fbpx

No pierdas los papeles

Cuando hablamos de destrucción documental de datos personales no valen las excusas teóricas, la ley exige un cumplimiento efectivo.

Otra vez datos personales en la basura

El Procedimiento Nº PS/00185/2015 instruido por la Agencia Española de Protección de Datos (AEPD) contra Bankia se inicia a raiz de la denuncia de un ciudadano que declaró que paseando por la calle cerca de una oficina del banco y junto a una papelera de basura en el suelo, observó documentación de datos sobre clientes, saldos en cuenta, nombres, teléfonos, etc…

Entre la documentación aportada se encontraron cartas de remisión de tarjetas de crédito a clientes, impresión de pantalla del proceso de alta de aportación de fondos de una clienta identificada con nombre y apellidos, comprobante de transferencia figurando como ordenante y beneficiario un cliente identificado con nombre y apellidos, test de conveniencia de fondos de inversión de una clienta identificada con nombre y apellidos (incluyendo datos como la formación, experiencia profesional y conocimientos financieros), documento de mantenimiento de canales y medios de pago, a nombre de un cliente identificado con nombre y apellidos, correo electrónico con el asunto “Extracto de cuenta en cuentas. Gestor Morosidad.” en el que aparece una relación de cinco personas con todos sus datos, etc…

 

Las alegaciones de Bankia

La entidad por supuesto acude a su defensa y alega un ejército de documentación exponiendo sus políticas de gestión documental: aporta copia del Documento de Seguridad Maestro, así como el anexo sobre Medidas de Seguridad Soporte Papel, Circular sobre Política General y Normativa General de Seguridad de la Información, así como varios certificados.

Sin embargo no es esa la cuestión de que se trata, la entidad no ha sido acusada de disponer de procedimientos incorrectos, sino del negativo resultado de sus acciones, puesto que por mucho documento que se pueda aportar con las mejores intenciones, lo cierto es que la documentación estaba en la vía pública, al alcance de cualquiera, y repleta de datos personales que incluían análisis financieros.

 

Los Fundamentos de Derecho de la AEPD

La Agencia utiliza como referencia sentencias de la Audiencia Nacional, en las que se indica que:

“No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva
…”.

Es decir, que la teoría está muy bien, pero lo que realmente importa es llevarla a la práctica de forma efectiva.

 

Obligación de resultado

Otra cita jurídica de la Audiencia Nacional:

“Como ha dicho esta Sala en múltiples sentencias… se impone, en consecuencia, una obligación de resultado, consistente en que se adoptan las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros… la recurrente es, por disposición legal una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues es también responsable de que las mismas se cumplan y se ejecuten con rigor”

Y respecto a la alegación de que no se puede demostrar una culpabilidad directa del banco (que llega a insinuar que terceras personas podrían haber arrojado esa documentación a la calle) la AEPD señala que el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, dispone “sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia.”

Por tanto y en resumen, si bien escribir y distribuir dentro de una empresa documentación acerca del tratamiento de datos personales es un paso imprescindible, la actividad no termina ahí, mas bien al contrario es ahí donde empieza, y debe resultar en una protección efectiva del derecho a la intimidad de las personas físicas. La teoría debe funcionar en la práctica, por que si no, llega la sanción.

Y así la Directora de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad BANKIA, S.A., por una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.1.2.4 y .5 de la citada Ley Orgánica.

 



Deja un comentario

WhatsApp Le atendemos por Whatsapp