Sancionada con 3.000 euros por abandonar en la vía pública documentación de sus clientes (PS 464/2020 AEPD)

La Agencia Española de Protección de Datos (AEPD), en su procedimiento Nº PS/00464/2020, ha impuesto la multa de 3.000 euros a una mercantil por abandonar en la vía pública documentación con datos de carácter personal de clientes y proveedores sin destruirla.

No es la primera vez, ni seguramente la última, que la AEPD sanciona a una persona física o jurídica por abandonar documentación con datos personales de sus clientes. De hecho, no hace tanto, nos hacíamos eco en E&J de otra sanción impuesta a un abogado por arrojar a la basura documentación con datos de carácter personal de sus clientes sin el mínimo cuidado y respeto a la normativa de protección de datos.

«La conducta observada es profundamente negligente» (Fuente: Pixabay)

Antecedentes

En agosto de 2020, tiene entrada en la AEPD boletín de denuncia de la Policía Foral de Navarra (reclamante), manifestando el abandono de documentación de clientes y proveedores de una mercantil (reclamada), con contenido de carácter personal, junto a un contenedor de basura y al acceso de terceros.

El objeto social de la mercantil reclamada es el almacenaje, distribución y transporte por el territorio nacional y extranjero de toda clase de mercancías.

Según el Informe redactado por la propia Policía Foral de Navarra, unas de sus patrullas, a su paso por el polígono Ezkarbarte de Arre, observó la existencia de documentación abandonada (cartas, albaranes, etc.) en la vía pública con datos personales de transportistas y clientes (nombres y apellidos, números DNI y números de teléfono) provenientes de la empresa reclamada.

La Policía Foral de Navarra, tras comprobar que la empresa ya no operaba en la zona por haber cesado su actividad en la nave que tenían alquilada, intentaron contactar con la reclamada por otros medios. Así, en junio de 2020, aquellos recibieron un mensaje con la siguiente respuesta:

“Buenos días,

En respuesta a las fotos recibidas El día XX/YY/2020 desalojamos las instalaciones (…).

Retirando las mercancías y el material de oficina y ‘archivos que pudimos’.

En ese momento no volvimos a tener acceso ni llaves de las instalaciones”.

Procedimiento sancionador

Una vez iniciado el procedimiento sancionador por la Directora de la AEPD, Mar España Martí, en el fundamento de derecho quinto de la resolución se informa que, de la documentación obrante en el expediente, “se ofrecen indicios evidentes de que el reclamado ha vulnerado el art. 32.1 del Reglamento General de Protección de Datos (RGPD), al producirse una brecha de seguridad en sus sistemas”, permitiendo el acceso a datos de carácter personal contenidos en documentos que fueron abandonados por el mismo con posible vulneración de medidas de seguridad.

En el presente caso, tal y como se deduce del expediente de investigación, la AEPD trasladó al reclamado el escrito de reclamación presentado para su análisis, solicitándole la aportación de información relacionada con la incidencia reclamada. En cambio, la Agencia no recibió respuesta alguna del reclamado.

A juicio de la AEPD, la responsabilidad de la mercantil viene determinada “por el incidente/quiebra de seguridad puesta de manifiesto por la Policía Foral de Navarra, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico”. En cambio, de la documentación aportada, no solo se desprende que la compañía ha incumplido tal obligación, “sino que además se desconoce la adopción de medidas al respecto, a pesar de haberle dado traslado de la reclamación presentada”, sostiene la AEPD.

Así las cosas, de conformidad con lo anterior, se estima que el reclamado sería presuntamente responsable de la vulneración del art. 32.1 del RGPD, infracción tipificada en el art. 83.4.a) del mismo texto normativo.

Sanción de multa

A efectos de establecer el importe de la sanción de multa a imponer en el presente caso por la infracción tipificada en el art. 83.4.a) del RGPD de la que se responsabiliza al reclamado, se estiman concurrentes los siguientes factores:

• El alcance meramente local del tratamiento llevado a cabo por el reclamado.
• La naturaleza y gravedad de la conducta infractora, pues la documentación abandonada afecta a los datos personales de numerosas personas.
• No consta que la mercantil reclamada haya adoptado medidas para evitar que se produzcan incidencias similares.
• Incidiendo en la ausencia de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la misma, no consta, tampoco, que la reclamada haya respondido al requerimiento informativo de la AEPD
• Aunque no se tiene constancia de que el reclamado hubiera obrado dolosamente, la conducta observada es profundamente negligente.
• La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
• El reclamado es una pequeña empresa.

Por lo tanto, conforme a la legislación aplicable y una vez valorados los criterios de graduación de las sanciones, la Directora de la AEPD impone a la mercantil una multa de 3.000 euros por la infracción del art. 32.1 del RGPD, tipificada en el art. 83.4.a) del mismo cuerpo legal y considerada, a efectos de prescripción, como infracción grave.