Obligación de resultado en privacidad documental

Tener muy bien documentado y por escrito todo un procedimiento de gestión documental es un paso fundamental para la correcta administración, pero esto no exonera del hecho fundamental, que no es otro que la obligación de los responsables de ficheros de que las medidas implantadas funcionen de forma efectiva.

El Procedimiento Nº PS/00087/2015 instruido por la Agencia de Protección de Datos (AEPD) contra una clínica dental se inicia tras la presentación de un escrito de la  Junta de Castilla y León (Delegación Territorial de Valladolid), en el que se ponía en conocimiento de la AEPD  determinados hechos que pudieran ser constitutivos de una infracción de la Ley Orgánica de Protección de Datos (LOPD).

Concretamente se referían al hallazgo en vía pública de restos biológicos junto a fotografías y documentación con datos de carácter personal pertenecientes a la clínica dental. De hecho la directora del centro admitió desde el principio el origen de todos los papeles.

La AEPD decidió entonces iniciar el procedimiento sancionador  por vulneración de los artículos 9 y 10 de la LOPD, a lo cual desde la empresa se alegó que se trataba de  un acto puntual y esporádico, teniendo adoptados los medios necesarios para que estas incidencias no se produzcan, y que se daba un reconocimiento expreso y espontáneo de los hechos.

Más en concreto explicaron respecto a la incidencia, que en el momento de los hechos se produjo una anomalía, ya que al proceder a la limpieza y mantenimiento de la clínica se confundieron distintos tipos de desechos y finalmente, entremezclados, pudieron terminar en el contenedor de residuos.

Es muy importante entender el concepto de responsabilidad que la AEPD ha fijado en numerosas ocasiones, y éste es un buen ejemplo de ello: no sólo se trata de fijar políticas de seguridad y ponerlas por escrito en bonitos documentos, sino que el elemento clave de todo el asunto es que al final del camino todo ello resulte en una efectiva custodia y destrucción final de la información con datos personales. Se pueden preveer por escrito todas las situaciones posibles, pero cuando los datos acaban en la basura a la vista de cualquiera… es obvio que el trabajo no se ha hecho bien.

La AEPD lo explica así:

Se alega por parte de la denunciada que ha adoptado las medidas de protección de datos de carácter personal que se han plasmado en el documento de seguridad cuya copia se ha adjuntado a su escrito de alegaciones, y que recoge en su apartado 6 la “gestión de soportes y documentos” y que cuenta con un protocolo de seguridad que debe evitar que se produzcan estos incidentes tales como la destrucción de los soportes que vayan a causar baja. Dichas circunstancias, sin perjuicio que deban tenerse en cuenta a la hora de graduar la sanción no exonera la responsabilidad de la entidad denunciada, en base a la interpretación dada por la Audiencia Nacional, en la recurso 559/2007, que desestimaba el recurso de una entidad basado en la existencia de responsabilidad de unos de sus empleados

Y es por ello que finalmente la Directora de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad XXX S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h de dicha norma, una multa de 4.000 € (cuatro mil euros) de conformidad con lo establecido en el artículo 45.5 y 4 de la citada Ley Orgánica.

 



1 comentario

Deja un comentario