Sanción de la AEPD por el envío de un correo con documentación sensible.

La AEPD impone una nueva sanción de 450.000 euros.

Una nueva sanción de la AEPD 450.000 euros por el envío de un correo con documentación sensible.

La nueva sanción por parte de la Agencia Española de Protección de Datos vuelve a recordar a las empresas la importancia de garantizar la confidencialidad de los datos mediante medidas técnicas y organizativas. El incidente que llevó a ésta resolución ocurrió cuando un empleado del departamento de recursos humanos de la empresa envió por error un documento que contenía las nóminas de 447 trabajadores a un tercero no autorizado. Este documento incluía información sensible como nombres, apellidos, DNI, números de afiliación a la Seguridad Social y números de cuenta bancaria. La filtración de estos datos personales expuso a los trabajadores a riesgos significativos, incluyendo el fraude y el robo de identidad.

La empresa, al darse cuenta del error, notificó a la AEPD y a los afectados, cumpliendo con la obligación de informar sobre brechas de seguridad de acuerdo con lo estipulado en el RGPD. Sin embargo, la AEPD inició una investigación para determinar las circunstancias del incidente y evaluar si la empresa había tomado las medidas adecuadas para proteger los datos personales de sus empleados.

450.000 euros por el envío de un correo con documentación sensible.

Tras su investigación, la AEPD identificó dos infracciones principales en este caso:

• Vulneración del Artículo 5.1.f del RGPD:

  • Este artículo establece que los datos personales deben ser tratados de manera que se garantice su seguridad, incluyendo la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. En este caso, la empresa no garantizó adecuadamente la confidencialidad e integridad de los datos personales de sus trabajadores. La falta de controles adecuados permitió que un error humano resultara en una filtración significativa de datos.

• Vulneración del Artículo 32.1 del RGPD:

  • Este artículo requiere la adopción de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. La investigación de la AEPD reveló que la empresa no había implementado medidas suficientes para prevenir el acceso no autorizado a los datos personales. Esto incluía la falta de procedimientos claros para el manejo de información sensible y la ausencia de controles técnicos que pudieran haber evitado la filtración.

Cooperar con la AEPD

Al finalizar la investigación e identificar dichas infracciones, la AEPD impuso una sanción inicial de 450,000 euros a la empresa. Sin embargo, esta cuantía se redujo a 270,000 euros debido a dos factores esenciales: el reconocimiento de responsabilidad por parte de la empresa y el pago voluntario de la sanción. La reducción de la sanción refleja la positividad de cooperar junto con la AEPD y la disposición a corregir las deficiencias identificadas que pueden tener las entidades.

Este caso destaca varios puntos críticos que las empresas deben considerar para cumplir con el RGPD y proteger adecuadamente los datos personales:

• Importancia de la Formación y Procedimientos Internos:

  • La filtración se debió a un error humano y a la falta de seguimiento de los procedimientos internos. Esto resalta la necesidad de una formación continua y rigurosa en materia de protección de datos para todos los empleados. La formación debe incluir no solo el conocimiento de las normativas, sino también la comprensión de los riesgos asociados con el manejo de datos personales y las mejores prácticas para mitigarlos.

• Responsabilidad y Transparencia:

  • La empresa reconoció su responsabilidad y optó por el pago voluntario de la sanción, lo que demuestra un compromiso con la rectificación del error y la mejora de sus prácticas de protección de datos. La transparencia en la gestión de incidentes de seguridad es crucial para mantener la confianza de los empleados y otras partes interesadas.

• Medidas Técnicas y Organizativas:

  • La resolución subraya la importancia de implementar medidas técnicas y organizativas adecuadas para proteger los datos personales. Esto incluye no solo la tecnología, como el cifrado y los controles de acceso, sino también la creación de una cultura de protección de datos dentro de la organización. Las empresas deben realizar evaluaciones de riesgos periódicas y actualizar sus medidas de seguridad en función de los resultados.

• Evaluación y Mejora Continua:

  • La protección de datos no es un esfuerzo único, sino un proceso continuo. Las empresas deben evaluar regularmente sus políticas y procedimientos de protección de datos y realizar mejoras según sea necesario. Esto incluye la revisión de incidentes pasados para identificar áreas de mejora y la implementación de nuevas tecnologías y prácticas para fortalecer la seguridad de los datos.

Esta resolución de la AEPD sirve como un recordatorio crucial de las obligaciones que tienen las empresas en cuanto a la protección de datos personales y las graves consecuencias de no cumplir con estas obligaciones. La adopción de medidas preventivas y correctivas adecuadas es esencial para evitar incidentes similares en el futuro. Las empresas deben ver la protección de datos no solo como una obligación legal, sino como una parte integral de su responsabilidad corporativa y su compromiso con la privacidad y la seguridad de sus empleados y clientes.