La AEPD sanciona a una asesoría jurídica por la sustracción de un dispositivo USB que contenía datos personales relativos a un procedimiento de investigación judicial penal, fue sustraído a la sancionada- responsable del tratamiento de los datos-, causando una brecha de seguridad consistente en una brecha de confidencialidad.
La Agencia de protección de datos recuerda en este sentido que medidas de seguridad son claves a la hora de garantizar el derecho fundamental a la protección de datos. No es posible la existencia del derecho fundamental a la protección de datos si no es posible garantizar la confidencialidad, la integridad y la disponibilidad de estos.
En el presente caso, la Agencia subraya que la entidad sancionada no implementó medidas de seguridad en sus herramientas informáticas que contenía datos personales. Concretamente el USB sustraído no contenía ningún cifrado o medida de seguridad dirigida a imposibilitar el acceso por parte de terceros no autorizados a su contenido.
Ello por sí solo ya supone un incumplimiento del artículo 32 RGPD (LA LEY 6637/2016), que se infringe tanto si no se adoptan por el responsable las medidas de índole técnica y organizativas apropiadas que garanticen la seguridad de los datos personales, como si, establecidas éstas, las mismas no se observan.
Precisamente en el caso de los dispositivos electrónicos de almacenamiento portátiles existe la facultad y posibilidad de protegerlos mediante medidas de seguridad técnicas que imposibiliten o dificulten considerablemente el acceso a los mismos por terceros, y en el caso, al no haber existido ninguna de estas medidas establecida en el USB sustraído, se vulneró el deber de confidencialidad, y ello incluso aunque no se hubiera accedido a los datos porque lo relevante es que sean accesibles. La infracción se comete por la desprotección de los datos, no por el acceso a ellos.
La Agencia insiste en que lo relevante para entender vulnerada la confidencialidad es que la información se encuentra totalmente a la libre disposición de terceros no autorizados y a título de ejemplo sugiere que se debería haber utilizado un código de acceso o contraseña en todos los dispositivos, o un método de autenticación de múltiples factores, en definitiva, se deberían haber activado las funcionalidades de los dispositivos móviles que permiten revocarlos permisos de acceso en caso de pérdida o extravío.
La Agencia evoca la doctrina del TS que viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible, y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto.
En el presente caso, para la Agencia, la activad del recurrente- de asesoría legal- conlleva un constante y abundante manejo de datos de carácter personal por lo que este debió tener un rigor y exquisito cuidado en el manejo de los datos.