El SEPE es sancionado por permitir que una persona accediese a los datos de un tercero al descargarse un certificado de su web

La Agencia Española de Protección de Datos ha impuesto dos sanciones de apercibimiento al Servicio Público de Empleo Estatal al permitir que un particular accediese a los datos personales de un tercero tras intentar descargarse un certificado de la web del organismo público.

La Agencia considera acreditado que el SEPE ha incumplido la normativa de protección de datos, en concreto, sus arts. 5.1.f) y 32.1 del Reglamento General de Protección de Datos.

Hechos probados

En agosto de 2020, tuvo entrada en la AEPD escrito de la reclamante-persona física manifestando que, al ir a descargar un certificado del SEPE, la misma accedió a todos los datos de otra persona.

En concreto, para justificar lo anterior, la reclamante aporta impresión de pantalla de la sede electrónica del SEPE en el que constan los datos personales de un tercero al introducir su propio DNI.

«El deber de confidencialidad tiene como finalidad evitar que se realicen filtraciones de los datos no consentidas por los titulares de los mismos». (Foto: Pixabay)

Después de que noviembre de 2020 el SEPE informase a la Agencia que ya había corregido la incidencia y de que en abril de 2021 la Directora de la AEPD acordarse admitir a trámite la reclamación presentada por la reclamante contra el reclamado, en mayo del mismo año, el organismo autónomo adscrito al Ministerio de Trabajo y Economía Social remitió a la reclamante el siguiente escrito:

“Una vez efectuadas las comprobaciones pertinentes, hemos podido constatar que los certificados por usted solicitados y emitidos por el Servicio Público de Empleo Estatal figuran todos a su nombre y con sus datos, no pudiendo observar anomalía alguna. Asimismo, indicarle que esta respuesta se trasladara a la Agencia Española de Protección de Datos”.

En agosto de 2021, la Directora de la AEPD acordó iniciar el correspondiente procedimiento sancionador al reclamado, por la presunta infracción del art. 5.1.f) del RGPD, sancionada conforme a lo dispuesto en el art. 83.5.a) del citado texto legal y considerando que la sanción que pudiera corresponder sería de apercibimiento.

Deber de confidencialidad

En primer término, a juicio de la AEPD, de la documentación obrante en el expediente se desprenden “indicios relevantes” de que el SEPE vulneró el art. 5 del RGPD (principios relativos al tratamiento), en relación con el art. 5 de la de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, (deber de confidencialidad), al permitir el acceso a los datos de un tercero al descargar un certificado del SEPE.

Este deber de confidencialidad, con anterioridad deber de secreto, tiene como finalidad evitar que se realicen filtraciones de los datos no consentidas por los titulares de los mismos.

Por tanto, ese deber de confidencialidad es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.

Incidente de seguridad

En segundo lugar, de la documentación obrante en el expediente se ofrecen “indicios relevantes” de que el reclamado también ha vulnerado el art. 32 del RGPD, al producirse un incidente de seguridad en su sistema permitiendo el acceso a datos personales de terceros, con quebrantamiento de las medidas establecidas.

Portada del artículo titulado «Un Ayuntamiento es sancionado por notificar por carta una providencia de apremio y otra de embargo con los datos visibles del deudor» publicado el pasado 10/09/2021. (Diseño: Cenaida López/Economist & Jurist)

En el presente caso, aunque el SEPE informó al reclamante que los certificados solicitados y emitidos figuraban todos a nombre del mismo, no existiendo así ninguna anomalía, en palabras de la AEPD “no acreditaba ni justificaba en ningún momento la realidad de lo manifestado”.

Sanciones

Como se señalaba con anterioridad, ha quedado acreditado que el reclamado ha incumplido la normativa de protección de datos, arts. 5.1.f) y 32.1 del RGPD, al permitir el acceso a los datos de un tercero al descargar un certificado del SEPE, con quebrantamiento de las medidas técnicas y organizativas.

Al encontrarnos frente a una entidad o organismo público, la AEPD impone al SEPE dos sanciones de apercibimiento por las dos infracciones de los preceptos arriba aludidos. Asimismo, requiere al mismo para que, en el plazo de mes desde la notificación de esta resolución, acredite la adopción de las medidas pertinentes adecuándolas a la normativa en materia de protección de datos de carácter personal corrigiendo los efectos de las infracciones producidas.