La AEPD ha impuesto al colegio una sanción de 3.000 € por infringir el artículo 32 del RGPD (seguridad del tratamiento) y de 2.000 € por vulnerar el artículo 34 del mismo cuerpo normativo (comunicación de una violación de la seguridad de los datos personales al interesado). En el presente caso, la Directora Pedagoga del centro tuvo que ausentarse de su despacho durante unos minutos, cerrando la puerta del mismo (sin llave), lo que aprovechó un tercero para sustraer el dispositivo electrónico. Así, debido a un descuido o error humano, un tercero ajeno al centro tuvo acceso al ordenador de la directora.
En relación con las medidas implementadas por el centro, se indica que el colegio disponía de un procedimiento que hacía que los ordenadores se bloqueasen automáticamente cuando transcurrían 10 minutos sin que se hubiera producido actividad alguna (lo que “ha evitado que el tercero sustractor del ordenador haya podido acceder a los datos personales desde el ordenador de la Directora Pedagoga”), conservándose la información en una plataforma online (que también se bloquea si no detecta actividad, debiendo introducir nuevamente las claves de acceso), tratando de evitar que la información se encuentre en los dispositivos. En este sentido, se realizó una auditoría por el colegio en la que no se ha podido comprobar que se haya utilizado la información obrante en el dispositivo.
Adicionalmente, existía un sistema de control de accesos que permitía garantizar que sólo pudieran acceder a determinadas estancias aquellas personas que tuvieran autorización, obligándose a los trabajadores a cerrar con llave las puertas de los despachos cuando se tuvieran que ausentar temporalmente.
En la propuesta de resolución, la autoridad de control declaró que las medidas de seguridad del responsable deben tener en cuenta todos los riesgos presentes, incluyendo el factor humano. Así, en el presente caso se ha sustraído un ordenador en el que se almacenaban datos identificativos de tutores e información de los expedientes académicos (que incluyen datos de salud), “poniendo en riesgo la confidencialidad de los datos”, por cuanto estos no estaban cifrados (se reconoce por la autoridad de control que la sesión del ordenador estaba cerrada). Adicionalmente, no se comunicó la brecha de seguridad hasta que se recibió la resolución de la AEPD ordenando dicha comunicación.
Una vez notificada la propuesta de resolución, se remitió escrito de alegaciones por el colegio en el que se ponía de manifiesto de nuevo, las diferentes medidas que se habían implementado. En la resolución sancionadora, la autoridad de control declara que las medidas han resultado insuficientes, sin que el colegio haya tenido en cuenta las circunstancias adversas que podrían haberse evitado con la adopción de otras medidas de seguridad físicas como, por ejemplo, controles de acceso que supusieran el bloqueo de las puertas de los despachos donde se encuentran los ordenadores. En este sentido, se indica que las medidas deben implementarse “en atención a todos y cada uno de los riesgos presentes […] incluyendo entre los mismos el factor humano”.
Respecto al factor humano, la AEPD declara que siempre existe un riesgo inherente a esta cuestión, de modo que las personas pueden no cumplir las medidas implementadas (de forma consciente o por error), por lo que es necesario que el responsable identifique cuándo ello puede tener lugar “para adoptar las medidas […] apropiadas que funcionen como factor corrector y que fueran capaces de corregir y mitigar los riesgos si una persona no cumple con estas medidas”.
Así, en el presente caso, se expone que las medidas de control físico adoptadas por el colegio debían garantizar que únicamente accedían al lugar en el que se almacenan datos (que, además, no estaban cifrados) aquellas personas que lo necesiten por su puesto de trabajo, debiendo estar cerrados dichos espacios si no hay supervisión, lo que no ha sucedido en este caso. De este modo, debe vigilarse por el responsable la correcta aplicación de las medidas de seguridad.
Si bien se ha interpuesto recurso de reposición por el colegio, adjuntando un certificado en el que se afirma que los datos sí estaban cifrados, la AEPD ha declarado que esta documentación no fue aportada con anterioridad a pesar de estar fechada antes de la resolución del procedimiento (siendo sorprendente que no se facilitase cuando se requirió la información durante dicho procedimiento). Adicionalmente, la propia parte recurrente llegó a afirmar que “no era necesario el cifrado de la información, toda vez que ya se disponía de medidas suficientes”, por lo que dicho reconocimiento resulta suficiente para entender, por la autoridad de control, que no existía cifrado alguno de datos, confirmando la infracción del artículo 32 del RGPD.
No obstante, habida cuenta de que se produjo la prescripción de la infracción del artículo 34 del RGPD, se ha procedido al archivo de la misma.
Puede acceder a la resolución de la AEPD aquí y a la resolución del recurso de reposición aquí.
