La AEPD es la principal entidad de nuestro país dedicada al cumplimiento de la ley de Protección de Datos y a proteger la privacidad de los ciudadanos.
Y precisamente esta entidad ha cometido un error esta semana. En una resolución dictada por esta entidad se publicaron los datos personales de una persona denunciante.
Esa ciudadana había denunciado a la empresa Grupo Libitec por enviarle comunicaciones comerciales sin su consentimiento. Y en la resolución de esta reclamación aparecen el nombre y apellidos de la persona denunciante. Esto supone un grave error en el cumplimiento de la normativa de Protección de datos, que lo prohíbe expresamente.
Publicar datos personales de personas sin consentimiento
La AEPD ha reconocido inmediatamente ese fallo de seguridad y ha corregido la resolución, sustituyendo el nombre y apellidos por las iniciales (como debería haber aparecido desde el principio).
Esa denunciante afectada informó del error a la AEPD a través de la Asociación de consumidores Facua, de la que es socia.
Se trata de un error bastante grave ya que infringe tanto la normativa interna de la AEPD como la LOPDGDD, que prohíben la publicación de datos personales sin consentimiento expreso del titular.
Según el RGPD, en estos en casos de infracciones muy graves las multas pueden llegar hasta los 20 millones de euros. En el caso concreto podrían llegar hasta los 20.000 euros o, en casos más graves, superar los 50.000 euros. Pero la AEPD tendría que multarse a sí misma, y eso no va a suceder.
Disociación de los datos personales
La normativa interna de la AEPD establece la disociación de los datos personales antes de publicar sus resoluciones. Y en la LOPDGDD se regula el deber de secreto y la comunicación de datos personales previo consentimiento expreso del titular.
En cumplimiento de la obligación exigida de notificar las brechas de seguridad, la AEPD confirma que ya se lo ha comunicado a la persona afectada dentro del plazo de 72 horas.
La AEPD, una vez descubierto el fallo, ha sustituido los datos del documento inicial por datos anonimizados y ha notificado ese fallo al afectado en 72 horas. Ahora deberá evaluarse ese incidente de seguridad por el departamento encargado de analizar las brechas de seguridad que se notifican a la AEPD.
Pero esta no es la única resolución en la que por error se publican los datos personales de un ciudadano. Existen unas 500 resoluciones publicadas desde el año 2005 en las que aparecen datos personales sin anonimizar.
El asunto es bastante grave, ya que, aunque se archiven las actuaciones, los datos personales quedan en esa resolución. Y si cualquier persona sube a Internet la resolución, quedaría indexada en Google. Es un incumplimiento del deber de secreto y una vulneración de la privacidad de los ciudadanos.
Desde la AEPD se han comprometido a revisar los procedimientos internos de revisión de las resoluciones. Actualmente existe un proceso automatizado de anonimización de las resoluciones y después se revisan manualmente antes de su publicación en la web. Pero, a pesar de esa doble revisión, siguen colándose errores. Por lo que tendrán que imponer nuevas medidas para evitar cualquier otro fallo.