Consulte el PDF

El pasado 2 de diciembre, la Agencia Española de Protección de Datos (AEPD) publicó la resolución en la que imponía una sanción de 10.000 euros a un despacho de abogados por el envío de un correo electrónico a ocho destinatarios sin utilizar la copia oculta, a los cuales informaba del bloqueo de sus cuentas.

Para entender el fundamento de la sanción, hay que tener en cuenta que el Reglamento General de Protección de Datos (RGPD) establece en su artículo 5 los principios que deben estar presentes en el tratamiento de los datos personales, destacando de entre ellos el de integridad y confidencialidad, según los cuales se establece que los datos personales serán “tratados de tal manera que se garantice una seguridad adecuada (…), incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.

Igualmente, la seguridad de los datos está regulada extensamente en el artículo 32 del RGPD. Si bien el RGPD no establece un listado de las medidas de seguridad que deben ser de aplicación de acuerdo con los datos que son objeto de tratamiento, se establece que el responsable y el encargado de tratamiento deberán aplicar medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.

De la documentación analizada en el presente caso, la AEPD entendió que había indicios evidentes de que el despacho de abogados había vulnerado el artículo 32 del RGPD, habiéndose producido una brecha de seguridad en sus sistemas. No obstante, por esta infracción, la AEPD optó por no sancionar económicamente y formular únicamente un apercibimiento, requiriéndose para que se adoptaran las medidas necesarias para el cese de la conducta objeto de reclamación.

Sin embargo, por la infracción del artículo 5 del RGPD, la AEPD sancionó al referido despacho con una multa de 10.000 euros. No obstante, al reconocer su responsabilidad y realizar el pago voluntario dentro del plazo acordado, la sanción se redujo a una multa de 6.000 euros.

Esta sanción es de gran relevancia, ya que la infracción del artículo 5 del RGPD podría llegar a una sanción de 20 millones de euros o el 4% de la facturación mundial anual (la que fuera más alta de las dos) por parte de la infractora.

Desde ESCURA recomendamos a todas las empresas que, en primer lugar, adecuen sus procedimientos de trabajo a lo establecido en el RGPD y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como disponer de un protocolo de actuación ante brechas de seguridad para notificar a la AEPD cualquier incidente y no perjudicar en mayor medida los datos personales de los perjudicados.

Se adjunta el enlace a la referida resolución para un mayor conocimiento: https://www.aepd.es/es/documento/ps-00322-2020.pdf

© La presente información es propiedad de Escura, abogados y economistas, quedando prohibida su reproducción sin permiso expreso.