La autoridad de control ha impuesto a la entidad MULTISPORTS GALICIA una sanción de 6.000 euros por infringir el artículo 32 del RGPD (seguridad del tratamiento), reduciéndose el importe de la multa a 3.600 euros, por cuanto se ha hecho uso de las dos reducciones previstas (reconociéndose, en consecuencia, la responsabilidad).
La reclamación se interpuso por un afectado que indicó que en la página web de la compañía, en la que se gestionaban las inscripciones de las carreras, se proporcionaba una herramienta de búsqueda en la que se podía conocer si una persona (introduciendo o bien su DNI o su nombre) estaba inscrita en alguna de las carreras. No obstante, debido a un error en la misma, cualquier tercero podía conocer el nombre asociado a un DNI introducido sin ninguna limitación. Por ello, “cualquiera puede obtener nombres/apellidos/dnis de todos los participantes en la carrera”. A la vista de lo expuesto, tal y como se indica en la resolución, consta realizado un tratamiento de datos, puesto que los interesados en participar en las carreras deportivas debían cumplimentar un formulario en el que facilitaban sus datos personales.
Una vez notificado el inicio de este procedimiento, la entidad no presentó escrito de alegaciones alguno, por lo que se desconoce por la autoridad de control las medidas de seguridad que se aplicaron para tratar de evitar esta pérdida de confidencialidad de los datos.
Con independencia de lo anterior, la AEPD ha declarado que, si bien el RGPD no establece un listado de medidas de seguridad que deben ser adoptadas por los responsables, sí impone la obligación de que estos implementen aquellas que sean consideradas adecuadas y proporcionadas a los riesgos detectados. Ello supone la necesidad de llevar a cabo un examen de cada tratamiento que permita conocer y evaluar los riesgos que pueden existir y establecer las medidas correctas.
De este modo, la obligación recogida en el artículo 32 es una obligación de medios, por lo que los responsables deben no sólo diseñar las medidas adecuadas, sino implementarlas y utilizarlas correctamente, respondiendo de la falta de diligencia en su uso. Tal y como se recoge en la Sentencia del Tribunal Supremo citada en la resolución, “En las obligaciones de medios el compromiso que se adquiere es el de adoptar los medios técnicos y organizativos, así como desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado con medios que razonablemente puedan calificarse de idóneos y suficientes para su consecución”.
Así, se concluye que, en este caso, se ha probado que los datos que el responsable trataba eran accesibles por terceros de forma no autorizada debido a la falta de medidas de seguridad, por lo que se acredita la existencia de la brecha de seguridad.
Puede acceder a la resolución sancionadora aquí.

