La Agencia Española de Protección de Datos (AEPD) ha sancionado a una asesoría con 3.000 euros por el envío de un e-mail a un cliente que contenía, por error, documentación adjunta de otro cliente de dicha asesoría.
Este hecho infringió los artículos 5.1.f y 32.1 del RGPD, “Principio de integridad y confidencialidad” y “Seguridad del tratamiento”, respectivamente. El archivo adjunto contenía datos personales de un tercero al que el destinatario del e-mail tuvo acceso, produciéndose así una vulneración de la confidencialidad de los datos, en este caso debido a un error humano.
Cualquier persona puede cometer un error así, por este motivo en Edorteam siempre insistimos en que los archivos adjuntos que contengan datos personales deben enviarse previamente cifrados. Así lo obliga el artículo 32.1 del RGPD:
“Art. 32.1 Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales
…”
De hecho, el artículo 34 del RGPD, “Comunicación de una violación de la seguridad de los datos personales al interesado”, exime de la obligación de comunicar una brecha de seguridad si la información estaba cifrada.
Este simple gesto preventivo habría evitado la infracción, porque aunque nos equivoquemos de destinatario o de archivo adjunto, la contraseña no se correspondería con la que conocía el receptor del mensaje, y por lo tanto se habría evitado vulnerar la confidencialidad de los datos.
ET Encrypt es un práctico software de cifrado seguro AES 256 con el que puedes cifrar cualquier tipo de fichero en un par de clicks: cómodo, rápido y seguro.
Cifra preventivamente los adjuntos de tu e-mails
Con ET Encrypt cifrarás fácilmente todo tipo de archivos con un algoritmo prácticamente impenetrable, también para enviar información cifrada por e-mail.
3.000 euros de sanción, una cifra importante para una pequeña empresa
A raíz de la denuncia, la AEPD requirió a la asesoría toda la información al respecto que pudiera aportar por su parte. Así como las posibles causas que motivaran el incidente y las medidas que se hayan adoptado para evitar que algo así volviera a suceder.
No obstante, tal y como se explica en la resolución, la asesoría no respondió de forma alguna a los requerimientos de la AEPD. Esto es algo incomprensible, puesto que la AEPD ha considerado como agravante la no cooperación y falta de diligencia.
Por otro lado, se han tenido en cuenta algunos factores como atenuantes:
- Solo se ha visto afectada un persona por el incidente.
- La asesoría denunciada es una pequeña empresa.
- El tratamiento de datos que realiza la asesoría es de alcance local.
La AEPD resuelve el caso multando a la empresa con 2.000 euros por infracción del artículo 5.1.f del RGPD, y 1.000 euros por infracción del artículo 32.1 del RGPD.
0 comentarios