fbpx

La LOPD exige un cumplimiento efectivo

Aún existen muchos profesionales y empresarios que suponen que cumplir la Ley Orgánica de Protección de Datos (LOPD) es básicamente una cuestión administrativa: 

Se rellenan unos formularios para dar de alta ficheros, se pegan unas cláusulas por aquí y por allá, se copia/pega en muchos casos un aviso legal apañado, se rellena un documentos de seguridad… ¡y listo!

Mas bien listo para la sanción. Y si no lo parece, basta observar esta lista de medidas tomada por cierta empresa que no es precisamente de las pequeñas: solicitada información a una entidad denunciada ante la Agencia de Protección de Datos (AEPD), aportó el Documento de Seguridad Maestro y el anexo sobre Medidas de Seguridad Soporte Papel, la Circular sobre Política General y Normativa General de Seguridad de la Información, publicada en la Intranet de la entidad y aporta captura de la normativa LOPD publicada en intranet a la que tienen acceso todos los empleados de la entidad. .. y sin embargo recibió una sanción de 6.000 €.

¿Porqué? Pues porque de lo que se trata no es de cumplir preceptos teóricos, sino que estos consigan una real protección del derecho a la intimidad de sus clientes. De nada sirven todos los documentos o instrucciones que se puedan redactar si el resultado final es que datos personales aparecen en la basura, como ocurrió en el Procedimiento Nº PS/00185/2015.

El asunto se inició al tener entrada en la AEPD un escrito denunciando la aparición junto a una papelera de basura en el suelo, cerca de una oficina bancaria, documentación conteniendo datos de carácter personal de sus clientes. En la denuncia se aportaba copia entre otros de: checklist LOPD

  • Tres cartas de remisión de tarjetas de crédito
  • Impresión de pantalla del proceso de alta de aportación de fondos de una clienta identificada con nombre y apellidos.
  • Comprobante de transferencia figurando como ordenante y beneficiario un cliente identificado con nombre y apellidos.
  • Test de conveniencia de fondos de inversión de una clienta identificada con nombre y apellidos. Dicho documento expone datos como la formación, experiencia profesional y conocimientos financieros de dicha persona.
  • Documento de mantenimiento de canales y medios de pago, a nombre de un cliente identificado con nombre y apellidos.
  • Correo electrónico con el asunto “Extracto de cuenta en cuentas. Gestor Morosidad.” en el que aparece una relación de cinco personas, de las que aparecen sus nombres, documento identificativo (DNI, pasaporte o tarjeta de residente), número de cuenta, su situación de descubierto o de posible fallido o su situación de parado.

La AEPD deja bien claro en los Fundamentos de Derecho que:

En el presente caso ha quedado acreditado que ha tenido lugar una difusión de datos personales fuera del ámbito de la entidad denunciada porque se ha constatado el acceso a los mismos de un tercero no autorizado. Estos hechos suponen una vulneración de las medidas de seguridad así como del deber de guardar secreto por lo que la citada entidad ha incurrido en las infracciones graves descritas.

Y es por eso que la Directora de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad BANKIA, S.A., por una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.1.2.4 y .5 de la citada Ley Orgánica.

Más allá de cualquier documentación teórica, profesionales y empresarios han de preocuparse de que el cumplimiento normativo en lo que se refiere a la responsabilidad sobre la custodia de datos personales, se lleve a cabo de forma real y efectiva.

Y entre otras, por supuesto, confiar en una empresa seria y profesional a la hora de llevar a cabo la destrucción documental.

 



1 comentario

  • Carla Llopis

    La AEPD se lo está tomando muy en serio. No solo esta. Ha habido muchas otras sanciones. Así que más nos vale a todos estar al día con la LOPD.

Deja una respuesta

Necesita ayuda? Hablemos o llámenos de forma gratuita al 900 670 006