Acceso público a datos sensibles: nombre y DNI

Una persona presentó una reclamación ante la AEPD por facilitar públicamente mediante un enlace a una hoja de cálculo el acceso a datos personales sensibles (nombres y DNI) de más de 10.800 personas que habían rellenado un formulario de candidatura. Según la reclamación, el procedimiento de selección del reclamado consistía en contactar a los candidatos telefónicamente y, a continuación, remitirles un correo electrónico con un enlace a un formulario de Google que solicitaba el consentimiento para el tratamiento y cesión de sus datos. Sin embargo, este correo contenía también un segundo enlace, sin restricciones de acceso, que dirigía a una hoja de cálculo en Google con datos personales de miles de personas, entre ellos su nombre completo y número de DNI, recopilados desde 2020.

La persona reclamante proporcionó a la AEPD una extensa documentación que incluía el documento Excel con los datos personales, enlaces a los documentos accesibles, capturas del correo remitido por el reclamado y del contenido de la hoja de cálculo. A raíz de esta reclamación, la AEPD dio traslado al reclamado, quien respondió reconociendo un “error administrativo puntual” causado por un técnico de selección recientemente incorporado, que incluyó por equivocación el enlace interno con acceso abierto a dicha hoja de cálculo. El reclamado afirmó haber implementado varias medidas correctivas inmediatas tras conocer el incidente, como el bloqueo del enlace, la limitación del acceso únicamente al personal autorizado, la actualización del procedimiento de selección de candidatos, y la notificación al candidato afectado.

Además, se adoptaron medidas adicionales como la implementación de filtros para que solo se pudiera acceder a los datos esenciales de candidatos con consentimiento y que estos fueran eliminados pasados 18 meses. También se valoró la designación de un Delegado de Protección de Datos (DPD), dada la magnitud del tratamiento de datos y el número de empleados, y se comunicó internamente un nuevo protocolo de gestión del proceso de selección.

El reclamado reconoció que los hechos derivaron de la falta de control previo y que las medidas correctivas fueron adoptadas únicamente después del aviso por parte de la AEPD. También admitió que no existían controles previos suficientemente eficaces para evitar este tipo de accesos indebidos.

La AEPD inició un procedimiento sancionador al considerar que los hechos eran constitutivos de una infracción del artículo 5.1.f) del RGPD, que establece la obligación de garantizar una seguridad adecuada de los datos personales mediante medidas técnicas y organizativas apropiadas. En este caso, se apreció que el acceso libre a un listado de candidatos con datos sensibles sin ninguna restricción constituía una vulneración del principio de confidencialidad, máxime considerando que la actividad principal del reclamado implica un manejo continuo de datos personales.

La AEPD subrayó que la infracción fue especialmente grave, no solo por la cantidad de datos expuestos (más de 10.800 personas), sino también por la negligencia demostrada en el tratamiento de la información, que podría haberse evitado con medidas adecuadas. El error no fue intencionado, pero sí resultado de una deficiente gestión y control interno. Además, se tuvo en cuenta que el tratamiento de datos forma parte esencial de la actividad del reclamado y que este tipo de incidentes pueden tener consecuencias muy perjudiciales para los derechos de las personas afectadas.

La AEPD consideró también la jurisprudencia existente sobre la exigencia de diligencia para entidades que manejan datos personales de forma habitual, recordando que una actuación profesional requiere el máximo cuidado en el cumplimiento normativo. En este caso, el reclamado no demostró la diligencia exigible, lo que agravó la valoración de la infracción.

Para determinar la sanción, la AEPD aplicó los criterios del artículo 83.2 del RGPD, teniendo en cuenta la naturaleza y gravedad de la infracción, el número de personas afectadas, la negligencia en la conducta, la vinculación de la actividad del reclamado con el tratamiento de datos y la adopción de medidas tras el incidente. En base a estos factores, la AEPD consideró procedente imponer una sanción de 35.000 euros, conforme al artículo 83.5.a) del RGPD, que prevé multas de hasta 20 millones de euros o el 4% del volumen de negocio.

Además, se contempló la adopción de medidas correctoras, consistentes en la obligación de ajustar los tratamientos a la normativa en un plazo de seis meses, incluida la evaluación de los controles implementados por el DPD, la mejora en los procedimientos de envío de correos y la limitación del acceso a datos a lo estrictamente necesario.

El reclamado optó por acogerse a las reducciones previstas en el artículo 85 de la LPACAP, reconociendo su responsabilidad y realizando el pago voluntario de la sanción dentro del plazo legal. Esto supuso la aplicación de una reducción del 40% sobre el importe inicial de 35.000 euros, quedando la sanción final en 21.000 euros. Esta conducta implicó también la renuncia a interponer recursos en vía administrativa, tal y como exige la normativa para aplicar las reducciones.

La AEPD declaró formalmente la comisión de la infracción y resolvió confirmar la sanción propuesta, ordenar la implementación de las medidas correctoras establecidas, y declarar finalizado el procedimiento sancionador al haberse producido el pago voluntario con reconocimiento de responsabilidad.

En conclusión, el procedimiento evidenció una grave deficiencia en la protección de datos por parte del reclamado, que expuso sin control datos personales de miles de personas. La AEPD valoró la negligencia y el riesgo para la confidencialidad de los datos y resolvió en consecuencia, imponiendo una sanción relevante y medidas adicionales para asegurar el cumplimiento normativo. Esta resolución refuerza la necesidad de que las empresas que gestionan datos personales adopten medidas técnicas y organizativas rigurosas y proactivas para evitar accesos indebidos, incluso cuando estos ocurran de forma involuntaria.

La AEPD resolvió imponer una multa de 35.000 euros al reclamado, quien optó por el pago voluntario y el reconocimiento de responsabilidad, beneficiándose así de una reducción del 40%. La cuantía definitiva de la sanción ascendió a 21.000 euros. Además, la AEPD ordenó al reclamado adoptar medidas correctoras en un plazo de seis meses para ajustar sus procedimientos a la normativa.