La Agencia Española de Protección de Datos (en adelante, AEPD) ha sancionado por vulneración del principio de integridad y confidencialidad y por la infracción de la seguridad del tratamiento a una empresa de cruceros imponiendo una sanción de 15.000€.
Los hechos son los siguientes: Con intención de solicitar información general sobre un crucero, la parte reclamante se puso en contacto con la empresa de cruceros. Cinco días más tarde, la parte reclamante recibió como respuesta, por error, un correo electrónico automático que incluía un documento con una oferta de un crucero dirigida a una persona desconocida, conteniendo, además, datos personales de esa persona, su acompañante, y detalles del crucero objeto de la oferta (datos personales de terceros). La parte reclamante contestó al correo diciendo que no tenía nada que ver con ello, y, finalmente, la oferta fue anulada, pero no le dieron ningún tipo de explicación.
La empresa de cruceros alegó que el mensaje, fue enviado por error a su dirección de correo electrónico.
La AEPD impone a la empresa de cruceros a la que se reclama:
- Multa de 10.000 euros, por una infracción del art. 5.1.f) del Reglamento General de Protección de Datos (principio de integridad y confidencialidad).
- Multa de 5.000 euros, por una infracción del art. 32 del Reglamento General de Protección de Datos (seguridad en el tratamiento).
Los argumentos en los que descansa la decisión contenida en el cuerpo de la resolución son los que siguen:
Respecto de la infracción de los principios de integridad y confidencialidad previstos en el art. 5.1. f) del RGPD, la AEPD dice que “los datos personales de los afectados fueron indebidamente expuestos a un tercero.” La Agencia también pone de manifiesto que la empresa de cruceros reclamada no ofreció a la persona reclamante “ningún tipo de explicación en lo referente a los datos de terceras personas.”
Además, y respecto de la alegación efectuada por la empresa reclamada consistente en manifestar que el incidente consistió en error humano, aislado, y fortuito, la Agencia razona que “el hecho de que fuese la actuación negligente de una empleada no le exime de su responsabilidad en cuanto encargado de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado.” Asimismo, “el encargado del tratamiento responde también por la actuación de sus empleados y no puede excusarse en su actuación diligente, separadamente de la actuación de sus empleados, sino que es la actuación “culpable” de éstos, consecuencia de la violación de las medidas de seguridad existentes la que fundamenta la responsabilidad de la empresa en el ámbito sancionador por actos “propios” de sus empleados o cargos, no de terceros.”
Respecto de la infracción del art. 32 RGPD (seguridad en el tratamiento), la AEPD pone de manifiesto que “no se da ninguna explicación ni se comunica la adopción de medida alguna en cuanto a la brecha de confidencialidad de los datos personales de los clientes a quienes iba destinada la oferta erróneamente enviada a la parte reclamante.” Además, la AEPD pone de manifiesto que la empresa de cruceros reclamada no hace ejercicio alguno en orden a justificar “la suficiencia de tales medidas para evitar brechas de seguridad similares en el futuro.”
La resolución de la AEPD también responde a las alegaciones presentadas por la empresa infractora en lo referente a la prescripción y al non bis in idem.
- La Agencia argumenta no haber lugar a la prescripción de la infracción, dado que se trata de una infracción permanente y, por tanto, el plazo comenzará a correr desde que finalizó la conducta infractora.
- La AEPD interpreta que los hechos “determinan la comisión de dos infracciones diferenciadas”, y hace un ejercicio de diferenciación de las conductas en las que la empresa infractora ha incurrido: “por un lado, no se ha garantizado la confidencialidad de los datos personales de dos clientes(…), que supone una infracción del artículo 5.1.f) del RGPD y, por otro, se pone de manifiesto la falta de adopción (…) de unas medidas técnicas y organizativas que garanticen la seguridad y confidencialidad del tratamiento, tal y como exige el artículo 32 del RGPD, al no existir medidas que evitasen el envío de un correo automático con datos de clientes a un tercero.
