La Agencia Española de Protección de Datos (AEPD) ha sancionado con 10.000 euros a un pequeño despacho de abogados de Gerona por enviar un correo electrónico sin copia oculta a ocho destinatarios, revelando accidentalmente distintos datos personales de los mismos.
De la documentación obrante en el expediente sancionador instruido e iniciado el pasado 3 de noviembre por la AEPD bajo la identificación PS/00322/2020, se evidencia que el bufete vulneró el art. 32 del Reglamento General de Protección de Datos, al producirse una brecha de seguridad en sus sistemas al remitir un correo electrónico sin activar la opción de copia oculta a ocho destinatarios, a los que se les informaba sobre el estado de bloqueo de sus cuentas bancarias.
Aunque en el citado precepto no se dispone un listado acotado de las medidas de seguridad que son de aplicación de acuerdo con los datos que son objeto de tratamiento, allí se anuncia que el responsable del tratamiento aplicará las medidas técnicas y organizativas que sean adecuadas y proporcionadas al riesgo que soporte el tratamiento, teniendo presente el estado de la técnica utilizada, los costes de su aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.
Además, de conformidad con el mismo precepto, el encargado del tratamiento aplicará las mencionadas medidas técnicas y organizativas teniendo en cuenta lo siguientes factores: la seudonimización y el cifrado de los datos personales, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, la capacidad de restaurar la disponibilidad y acceso a datos personales de forma rápida tras un incidente (físico o técnico) y la capacidad de disponer de un proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas adoptadas.
En el presente supuesto, de la documentación aportada por el afectado se desprenden dos infracciones: una, ya citada, referente a la vulneración de lo dispuesto en el art. 32 del RGPD, tipificada en el art. 83.4 a) del RGPD y cuya sanción sería la de apercibimiento y otra, contra lo previsto en el art. 5.1 f) del mismo cuerpo legal, que rige los principios de integridad y confidencialidad de los datos personales, así como la responsabilidad proactiva del encargado del tratamiento de demostrar su cumplimiento, tipificada en el art. 83.5 a) del reiterado reglamento y cuya sanción económica ascendería a los 10.000 euros.
Agravantes y reducciones
Conforme al art. 83.2 del RGPD, considera la AEPD que en el presente supuesto concurren dos agravantes: por un lado, aprecia una acción negligente no intencional, pero significativa del apartado b) del art. 83.2 del RGPD; y por otro, observa la afectación de identificadores personales básicos (en concreto, nombre, apellidos y domicilio) del apartado g) del mismo precepto.
Igualmente, en relación a la sanción económica, recuerda la Agencia la posibilidad del reclamado de reconocer su responsabilidad dentro del plazo para formular alegaciones, llevando aparejada una reducción del 20% de la multa y, del mismo modo, la oportunidad de pagar voluntariamente la sanción propuesta, suponiendo una nueva reducción del 20% del importe final.
Por último, como así ha informado la AEPD, el pasado 21 de noviembre el despacho de abogados procedió al pago de la sanción en la cantidad de 6.000 euros haciendo uso de las dos reducciones citadas anteriormente, suponiendo así el reconocimiento de su responsabilidad en el envío de los polémicos emails.
Fuente: valencianoticias.com https://valencianoticias.com/la-agencia-espanola-de-proteccion-de-datos-aepd-ha-sancionado-con-10-000-euros-a-un-pequeno-despacho-de-abogados-de-gerona/