Aunque la incidencia planteada fue debida a un error humano, la Agencia apercibe a Agencia Española de la Administración Tributaria porque vulnerar la normativa en materia de protección de datos.
Se remitieron datos fiscales, - la liquidación provisional por el concepto del IRPF del ejercicio 2019-, a un tercero, sobrino de la reclamante sin que éste ostentara ningún tipo de representación, pese a lo cual se le notifica en “calidad de representante” de la destinataria de la liquidación.
El error devino por un alta en el registro de sucesores: en lugar de considerar al notificado como sucesor de la madre de la reclamante (abuela del notificado), se anotó erróneamente el DNI de la reclamante (tía del notificado), confundiendo los documentos de identidad de las dos mujeres.
El deber de confidencialidad tiene como finalidad evitar que se realicen filtraciones de los datos no consentidas por los titulares de los mismos, y como tal, es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento, además de ser una obligación complementaria del deber de secreto profesional.
Aunque el RGPD no establece un listado de las medidas de seguridad aplicables de acuerdo con los datos que son objeto de tratamiento, sino que establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento, -teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas-, éstas deben resultar adecuadas y proporcionadas al riesgo detectado, y esta determinación de las medidas técnicas y organizativas debe realizarse teniendo en cuenta la seudonimización y el cifrado, la capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, la capacidad para restaurar la disponibilidad y acceso a datos tras un incidente, proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas.
En todo caso, al evaluar la adecuación del nivel de seguridad lo relevante es tener en cuenta los riesgos que presente el tratamiento de datos, como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos y que pudieran ocasionar daños y perjuicios físicos, materiales o inmateriales.
Y la responsabilidad de Hacienda viene determinada al no haberse adoptado medidas que eviten errores como el producido, ya que es el responsable de tomar decisiones destinadas a implementar y adecuar de manera efectiva las medidas técnicas y organizativas apropiadas a fin de garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico.