La AEPD es la principal entidad de nuestro país dedicada al cumplimiento de la ley de Protección de Datos y a proteger la privacidad de los ciudadanos.
Y precisamente esta entidad ha cometido un error esta semana. En una resolución dictada por esta entidad se publicaron los datos personales de una persona denunciante.
Esa ciudadana había denunciado a la empresa Grupo Libitec por enviarle comunicaciones comerciales sin su consentimiento. Y en la resolución de esta reclamación aparecen el nombre y apellidos de la persona denunciante. Esto supone un grave error en el cumplimiento de la normativa de Protección de datos, que lo prohíbe expresamente.
Publicar datos personales de personas sin consentimiento
La AEPD ha reconocido inmediatamente ese fallo de seguridad y ha corregido la resolución, sustituyendo el nombre y apellidos por las iniciales (como debería haber aparecido desde el principio).
Esa denunciante afectada informó del error a la AEPD a través de la Asociación de consumidores Facua, de la que es socia.
Se trata de un error bastante grave ya que infringe tanto la normativa interna de la AEPD como la LOPDGDD, que prohíben la publicación de datos personales sin consentimiento expreso del titular.
Según el RGPD, en estos en casos de infracciones muy graves las multas pueden llegar hasta los 20 millones de euros. En el caso concreto podrían llegar hasta los 20.000 euros o, en casos más graves, superar los 50.000 euros. Pero la AEPD tendría que multarse a sí misma, y eso no va a suceder.
Disociación de los datos personales
La normativa interna de la AEPD establece la disociación de los datos personales antes de publicar sus resoluciones. Y en la LOPDGDD se regula el deber de secreto y la comunicación de datos personales previo consentimiento expreso del titular.
En cumplimiento de la obligación exigida de notificar las brechas de seguridad, la AEPD confirma que ya se lo ha comunicado a la persona afectada dentro del plazo de 72 horas.
La AEPD, una vez descubierto el fallo, ha sustituido los datos del documento inicial por datos anonimizados y ha notificado ese fallo al afectado en 72 horas. Ahora deberá evaluarse ese incidente de seguridad por el departamento encargado de analizar las brechas de seguridad que se notifican a la AEPD.
Pero esta no es la única resolución en la que por error se publican los datos personales de un ciudadano. Existen unas 500 resoluciones publicadas desde el año 2005 en las que aparecen datos personales sin anonimizar.
El asunto es bastante grave, ya que, aunque se archiven las actuaciones, los datos personales quedan en esa resolución. Y si cualquier persona sube a Internet la resolución, quedaría indexada en Google. Es un incumplimiento del deber de secreto y una vulneración de la privacidad de los ciudadanos.
Desde la AEPD se han comprometido a revisar los procedimientos internos de revisión de las resoluciones. Actualmente existe un proceso automatizado de anonimización de las resoluciones y después se revisan manualmente antes de su publicación en la web. Pero, a pesar de esa doble revisión, siguen colándose errores. Por lo que tendrán que imponer nuevas medidas para evitar cualquier otro fallo.
La seguridad social ha enviado un correo electrónico a una persona ajena por error qué contiene mi nombre y apellidos número de DNI dirección teléfono correo electrónico y número de cuenta bancaria
Qué puedo hacer?
Buenas tardes Yolanda, eso puedes denunciarlo ante la AEPD
El Banco en el que mi madre, fallecida, y yo éramos cotitulares únicos de una cuenta, ha entregado a mi hermano, también heredero, pero no cotitular, los movimientos correspondientes a los cinco años anteriores al fallecimiento, con lo que no puedo estar conforme puesto que en principio, según tengo entendido, el Banco solo está obligado a certificar el saldo de la cuenta a la fecha del fallecimiento y los datos posteriores. El Banco, ante el que he reclamado, alega en su defensa una tácita autorización al no haberme opuesto expresamente, lo que creo que es contrario a la Ley sobre protección de datos. Puedo denunciar los hechos ante la AEPD?
Buenos días Joaquín, sí podrías denunciar ante la AEPD
Hola, he pegado a trabajar en una empresa para realizar una campaña de duración determinada. Somos 8 supervisores para hacer control de unas 300 personas. La empresa ha creado 2 grupos de wasap. En uno estamos los supervisores y en el otro los 300. En el grupo de 300 han publicado nombre apellidos DNI y teléfono de todos los componentes de ambos grupos.
Esto es legal ? Que podemos hacer?