Un empleado tira documentación a la basura: sanción por falta de medidas

La AEPD recibió un informe de la Policía Local tras ser alertada por el padre de un menor sobre la presencia de una caja de cartón con documentación personal visible en un contenedor de basura en la vía pública, junto al campo de fútbol de un Club deportivo. En dicha caja se hallaron más de 1.400 carnés federativos, fichas con fotografías, nombres, apellidos, domicilios, DNI, teléfonos, datos de padres o tutores, correos electrónicos y números de cuenta, mayoritariamente relativos a menores de edad. También se encontró un DNI original sin chip.

Los agentes trasladaron el contenido a la Jefatura de Policía y contactaron con el gerente del club, quien reconoció que durante tareas de limpieza alguien pudo haberse confundido y deshacerse de dicha caja por error, aunque afirmó desconocer la identidad de la persona responsable.

La AEPD consideró que el club, como responsable del tratamiento de estos datos personales, no garantizó su seguridad e incumplió el principio de integridad y confidencialidad exigido por el artículo 5.1.f) del RGPD. La falta de medidas organizativas adecuadas permitió que datos personales sensibles, incluyendo los de menores, terminaran en un contenedor accesible para cualquier viandante. El hecho de que no se identificara al responsable directo del vertido no eximió al club de su obligación de asegurar el correcto tratamiento de los datos.

En su análisis, la AEPD destacó la ausencia de un sistema seguro para almacenar y destruir la información una vez finalizada su utilidad, así como la carencia de controles internos para evitar el acceso o eliminación no autorizada de documentación sensible. Se valoró negativamente la exposición pública de datos especialmente protegidos y la afectación a derechos de menores.

La AEPD impuso al reclamado una multa de 1.000 euros por infracción del artículo 5.1.f) del RGPD y le ordenó adoptar en un plazo de tres meses medidas técnicas y organizativas para garantizar la confidencialidad e integridad de los datos personales que gestiona, establecer un sistema seguro de destrucción documental y fijar plazos máximos de conservación ajustados a la finalidad de los datos.

Es de destacar que el hecho de que la actuación negligente de un empleado o tercero no exime al Club de su responsabilidad, en cuanto responsable de la correcta utilización de las medidas de seguridad que deberían haber garantizado que cientos de documentos no acabasen en un contenedor de basura, a disposición de cualquiera que pasase por la vía pública.