Una asesoría es sancionada con 2.000 euros por enviar un documento a la persona incorrecta (PS 376/2020 AEPD)
Una asesoría es sancionada con 2.000 euros por enviar un documento a la persona incorrecta (PS 376/2020 AEPD)
En el procedimiento Nº PS/00376/2020, la Agencia Española de Protección de Datos (AEPD) ha sancionado con 2.000 euros a una asesoría andaluza por enviar a un cliente un certificado de reclamación de deuda no solicitado con datos personales de un tercero.
La AEPD considera infringidos los arts. 32 y 5.1.f) del Reglamento General de Protección de Datos (RGPD).
Antecedentes
El reclamante (Vicepresidente de una comunidad de propietarios) solicitó a la asesoría (reclamada) una copia de un certificado emitido de reclamación de deuda de un copropietario deudor. En cambio, esta última, en vez de enviarle el citado documento, le remitió una copia de un certificado de deuda, pero perteneciente a un tercero, vulnerando así el deber de confidencialidad.
Tras tener conocimiento de ello, la AEPD requirió en dos ocasiones (junio y julio de 2020) a la asesoría para que en el plazo de un mes le remitiese información sobre las cusas que motivaron tal incidencia, un informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares, fechas de implantación y controles efectuados para comprobar su eficacia. En cambio, la entidad reclamada no contestó.
En octubre de 2020, la Directora de la AEPD, Mar España Martí, acordó admitir a trámite la reclamación presentada por el reclamante contra la reclamada.
En diciembre de 2020, tras iniciarse el procedimiento sancionador contra la reclamada por las presuntas infracciones de los arts. 5.1.f) y 32 del RGPD tipificadas en los arts. 83.5 a) y 83.4 a) del RGPD, la asesoría presentó escrito de alegaciones en el que, en síntesis, solicitaba “la anulación del expediente por no ir dirigido a la persona correcta y la anulación del expediente por estar indefenso esta empresa que no ha podido conocer anteriormente que se cocía en este asunto”.
En febrero de 2021, tras acordarse la apertura del oportuno periodo de práctica de pruebas, se formuló por la AEPD propuesta de sanción a la asesoría, por las ya reiteradas infracciones de los arts. 5.1.f) y 32 del RGPD.
Respuesta a las alegaciones
En respuesta a las alegaciones presentadas por la entidad reclamada, la AEPD señala lo siguiente:
Por un lado, respecto a la afirmación que hace la asesoría cuando indica que “la anulación del expediente por no ir dirigido a la persona correcta”, la Agencia confirma que consta en el presente procedimiento sancionador un certificado emitido el 15 de enero de 2020 por la reclamada a través del Secretario-Administrador, dirigido al reclamante como Vicepresidente de la comunidad de propietarios sobre una reclamación de deuda de un copropietario deudor, pero en lugar de enviarle el correcto, le remitieron copia de un certificado perteneciente a un tercero, vulnerando el deber de confidencialidad. Por tanto, “queda acreditada la responsabilidad de la reclamada en la remisión de la certificación de la deuda”, subraya la AEPD.
Por otro lado, respecto a la afirmación que hace la asesoría cuando solicita “la anulación del expediente por estar indefenso esta empresa que no ha podido conocer anteriormente que se cocía en este asunto”, la Agencia recalca que se procedió a su notificación electrónica y mediante el servicio de correos. Es decir, “no se puede tomar en consideración la existencia de un vicio radical de nulidad del presente procedimiento”, tal y como defiende la entidad reclamada. Por tanto, “queda totalmente acreditado que no se ha producido indefensión”, concluye la AEPD.
Brecha de seguridad, agravantes y sanciones
A juicio de la Agencia, de la documentación obrante en el expediente se desprenden “indicios evidentes de que el reclamado ha vulnerado el art. 32 del RGPD, al producirse una brecha de seguridad en sus sistemas”.
Además, observa la AEPD que en el presente supuesto resultan aplicables dos agravantes del art. 83.2 del RGPD. En concreto, las previstas en los apartados b) y g) del citado precepto:
- Estamos ante una acción negligente grave.
- Se encuentran afectados identificadores personales básicos: nombre, apellidos y domicilio.
Así las cosas, la AEPD impone a la asesoría con sede en Huelva, las siguientes infracciones:
- Por la infracción del art. 32 del RGPD, tipificada en el art. 83.4 a) del mismo texto normativo, la sanción sería de apercibimiento requiriéndose a la parte reclamada que proceda, en el plazo de un mes, a adoptar las medidas necesarias para que cese la conducta objeto de esta reclamación, que ha causado la brecha de seguridad denunciada, para que se corrijan los efectos de la infracción cometida y su adecuación a las exigencias contempladas en el art. 32 del RGPD, así como la aportación de medios acreditativos del cumplimiento de lo requerido.
- Por la infracción del art. 5.1 f) del RGPD, tipificada en el art. 83.5 a) del mismo cuerpo legal, la sanción sería una multa por un importe de 000 euros.