resolución aepd por difusion de datos sin legitimación

SANCIÓN A UN ORGANISMO PÚBLICO POR ENVIAR UN CORREO ELECTRÓNICO CON UN ADJUNTO CON DATOS PERSONALES SIN LEGITIMACIÓN

Nos planteamos cuando enviamos adjunto a un correo electrónico un archivo con información personal o confidencial, si realmente es necesario, o si podríamos hacerlo con un medio más seguro. Y si tenemos necesariamente que hacerlo de ese modo, ¿adoptamos las medidas técnicas (cifrado, encriptado,..) y/o organizativas (protocolos, procedimeintos,..) adecuadas para evitar accesos no autorizados a dicha información?. Si la respuesta a estas preguntas es no, estaremos corriendo el riesgo de que se produzcan esos accesos no autorizados a esa información, e incurriendo en infracciones del RGPD que pueden suponer sanciones importantes.

La AEPD sanciona a una Administración Pública por enviar un email con un adjunto (Excel) en el que se mostraban datos personales de más de 200 personas trabajadoras, a terceros sin legitimación para hacerlo. Concretamente, esos datos personales eran:

  • Nombre y apellidos.
  • N.º DNI.
  • Puesto de trabajo.
  • Voluntad o no de ser sometido/a al reconocimiento médico para la vigilancia de la salud.

Este incidente supone para la AEPD:

  • Una vulneración de uno de los principios del tratamiento, el de confidencialidad regulado en el artículo 5.1.f) del RGPD, al haberse producido una comunicación no autorizada de esos datos personales.
  • La ausencia de medidas técnicas y organizativas adecuadas a los riesgos de ese tipo de tratamiento, en los términos exigidos por el artículo 32.1 RGPD, que hubiesen evitado esa comunicación no autorizada.

Y por ello sanciona, en este caso con apercibimiento, al tratarse de un responsable de los contemplados en el artículo 77 de la LOPDGDD (Administración pública):

  • Por una infracción del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 del RGPD, de haber sido una entidad privada podría haber supuesto la imposición de multas administrativas de 20 000 000 EUR como máximo o de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
  • Por una infracción del artículo 32 del RGPD, tipificada en el artículo 83.4 del RGPD, de haber sido una entidad privada podría haber supuesto la imposición de multas administrativas de 10 000 000 EUR como máximo o de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Enlace al PDF de la resolución.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.