145.000,00 € de sanción por extraviar un USB con datos personales
Un empleado de una empresa sufrió el robo de una mochila en la que se encontraba un USB con datos personales que estaban incluidos en la información relativa a un procedimiento judicial penal. El dispositivo USB que salió de las instalaciones del responsable no contaba con cifrado ni otras medidas de protección. El incidente fue notificado a la AEPD 13 días después de su detección. Aunque el reclamado alegó que no había evidencia de acceso a los datos ni perjuicio efectivo a terceros, la AEPD consideró que el riesgo era evidente por tratarse de datos sensibles sin protección adecuada.
La AEPD evaluó la conducta del reclamado en relación con dos obligaciones clave: la confidencialidad de los datos y la seguridad de los tratamientos. Consideró que el simple hecho de haber almacenado información de alto riesgo en un dispositivo sin cifrado ni barreras técnicas suponía una vulneración del principio de confidencialidad, independientemente de que se hubiera producido o no un acceso indebido posterior. Además, subrayó que el artículo 32 del RGPD exige medidas adecuadas al riesgo, lo que en este caso no se cumplió al no haberse adoptado mecanismos básicos como el cifrado.
Asimismo, la AEPD rechazó los argumentos del reclamado sobre la falta de culpabilidad, recordando que la existencia de dolo no es imprescindible, y que la negligencia también puede ser sancionada. Aunque se valoraron las medidas internas adoptadas por el reclamado y la notificación a la AEPD, se destacó que dichas acciones eran obligatorias por ley y no podían considerarse atenuantes.
Por todo lo anterior, la Directora de la AEPD resolvió imponer al reclamado dos sanciones económicas, sumando un total de 145.000 euros. La resolución concluyó que la falta de medidas de seguridad adecuadas y la omisión del cifrado constituían una infracción grave, especialmente tratándose de datos relativos a procedimientos penales.
En definitiva, con independencia de que puede ser imposible evitar que se produzcan brechas de seguridad, es imprescindible que el responsable del tratamiento analice, establezca y documente las medidas de seguridad necesarias para que los empleados puedan llevarse dispositivos con datos personales.