La Agencia Española de Protección de Datos sanciona a una oficina de farmacia por incumplir las medidas de seguridad en el tratamiento de los datos, al depositar en un contenedor de basura público una gran cantidad de documentación de índole sanitaria con datos personales.
Los hechos se denuncian por un particular, vecino de la zona, y aporta con la denuncia 49 imágenes y 68 vídeos, que muestran una gran cantidad de documentos vertidos en un contenedor de basura, siempre el mismo. Los documentos aparecen amontonados, en la mayoría de ocasiones sin ningún tipo de empaquetado o envoltura, y rotos a mano en varios fragmentos de gran tamaño (entre dos y cuatro fragmentos para cada documento, en su mayor parte rotos en sentido vertical), que no impiden ver la información que contienen.
En los documentos constan los datos personales de decenas de afectados, entre los que figuran clientes de la farmacia y usuarios de una Residencia Municipal. La Guardia Civil una vez que tuvo conocimiento de los hechos se persona y accede al contenedor de basura doméstica próximo al establecimiento de farmacia encontrando copias de hojas de medicación, facturas con datos personales y otros en los que aparecen prescripciones de medicamentos, también con datos personales.
El titular de la farmacia intenta defenderse alegando que incluso ha podido ser el propio denunciante quien gracias a un minucioso trabajo de extracción de los trozos de los documentos del contenedor, consiguiendo que ninguno de ellos se ensucie o se pierda los obtuvo y rompió con posterioridad antes de sacarle las fotos en la vivienda, antes de tirarlo en el contenedor y proceder, posteriormente, a obtener más imágenes y videos. Incluso, sugiere que no existen más fundamentos para sancionarle que los que pudiera haber para sancionar al denunciante.
Para la Agencia, este alegato defensivo no son más que suposiciones que no enervan la presunción de comisión de los hechos por el titular la farmacia, constitutivos de una infracción de los artículos 32 (LA LEY 6637/2016) y 5.1.f) del RGPD por la violación de la seguridad de los datos personales que ha posibilitado el acceso por terceros a los datos contenidos en documentos que fueron abandonados en un sitio público.
No es aceptable que los posibles terceros tales como los proveedores o una Residencia de Mayores coincidieran en el mismo sitio y en tantos días diferentes para depositar en el contenedor de basura la documentación.
Es también llamativo que los documentos hallados se encontraban rotos a mano en varias partes (entre dos y cuatro fragmentos para cada documento, en su mayor parte rotos en sentido vertical, que no impiden ver la información que contienen), pero no destruidos usando una máquina trituradora de papel, a pesar de que el establecimiento cuenta con una máquina de este tipo y su la política de seguridad así lo prevé.
En definitiva, los hechos ponen de manifiesto que la entidad denunciada no ha respetado de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar la seguridad y confidencialidad de los datos, especialmente las dirigidas a impedir el acceso a la información por terceros no autorizados. Y ello, aunque no se cuestiona la idoneidad o adecuación de las medidas y protocolos implantados por la parte denunciada para garantizar la seguridad de la información de la que es responsable, -pues posee una máquina destructora de papel y su política de seguridad prevé su uso- sino su incumplimiento.