La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado a una entidad pública por infracciones de los artículos 5.1.f) y 38 del Reglamento General de Protección de Datos (en adelante, “RGPD”), relativas, respectivamente, a la vulneración del principio de integridad y confidencialidad y a la falta de garantía de independencia del Delegado de Protección de Datos (en adelante, “DPD”).
El procedimiento se inició a raíz de una reclamación en la que se puso en conocimiento de la AEPD la existencia de una carpeta digital accesible a múltiples empleados que contenía datos personales. La entidad verificó la incidencia, constatando accesos no autorizados, notificando la brecha a la AEPD y comunicándola a las personas afectadas.
En el análisis del expediente, la AEPD constata que la brecha de seguridad permitió el acceso por parte del personal a una carpeta que debía estar restringida al personal administrativo y directivo. Asimismo, se acredita que entre los datos afectados se encontraban tanto datos identificativos como datos de categorías especiales, lo que incrementa el riesgo para los derechos y libertades de las personas afectadas.
La resolución rechaza las alegaciones de la entidad sobre la suficiencia de las medidas de seguridad, señalando que, aunque no existe una obligación de resultado, sí deben implantarse medidas técnicas y organizativas apropiadas al riesgo. En este caso, la AEPD aprecia deficiencias en la prevención y el control de accesos que favorecieron la brecha, determinando la infracción del artículo 5.1.f) del RGPD.
Por otro lado, la AEPD analiza la compatibilidad de funciones del DPD, constatando que la entidad había designado a dicha figura como responsable del Sistema Interno de Información (en adelante, RSII) previsto en la Ley 2/2023. La AEPD concluye que esta acumulación de funciones puede comprometer la independencia exigida al DPD, en la medida en que puede dar lugar a un conflicto de intereses contrario a lo dispuesto en el artículo 38 del RGPD.
La AEPD fundamenta la sanción en los siguientes extremos:
- Acceso no autorizado a datos personales contenidos en una carpeta que debía estar restringida, vulnerando el principio de integridad y confidencialidad (art. 5.1.f) RGPD).
- Insuficiencia de las medidas técnicas y organizativas para prevenir y detectar accesos indebidos a la información.
- Tratamiento de datos que incluían categorías especiales, incrementando el nivel de riesgo asociado a la brecha de seguridad.
- Designación del DPD como RSII, generando una situación de potencial conflicto de intereses contraria al artículo 38 del RGPD.
Con esta resolución, la AEPD refuerza la exigencia de implementar medidas de seguridad efectivas que eviten accesos indebidos a los datos personales, así como la necesidad de garantizar la independencia del DPD dentro de la organización, evitando la acumulación de funciones que puedan comprometer su labor de supervisión.
