Recientemente, la Agencia Española de Protección de Datos (AEPD) ha sancionado a un abogado que tiró documentos con datos personales de varios clientes junto a un contenedor de basura. Entre los papeles se encontraban escrituras, poderes notariales, sentencias de órganos judiciales, fotocopias de DNIs de clientes, testamentos y otros documentos con datos personales.
La Agencia considera que el abogado ha infringido el artículo 32.1 del Reglamento General de Protección de Datos (RGPD) que hace referencia a la Seguridad del tratamiento y tipificada en el artículo 83.4.a. Aun así, la Agencia solo impone una simple amonestación porque considera que la multa administrativa que podría corresponder por la infracción sería desproporcionada por el reclamado. Solo hay que recordar que la sanción establecida por el RGPD en este artículo puede llegar a los 10.000.000€ o, en el caso de empresa, una cuantía equivalente al 2% del volumen total de negocio anual global del ejercicio financiero anterior, optando por la de mayor cuantía. No es ninguna broma.
Según la AEPD, la responsabilidad del letrado viene derivada de la quiebra de seguridad en el tratamiento de los datos personal bajo su responsabilidad. Y esto tiene mucho que ver con no haber implantado de forma efectiva las medidas de seguridad –legales, técnicas y organizativas– adecuadas para garantizar el nivel de seguridad apropiado. Así se podría haber asegurado la confidencialidad de los datos en caso de un incidente como es el caso.
Este incidente se podría haber evitado si el despacho hubiera dispuesto de una Política de Eliminación de la documentación y los protocolos correspondientes. Así, para la destrucción de papel se puede, desde utilizar una simple destructora con las características adecuadas hasta la contratación del servicio a una empresa especializada en la destrucción de documentación, homologada (Norma UNE EN-15713) que certifique el proceso. Una medida de seguridad sencilla, al alcance de todo el mundo que nos puede ahorrar un disgusto, sobre todo a nivel reputacional.
El Reglamento no tiene un listado de medidas a aplicar sino que, en el marco de la responsabilidad proactiva del responsable, este tendrá que aplicar aquellas medidas que sean proporcionadas y adecuadas al riesgo asignado al tratamiento en cuestión. Y estas medidas tienen que tener en cuenta varios factores como son los costes de implementación, el estado de la técnica, al contexto, el alcance y las finalidades del tratamiento, entre otros.
En fin. Un abogado no puede perder los papeles. ¡Tú tampoco!
Cuidaos!
© 2024 Todos los derechos reservados