Se presentó la reclamación ante la AEPD debido a que, a pesar de contratar los servicios del reclamado para la realización de un reportaje fotográfico, debido a un robo que este sufrió en su estudio, no le pudo entregar las fotografías, por cuanto se habían llevado los equipos en los que estas se encontraban. Así, entiende la reclamante que el responsable “no ha cumplido el deber de proteger el material (videos/fotos), poniendo de manifiesto una ineficaz aplicación de las medidas de seguridad”.
Una vez notificada la reclamación, se presentó escrito de respuesta por parte del responsable en el que afirmaba, entre otras cuestiones, que el robo se produjo en su estudio cuando acudió a la trastienda, dejando su bolsa con el material de trabajo sobre la silla y el mostrador, de modo que cuando salió el equipo ya no estaba. En este sentido, se indicaba que no dispone de cámaras de vigilancia, así como que la alarma había sido desconectada por él al acceder a su estudio. Una vez interpuso la denuncia, devolvió el importe abonado por la reclamante como muestra de buena fe. Asimismo, alegaba que no había evidencias de que las imágenes hubieran sido difundidas o publicadas, por lo que no se ha sufrido ningún perjuicio, protegiéndose la privacidad de la reclamante.
Tal y como indica la AEPD, la imagen de una persona (así como las fotografías obtenidas) es un dato de carácter personal cuyo tratamiento debe estar sometido al cumplimiento del RGPD. Así, en este caso, habida cuenta de la ausencia de medidas de seguridad implementadas por el responsable, se ha producido una brecha de seguridad (que afecta a la disponibilidad de los datos), por cuanto las imágenes de la reclamante se han perdido y no han podido ser recuperadas.
La autoridad de control ha declarado que las empresas deben tener implementados protocolos adecuados de seguridad. En este sentido, el hecho de que la alarma estuviera desactivada o que dejase su equipo en el que constaban los datos de los clientes sin vigilancia y en un lugar accesible por terceros muestra una actitud negligente por el responsable. Tanto la ausencia de otras medidas de seguridad, como el hecho de que las que había no estuvieran activas (como, por ejemplo, la alarma) es una infracción clara del artículo 32 del RGPD (seguridad del tratamiento).
Adicionalmente, se ha podido apreciar que el responsable no realizó una copia de seguridad de las imágenes, lo que es una infracción directa de la normativa vigente. En este sentido, el responsable “no justifica que no existiera una copia previa de seguridad que evitara la pérdida permanente de la información”. En idéntico sentido, no constaba que los equipos estuvieran cifrados, por lo que “el riesgo de acceso no autorizado se materializó en el momento en que los soportes fueron sustraídos sin medidas de cifrado que impidieran a un tercero ver las imágenes de las bodas”.
Habida cuenta de ello (tanto la ausencia de medidas de seguridad, como la incorrecta implementación de las que sí se disponía), se ha impuesto una sanción de apercibimiento al responsable del tratamiento. A la vista de esta resolución, se puede apreciar la importancia no sólo de tener previstas las medidas de seguridad adecuadas, sino también de su aplicación real, que permita minimizar los riesgos de sustracción de datos de carácter personal.
Puede acceder a la resolución de apercibimiento aquí.
