La autoridad de control ha impuesto a una entidad de prevención de riesgos laborales una sanción de 40.000 € por infringir el artículo 5.1.f) del RGPD (principio de integridad y confidencialidad que establece que se debe garantizar una seguridad adecuada de los datos que impida su tratamiento no autorizado, evitando su pérdida, destrucción, etc.). No obstante, dicha sanción se ha reducido a 32.000 € por cuanto se ha hecho uso de la reducción relativa a su pago voluntario.
En este caso, la afectada se sometió a un reconocimiento médico, obteniendo los resultados sin incidencia alguna. No obstante, días después, un compañero de trabajo se puso en contacto con ella con la finalidad de informarle de que, al acceder a la página web del servicio de prevención para acceder y descargar los resultados de su informe, pudo comprobar que se habían anexado, también, las pruebas médicas de la reclamante. Una vez tuvo conocimiento de estos hechos, la afectada remitió un correo a la entidad, recibiendo respuesta del DPO de la misma reconociendo el error e informando de la subsanación de este. Así, se le pedía disculpas por los hechos que habían tenido lugar y se indicaba que se había eliminado de la web los anexos que contenían información, subiendo nuevamente y de forma correcta el informe. Asimismo, se ponía de manifiesto por la entidad que se había solicitado al tercero que recibió la información su eliminación.
Una vez notificada la reclamación a la entidad, esta presentó escrito de respuesta en el que hacía constar que el incidente había tenido lugar con ocasión de un error humano, poniéndose de manifiesto que al evaluar el mismo se había llegado a la conclusión de que no era constitutivo de una brecha de seguridad. La AEPD acordó iniciar un procedimiento sancionador contra la compañía que, en su escrito de alegaciones, expuso que todo el personal recibe formación en materia de protección de datos; que disponen de manuales y procedimientos actualizados, siendo consciente su equipo de la importancia de los compromisos de confidencialidad; así como que se han reforzados las políticas de seguridad.
Si bien la autoridad de control valora positivamente las medidas adoptadas, expone que su implementación a posteriori no elimina la responsabilidad de la compañía. Así, declara que el artículo 5.1.f) establece la obligación de impedir que haya un tratamiento no autorizado de los datos de los que la compañía es responsable, de modo que, si esta no se encuentra en disposición de garantizar su confidencialidad, no debería tratar los mismos. En este caso, se ha constatado la existencia de una falta de confidencialidad como consecuencia de anexar un informe con los resultados médicos a otro documento de un tercero, teniendo este acceso a los mismos, lo que se produjo debido a la “ausencia o indebida implementación de medidas de técnicas y organizativas de todo tipo”.
No obstante, respecto a la posible infracción del artículo 32 del RGPD (seguridad del tratamiento), la AEPD ha declarado que “se evidencia que no se ha producido una conculcación del artículo 32 de RGPD, al no haberse acreditado la ausencia de otras medidas técnicas y organizativas de seguridad independientes de las que están relacionadas con la pérdida de confidencialidad que supone una vulneración del art. 5.1 f)”.
Puede acceder a la resolución sancionadora aquí.
