiento de datos

A finales de noviembre de 2019, la AEPD impuso en su resolución PS/00305/2019 una multa de 60.000 euros a la empresa Corporación de Radio y Televisión Española S.A. (“RTVE”) por carecer de medidas de seguridad adecuadas para proteger los datos personales de sus trabajadores.

En su resolución, la AEPD explica que con fecha 25 de enero de 2019 recibieron de RTVE y de Comisiones Obreras (“CCOO”) una declaración de brecha de seguridad de datos personales en la que comunicaban la perdida de varios pendrives sin cifrar con datos personales de ambas entidades. La pérdida tuvo lugar en la sede de CCOO sita dentro del edificio de RTVE. Como resultado de la declaración, la AEPD inició de oficio una inspección para aclarar los hechos.

Según la resolución, los pendrives se encontraban guardados en una bolsita monedero en la Oficina de atención al Participe del Plan de Pensiones, y fueron vistos por última vez el 12 de noviembre de 2018. El 22 de noviembre de 2018, RTVE comunicó a la Dirección de Seguridad su pérdida.

Los pendrives contenían datos personales de aproximadamente 11.000 personas. Entre dichos datos personales extraviados se encontraban: nombres y apellidos, DNI, teléfono, dirección postal y de correo electrónico, fecha de nacimiento, sexo, estado civil, puesto de trabajo, categoría, nivel salarial, localidad de trabajo, fecha de jubilación, afiliación a CCOO, resoluciones médicas, resoluciones de la Seguridad Social sobre incapacidades e infracciones penales o condenas.

Además de la declaración de brecha de seguridad, una de las personas afectadas interpuso el 14 de marzo de 2019 reclamación ante la AEPD contra RTVE.


Infracción:

La AEPD estima en su resolución que RTVE infringió el artículo 32 del RGPD relativo a la seguridad del tratamiento, e impone a RTVE una multa administrativa de 60.000 euros.

En su resolución, la AEPD tuvo en consideración los siguientes agravantes y atenuantes:


Agravantes:

“En el presente caso estamos ante acción negligente sobre datos significativos que permiten la identificación de una persona (artículo 83.2 b) como:” (i) Detalles del empleo: puesto de trabajo, categoría, nivel salarial, localidad de trabajo, fechas de jubilación y (ii) Categorías especiales de datos como: afiliación a CCOO, datos de salud e infracciones penales o condenas.

“Se encuentran afectados identificadores personales básicos, según el artículo 83.2 g) como:” nombre y apellidos, DNI, teléfono, dirección (postal y electrónica), fecha de nacimiento, sexo y estado civil.


Atenuantes:

“Se han adoptado medidas por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados según el art. 83.2 c) como:” por ejemplo la implementación de medidas de formación y concienciación, y la colocación de “carteles en todos los despachos sobre cultura de protección de datos (como mesas limpias, bloqueo del ordenador cada vez que se abandone el puesto de trabajo, protección dispositivos extraíbles, etc.)”.


Conclusión:

¿Por qué son importantes las pérdidas de datos personales? En el mundo digital en el que vivimos, en el que cada vez internet nos permite hacer más cosas online, se ha extendido la práctica del robo de identidad. Es decir, una persona que se hace pasar por la victima para cometer algún tipo de fraude en su nombre, como, por ejemplo, obtener créditos, contratar servicios o crear cuentas en redes sociales para estafar a amigos de la víctima. En este post anterior tenemos un caso de usurpación de identidad que resolvió la AEPD.

Leyendo la resolución, nos surgen ciertas preguntas respecto a los hechos: en la medida en la que no se ha garantizado una seguridad adecuada de los datos personales contra su perdida, ¿no supondrían los hechos también una infracción del artículo 5.1.f) del RGPD del principio de confidencialidad? En un post anterior nuestro sobre una multa en Polonia se dio también una infracción del articulo 32 del RGPD conjuntamente con la infracción del artículo 5.1.f) del RGPD.

Los pendrives fueron vistos por última vez el 12 de noviembre de 2018 y RTVE comunicó a la Dirección de Seguridad su pérdida el 22 de noviembre de 2018, ¿por qué no se notificó dicha perdida a la AEPD hasta el 25 de enero de 2019? En la resolución no se explican los motivos de la dilación. ¿No supondría el retraso de la comunicación una infracción del artículo 33.1 del RGPD sobre la notificación de una violación de la seguridad de los datos personales a la autoridad de control?

Tras nuestro anterior post de la multa en Austria a la empresa AG Post (sociedad estatal austriaca) de 18 millones de euros, sorprende la modesta cuantía de la multa en esta resolución. Sale igual de caro en España mandar facturas de una persona a la persona equivocada que perder seis pendrives guardados en una bolsita monedero con datos personales de 11.000 personas.


Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x