El pasado 30 de enero aparecieron cientos de documentos sin anonimizar en un contenedor de basura frente a la Consejería de Fomento, hechos que fueron denunciados ante la Agencia Española de Protección de Datos por la persona que los encontró
El pasado 30 de enero LasNoticiasRM informaba en exclusiva de la aparición de cientos de documentos técnicos en el contenedor de papel localizado frente a la Consejería de Fomento que dirige José Ramón Díez de Revenga.
Tal como se puede apreciar en el vídeo presente en esta noticia, se encontraron multitud de documentos técnicos que fueron arrojados sin anonimizar y que a simple vista contenían datos personales.
Se trataba de documentos sobre multitud de proyectos de obras como el “Proyecto de Construcción del Vial de Evacuación de Los Barrios Altos de Lorca” fechado en octubre de 2014, o el “Proyecto de Liquidación del nuevo acceso a Los Baños de Mula desde la autovía del Noroeste” fechado en mayo de 2006.
Posible brecha de seguridad
Fuentes consultadas por LasNoticiasRM nos indicaron que dependiendo de la información que contengan los documentos arrojados a la basura se podría estar hablando de una brecha de seguridad.
Nos encontramos ante una brecha de seguridad cuando una organización sufre un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel.
El Artículo 4.12 del Reglamento General Europeo de Protección de Datos (RGPD), indica que la “violación de la seguridad de los datos personales” es aquella que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Es importante recordar que según la ley existe un plazo de 72 horas para notificar la brecha de datos personales que constituya un riesgo para los derechos y libertades de los interesados.
Puesta en conocimiento de la Agencia Española de Protección de Datos
El ciudadano que detectó el suceso, y que prefirió mantener su anonimato, indicó a LasNoticiasRM que en el mismo momento de constatar esta situación, procedió a presentar una denuncia ante la Agencia Española de Protección de Datos por si estos hechos fueran susceptibles de alguna intervención por parte de este organismo.
AEPD responde
La Agencia Española de Protección de Datos contestó en el día de ayer al ciudadano que presentó la denuncia informando que había procedido a informar “al denunciado de la posible infracción del Artículo 32 del RGPD y Artículo 5.1.f) del RGPD y de la necesidad de adecuar los tratamientos que realiza a lo dispuesto en la citada normativa“.
El artículo 32 del RGPD impone a los responsables de un tratamiento de datos personales la obligación de determinar y establecer las medidas de seguridad técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo en función del estado de la técnica, los costes de aplicación y, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas.
A fin de mantener la seguridad de los tratamientos se exige al responsable evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos. En dicha evaluación del riesgo deben tenerse en cuenta los riesgos que atenten contra los derechos y libertades de los interesados, especialmente sus derechos y libertades fundamentales.
En relación al artículo 5.1.f) del RGPD expone que los datos personales serán tratados de tal manera que se garantice la confidencialidad e integridad. Ya en la LOPDGDD se establece el deber de confidencialidad de los datos en su artículo 5.
Además advierte a la consejería de Díez de Revenga que “en el caso de que se constatase la no adopción por parte del denunciado de las medidas correctoras que, en su caso, fueran necesarias, se iniciarían las actuaciones previstas para supuestos de incumplimiento en la normativa precitada, acordes con las potestades de investigación y sancionadora de la Agencia”.
La Consejería negó los hechos
La Consejería de Fomento negó los hechos, y transmitió a quienes preguntaron que todo se trataba de un montaje y que no había datos personales en los documentos.
Pero la respuesta dada por la Agencia Española de Protección de Datos parece que demuestra que efectivamente se podría haber vulnerado le legislación y por ello ha advertido a la consejería que en caso de volver a reincidir ser vería expuesta a la apertura de un expediente sancionador por parte de la AEPD.
