La AEPD es la principal entidad de nuestro país dedicada al cumplimiento de la ley de Protección de Datos y a proteger la privacidad de los ciudadanos.

Y precisamente esta entidad ha cometido un error esta semana. En una resolución dictada por esta entidad se publicaron los datos personales de una persona denunciante.

Esa ciudadana había denunciado a la empresa Grupo Libitec por enviarle comunicaciones comerciales sin su consentimiento. Y en la resolución de esta reclamación aparecen el nombre y apellidos de la persona denunciante. Esto supone un grave error en el cumplimiento de la normativa de Protección de datos, que lo prohíbe expresamente.

Publicar datos personales de personas sin consentimiento

La AEPD ha reconocido inmediatamente ese fallo de seguridad y ha corregido la resolución, sustituyendo el nombre y apellidos por las iniciales (como debería haber aparecido desde el principio).

Esa denunciante afectada informó del error a la AEPD a través de la Asociación de consumidores Facua, de la que es socia.

Se trata de un error bastante grave ya que infringe tanto la normativa interna de la AEPD como la LOPDGDD, que prohíben la publicación de datos personales sin consentimiento expreso del titular.

Según el RGPD, en estos en casos de infracciones muy graves las multas pueden llegar hasta los 20 millones de euros. En el caso concreto podrían llegar hasta los 20.000 euros o, en casos más graves, superar los 50.000 euros. Pero la AEPD tendría que multarse a sí misma, y eso no va a suceder.

Disociación de los datos personales

La normativa interna de la AEPD establece la disociación de los datos personales antes de publicar sus resoluciones. Y en la LOPDGDD se regula el deber de secreto y la comunicación de datos personales previo consentimiento expreso del titular.

En cumplimiento de la obligación exigida de notificar las brechas de seguridad, la AEPD confirma que ya se lo ha comunicado a la persona afectada dentro del plazo de 72 horas.

La AEPD, una vez descubierto el fallo, ha sustituido los datos del documento inicial por datos anonimizados y ha notificado ese fallo al afectado en 72 horas. Ahora deberá evaluarse ese incidente de seguridad por el departamento encargado de analizar las brechas de seguridad que se notifican a la AEPD.

Pero esta no es la única resolución en la que por error se publican los datos personales de un ciudadano. Existen unas 500 resoluciones publicadas desde el año 2005 en las que aparecen datos personales sin anonimizar.

El asunto es bastante grave, ya que, aunque se archiven las actuaciones, los datos personales quedan en esa resolución. Y si cualquier persona sube a Internet la resolución, quedaría indexada en Google. Es un incumplimiento del deber de secreto y una vulneración de la privacidad de los ciudadanos.

Desde la AEPD se han comprometido a revisar los procedimientos internos de revisión de las resoluciones. Actualmente existe un proceso automatizado de anonimización de las resoluciones y después se revisan manualmente antes de su publicación en la web. Pero, a pesar de esa doble revisión, siguen colándose errores. Por lo que tendrán que imponer nuevas medidas para evitar cualquier otro fallo.

Escribe aquí tu comentario

Deja un comentario

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. La seguridad social ha enviado un correo electrónico a una persona ajena por error qué contiene mi nombre y apellidos número de DNI dirección teléfono correo electrónico y número de cuenta bancaria
    Qué puedo hacer?

    Contestar

  2. El Banco en el que mi madre, fallecida, y yo éramos cotitulares únicos de una cuenta, ha entregado a mi hermano, también heredero, pero no cotitular, los movimientos correspondientes a los cinco años anteriores al fallecimiento, con lo que no puedo estar conforme puesto que en principio, según tengo entendido, el Banco solo está obligado a certificar el saldo de la cuenta a la fecha del fallecimiento y los datos posteriores. El Banco, ante el que he reclamado, alega en su defensa una tácita autorización al no haberme opuesto expresamente, lo que creo que es contrario a la Ley sobre protección de datos. Puedo denunciar los hechos ante la AEPD?

    Contestar

      1. Hola, he pegado a trabajar en una empresa para realizar una campaña de duración determinada. Somos 8 supervisores para hacer control de unas 300 personas. La empresa ha creado 2 grupos de wasap. En uno estamos los supervisores y en el otro los 300. En el grupo de 300 han publicado nombre apellidos DNI y teléfono de todos los componentes de ambos grupos.
        Esto es legal ? Que podemos hacer?

        Contestar

        1. Buenas tardes Leonor, para publicar esos datos en whatsapp es necesario el consentimiento de los titulares. Si han dado su consentimiento sí es legal, sino, podéis solicitar que se retiren esos datos

          Contestar