Sanciones relacionadas con medidas de seguridad

Por María Luisa González Tapia

Al contrario de lo que podríamos pensar por la gran cantidad de noticias que aparece en prensa sobre ciberataques y por las brechas de seguridad que se notifican cada mes (ver informe correspondiente a enero de 2023), nuestra autoridad de control no está abriendo un número relevante de procedimientos sancionadores relacionados con brechas de seguridad o implantación deficiente de medidas de seguridad. De hecho, se inician más procedimientos sancionadores por instalación de cámaras de videovigilancia a comercios, locales de restauración y particulares que por falta de medidas de seguridad.

Además, hay que contar con que algunos de los procedimientos sancionadores abiertos se archivan. Por poner tres ejemplos, en el Expediente N.º: EXP202100124, se archiva un procedimiento abierto a la Consellería de Sanidad Universal y Salud Pública de la Generalitat Valenciana por una filtración relativa a un cargo que se habían saltado el protocolo de vacunación contra el COVID-19 y se vio obligado a dimitir por ello; en el Expediente N.º: EXP202202904, se archivan las actuaciones iniciadas contra la entidad responsable de una app tras la reclamación presentada por un usuario al que habían usurpado las claves de acceso realizando varias compras, y en el Expediente N.º: EXP202104184, se decide archivar el procedimiento abierto a una entidad que notificó un brecha de seguridad que afectaba unas 11.947 personas (direcciones de emails de clientes y empleados, con nombre y apellidos de estos).

No obstante, aunque pocas, la Agencia Española de Protección de Datos (“AEPD”) también ha impuesto sanciones por incumplimiento de medidas de seguridad. ¿Qué infracciones se pueden cometer relacionadas con medidas de seguridad?

Las infracciones en materia de protección de datos, como sabemos, no están recogidas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) sino en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“Reglamento general de protección de datos” o “RGPD”).

La LOPDGDD solo establece los plazos de prescripción de las sanciones, aunque para ello utiliza algo parecido a un catálogo de conductas infractoras. El RGPD, por su parte, no detalla en qué consiste la infracción, ni habla de infracciones leves, graves o muy graves. El RGPD se limita a decir que será sancionable el incumplimiento de tal o cual artículo, sin más.

Pues bien, los artículos que recogen obligaciones en materia de seguridad y cuyo incumplimiento supone una infracción son estos:

• El artículo 5.1.f) del RGPD, que recoge el principio general:

“1. Los datos personales serán: (…)

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

La infracción de este precepto (en realidad, la de todos los principios del artículo 5) se encuentra recogida en el artículo 83.5.a) del RGPD y se sanciona con multa de 20 000 000 EUR o 4 % del volumen de negocio total anual global del ejercicio financiero anterior.

• Los tres artículos recogidos en la Sección Segunda del Capítulo IV del RGPD, relativo a seguridad de los datos personales. Se trata del artículo 32 del RGPD (“Seguridad del tratamiento”), el artículo 33 del RGPD (“Notificación de una violación de la seguridad de los datos personales a la autoridad de control”) y el artículo 34 del RGPD (“Comunicación de una violación de la seguridad de los datos personales al interesado”). La infracción de estos tres artículos se encuentra recogida en el artículo 83.4.a) del RGPD (multa de 10 000 000 EUR o 2 % del volumen de negocio total anual global del ejercicio financiero anterior).

La AEPD podría abrir procedimiento sancionador por el incumplimiento de cualquiera de los preceptos anteriores, a los que debemos añadir el artículo 5 de la LOPDGDD (equivalente al artículo 10 de la derogada Ley Orgánica 15/1999, de 13 de diciembre), que recoge un deber de confidencialidad para empleados y usuarios con acceso a datos no previsto expresamente en el RGPD y que se sanciona por incumplimiento del principio general del artículo 5.1.f):

“Artículo 5. Deber de confidencialidad.

1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.

2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.

3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento”.

Dejando a un lado el deber de confidencialidad, cuando se trata de implantación de medidas de seguridad, la diferencia entre el incumplimiento del principio general del artículo 5.1.f) del RGPD y la concreción o desarrollo de dicho principio en el art. 32 del RGPD no resulta clara. En ambos casos, la obligación consiste en establecer medidas técnicas y organizativas adecuadas que garanticen la seguridad de los datos personales. Sin embargo, la AEPD entiende que quien no implanta medidas de seguridad suficientes puede incumplir uno u otro artículo o los dos a la vez. En las últimas resoluciones, la AEPD ha sanciona por los dos artículos (es decir, impone dos multas, una por el 5.1.f y otra por el 32, en relación con la misma conducta).

Hagamos un repaso de algunas de las sanciones impuestas:

1) Procedimiento Nº: PS/00305/2019

En enero 2019, RTVE y CC OO notificaron una brecha de seguridad típica: la pérdida o robo de distintos pendrives no encriptados. Seis pendrives con datos personales de ambas entidades desaparecieron de la oficina de Atención al Partícipe del Plan de Pensiones situada en Prado del Rey. Los pendrives eran propiedad de un delegado de sección sindical de CC OO. Sin embargo, inexplicablemente, el procedimiento sancionador se abre a RTVE por infracción del artículo 32 RGPD, no del artículo 5.1.f), y se acaba multando a la entidad con 60.000 euros.

RTVE explicaba en sus alegaciones que no era responsable de la actividad desarrolladas por los sindicatos y que cualquier comunicación efectuada a estos se hacía de conformidad con la normativa laboral. Bien está lo que bien acaba: el recurso de reposición (Recurso de reposición Nº RR/00835/2019) levanta la sanción.

2) Procedimiento Nº: PS/00179/2020

Probablemente, se trata de la brecha de seguridad de mayor importancia hasta la fecha y, desde luego es una de las sanciones más elevadas relacionada con medidas de seguridad en nuestro país. AIR EUROPA LÍNEAS AÉREAS, S.A. notificó una brecha de seguridad consistente en el acceso no autorizado a la información de contacto y tarjetas bancarias de 489.000 interesados (un volumen aproximado de 1.500.000 registros). La brecha se notifica 41 días después de tener conocimiento de la misma.

Se imponen dos multas por dos infracciones distintas:

• Por incumplimiento del art. 33, 1.000.000 euros.
• Por incumplimiento del art. 32, 500.000 euros.

Curiosamente, lo más grave para la AEPD es haber incumplido el plazo de notificación de la brecha.

A diferencia de otras resoluciones, la autoridad de control justifica con detalle los agravantes que la llevan a determinar las multas anteriores:

• Naturaleza y gravedad de la brecha.
• Grado de responsabilidad de la entidad multada, que aplicaba medidas claramente insuficientes, como se pone de manifiesto, incluso, en los informes presentados por la compañía aérea en sus alegaciones.
• Las categorías de los datos de carácter personal que se han visto afectados, entre los que se incluyen datos bancarios y financieros que han sido utilizados con fines fraudulentos.
• La forma en que se ha tenido conocimiento de infracción (una comunicación de BANCO POPULAR y compañías de tarjetas de crédito).
• El carácter continuado de la infracción (en el sentido interpretado por la Audiencia Nacional: desde que se produjo el incidente de seguridad hasta que la brecha fue detectada transcurrió un periodo de tiempo de varios meses).
• La actividad de la entidad multada está vinculada con el tratamiento de datos tanto de clientes como de terceros.
• El volumen de negocio de la reclamada pues se trata de una de la compañía líder dentro del mercado español.

3) Procedimiento Nº: PS/00375/2022

En este caso, la parte reclamante es un abogado, cliente del BBVA, que como persona física facilitó a la citada entidad sus datos personales, incluido el relativo a su domicilio particular. Posteriormente, actuando en nombre y representación de uno de sus clientes, presentó ante el banco una reclamación.

BBVA acusó recibo mediante escrito dirigido a la parte reclamante a su domicilio personal, no al profesional, que es el que figuraba en el escrito presentado. Además, BBVA facilitó al cliente el dato relativo al domicilio personal del abogado.

Se imponen a BBVA tres multas por tres infracciones distintas:

• Por una infracción del artículo 5.1.b) del RGPD (principio de limitación de la finalidad), una multa de 25.000 euros.
• Por una infracción del artículo 32 del RGPD, una multa de 20.000 euros.
• Por una infracción del artículo 5.1.f) del RGPD, una multa de 25.000 euros.

BBVA alegó que se trataba de un error puntual, pero no fue capaz de explicar de forma convincente cómo pudo producirse. La AEPD aplica tres agravantes: actuación negligente, alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales y condición de gran empresa y volumen de negocio elevado de BBVA.

4) Procedimiento Nº: PS/00374/2018

Tras realizar las pruebas de acceso al cuerpo de profesores de educación secundaria, una persona denuncia que la publicación de los resultados se podía efectuar en el portal de la Conserjería de Educación de la Junta de Andalucía introduciendo el DNI del aspirante. Se tenía de esta forma acceso al resultado de todos los participantes.

La AEPD abre procedimiento por incumplimiento del art. 5.1.f), no por el artículo 32, y la AEPD impone multa de apercibimiento, por ser una administración pública. Nuestra autoridad de control razona lo siguiente:

“Siendo lícita la publicación de las notas obtenidas, es preciso hallar una forma que minimice los datos según la proporcionalidad y necesidad de la finalidad (…)

Los hechos consistentes en la configuración en la página web de la reclamada de la consulta de los méritos a través del DNI, por parte del responsable del tratamiento, CONSEJERÍA DE EDUCACIÓN (JUNTA DE ANDALUCIA), suponen una infracción del artículo 5.1.f) del RGPD (….)

Partiendo de la exposición de los datos de los participantes en el proceso selectivo con el NIF integro, no parece conveniente que se cree en la web de la reclamada una casilla para la consulta del baremo de méritos basada en la introducción del dato NIF”.

5) Procedimiento Nº: PS/00078/2019

La última resolución comentada se refiere a un profesional. Una persona presenta reclamación frente a un fisioterapeuta que ha enviado sus informes médicos a un tercero (también una situación muy común como la pérdida de pendrives).

La infracción que impone la AEPD es de simple apercibimiento, teniendo en cuenta una serie de atenuantes que no aplica en otros casos (por ejemplo, cuando son particulares los que instalan cámaras de videovigilancia). Igualmente, destaca que considere un atenuante el cumplimiento de obligaciones legales por parte del infractor, como responder a los requerimientos de la autoridad de control o informar de acuerdo con el artículo 13 del RGPD:

“A efectos de determinar la sanción que es procedente imponer por la infracción de los artículo 13 y 32 del RGPD de la que se responsabiliza a la reclamada,  se toman en consideración  factores tan relevantes como el carácter de empresario autónomo de la persona física responsable del tratamiento; la colaboración que ha prestado a  esta Agencia, pues respondió con  prontitud a los dos requerimientos que se le hicieron;  las medidas que adoptó ante la situación irregular causada -nos referimos al envío a la reclamante mediante burofax de fecha 26/11/2018 de una carta en la que reconoció el error cometido y le pidió disculpas, la adecuación de su política de protección de datos a las previsiones del artículo 13 del RGPD, norma vigente desde el 25/05/2018 y, por tanto,  vigente cuando  la reclamante acudió al establecimiento de la reclamada y facilitó sus datos personales-;  la rectificación efectuada en sus ficheros del dato inexacto -la dirección email de la reclamante-;  las acciones que ha desplegado para tratar de  localizar al titular de la dirección electrónica a la que por error envió el informe médico de la reclamante junto con sus datos identificativos -de la que es exponente su afirmación de que la búsqueda se ha concretado únicamente en una referencia hallada  en Facebook a “***REFERENCIA.1” sin perfil, ni historia ni contacto o la decisión que, dice, ha adoptado desde la detección de estos hechos de no incluir datos personales cuando los pacientes soliciten la remisión de sus informes médicos por medios electrónicos, conduce a concluir  que la sanción que procede  imponer por las infracciones del RGPD cuya responsabilidad se atribuye a la reclamada, sea la de apercibimiento y no la de  multa prevista en los artículos 83.4 y 83.5 RGPD, por ser más s acorde con el espíritu del RGPD a la luz del Considerando 148”.