Noticia publicada en el boletín “ECONOMIST & JURIST”
Un abogado es sancionado por arrojar a la basura documentación con datos personales de sus clientes (PS 354/2020 AEPD)
“¿Cómo te deshaces de la documentación de tus asuntos y clientes antiguos?, ¿cuentas con una máquina destructora de papel en tu despacho?, ¿eres de lo que opta por arrojarlo todo al contenedor azul?, ¿corres algún riesgo con esta última opción?. Veamos.
La Agencia Española de Protección de Datos ha apercibido en su el procedimiento Nº PS/00354/2020 a un abogado que arrojó a la basura documentación con datos de carácter personal de sus clientes sin el mínimo cuidado y respeto a la normativa de protección de datos.
Según se desprende de la descripción de los hechos, en junio de 2020 la Sección del Servicio de Protección de la Naturaleza (SEPRONA) de la Guardia Civil de Las Palmas de Gran Canaria interpuso escrito de reclamación ante la AEPD contra el ahora reclamado y abogado de profesión.
Según informaba el SEPRONA, el marzo de 2020 varios agentes encontraron junto a unos contenedores de basura urbanos ubicados en la entrada de una barriada, dos bolsas de plástico repletas de documentación, en las que aparecían multitud de datos personales de distintos clientes del letrado.
En particular, entre toda aquella documentación se encontraban escrituras, poderes notariales, sentencias judiciales, fotocopias de DNI de clientes, testamentos, etc.
Procedimiento sancionador
Después de que sin éxito la propia Guardia Civil y la Subdirección General de Inspección de Datos intentase ponerse en contacto con el abogado, en noviembre de 2020 la Directora de la AEPD acordó iniciar procedimiento sancionador contra el reclamado, por la presunta infracción del art. 32.1 del Reglamento General de Protección de Datos (RGPD).
El citado precepto, bajo el título de “Seguridad del tratamiento”, sostiene lo siguiente:
“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
- La seudonimización y el cifrado de datos personales;
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.
“De la documentación obrante en el expediente se ofrecen indicios evidentes de que el reclamado ha vulnerado el art. 32.1 del RGPD, al producirse una brecha de seguridad en sus sistemas permitiendo el acceso a los documentos contenidos en bolsas depositadas junto a unos contenedores de basura urbanos (…); documentos conteniendo datos de carácter personal de clientes del reclamado”, anuncia la AEPD.
Sanción de apercibimiento
Pues bien, según informa la Agencia, el abogado es el “responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico”. En cambio, según se desprende de los hechos, el letrado reclamado “no solo ha incumplido esta obligación, sino que además se desconoce la adopción de medidas al respecto, pesar de haberle dado traslado de la reclamación presentada”, advierte la AEPD.
Conforme al art. 58.2 b) del RGPD, la conducta del abogado puede ser sancionada con apercibimiento al considerar que la multa administrativa que pudiera recaer con arreglo a los dispuesto en el art. 83.4 a) del RGPD “constituiría una carga desproporcionada para el reclamado, amén de que no consta la comisión de ninguna infracción anterior en materia de protección de datos”, informa la Agencia.
Así las cosas, la Directora de la AEPD, Mar España Martí, resuelve e impone al abogado una sanción de apercibimiento. Eso sí, le requiere al mismo para que en el plazo de un mes desde la notificación de esta resolución, acredite ante la Agencia la adopción de las medidas necesarias y pertinentes para corregir los tratamientos de datos personales que no se adecuan a la normativa en materia de protección de datos de carácter personal y evitar que vuelvan a producirse vulneraciones como las que han dado lugar a la presente reclamación.”