Un abogado no puede tirar sus documentos a la basura
La AEPD sanciona a un letrado que abandonó documentación con datos personales junto a un contenedor
La Agencia Española de Protección de Datos (AEPD) ha sancionado con un apercibimiento a un abogado que arrojó a la basura documentación de su despacho que contenía datos personales. Entre los papeles se encontraban escrituras, poderes notariales, sentencias de órganos judiciales, fotocopias de DNI de clientes y testamentos.
La agencia considera que el abogado es responsable de una infracción del artículo 32.1 del Reglamento General de Protección de Datos (RGPD), tipificada en su artículo 83.4.a). Sin embargo, limita la sanción a una simple amonestación al considerar que la multa administrativa que pudiera recaer con arreglo a lo dispuesto en el RGPD constituiría una carga desproporcionada para el reclamado, sobre el que no consta la comisión de ninguna infracción anterior en materia de protección de datos.
Brecha de seguridad
Los hechos tuvieron lugar en la isla de Gran Canaria, cuando el Servicio de Protección de la Naturaleza de la Guardia Civil (Seprona) localizó junto a un contenedor de basura dos bolsas de plástico que contenían la documentación del despacho.
A juicio de la AEPD, la responsabilidad del letrado viene determinada por una quiebra de seguridad en el tratamiento de los datos de los que era responsable. En tal condición, debería haber implementado de manera efectiva medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, de forma que quedara asegurada la confidencialidad de los datos, así como su disponibilidad y la imposibilidad del acceso a los mismos en caso de incidente físico o técnico.
La agencia recuerda que el RGPD no recoge un listado de las medidas de seguridad que deben aplicarse de acuerdo con los datos que son objeto de tratamiento, sino que establece que el responsable y el encargado del tratamiento deberán aplicar las medidas técnicas y organizativas que sean “proporcionadas y adecuadas” al riesgo que conlleve el tratamiento.
Para ello, deberán tenerse en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, contexto y finalidades del tratamiento de los datos, entre otros. En consecuencia, la agencia impone al afectado la obligación de adoptar esas medidas necesarias y pertinentes.