La Agencia recrimina al Ministerio que apareciesen documentos con datos personales en un contenedor de basura orgánica, pero no le impone sanción.
La Agencia Española de Protección de Datos (AEPD) ha sacado a luz pública la Resolución R/01435/2014 donde se plasman los hechos acontecidos en 2012. La Policía Municipal de Madrid encontró a una persona rebuscando en un contenedor de basura orgánica, pero que además retiraba documentación, que al revisarla, descubrieron no sólo que contenía información con datos personales, sino que además, pertenecía al Ministerio de Industria, Turismo y Comercio. En 2013, se denunciaron los hechos ante la citada Agencia, adjuntando parte de la documentación y el resto fueron destruidos.
El Ministerio confirmó que los documentos eran de su propiedad y que correspondían a expedientes derivados de concesión de ayudas. Pero desmentía que pudieran haber expedientes en formato papel, considerando que los hechos pudieron derivarse de la limpieza del despacho de un Vocal Asesor que se jubilaba y que podía ser el propietario de los documentos. Añadieron además su procedimiento para tratar los documentos con datos personales, manifestando que no hay un protocolo definido en su respectivo Documento de Seguridad para su destrucción, que tampoco se han dado instrucciones a los trabajadores sobre como destruir documentación y que han establecido un borrador de un nuevo Documento de Seguridad donde añadirán un apartado detallando cómo solucionar el problema.
La AEPD se pronunció al respecto diciendo que «la localización de documentación con datos de carácter personal que estaba abandonada en la vía pública accesible a terceros no autorizados, podía suponer una omisión del deber de adoptar o de observar las medidas técnicas y organizativas que garanticen la seguridad de dichos datos y el deber de guardar secreto profesional». Considera que el Ministerio de Industria es «responsable de los ficheros y tratamientos, derivados de su actividad administrativa».
En la resolución se resuelve si ha vulnerado los arts. 9 y 10 de la LOPD, concluyendo que:
- No ha vulnerado el art. 10, argumentando que » el deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento». Hay que evitar que «por parte de quienes están en contacto con los datos personales almacenados en ficheros se realicen filtraciones de los datos no consentidas por los titulares de los mismos». Aún cuando el Ministerio es responsable de la custodia de la documentación, esta se encontraba en un contenedor de basura orgánica y pasada a ser custodiada por la policía, por lo que no se puede considerar que fuera revelada a terceras personas vulnerando el deber de secreto.
- Si ha vulnerado el art. 9, ya que se ha producido una vulneración del principio de seguridad de los datos, infracción considerada como grave.
Finalmente, apunta que debido al carácter puntual del hecho, la posible existencia de un error humano y que por parte del Ministerio de Industria se ha elaborado un borrador de instrucción de seguridad con medidas concretas de protección de la información de carácter personal, no se requiere que este adopte nuevas medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción.
También le podrá interesar:
- Estudio por la AEPD sobre la privacidad en las aplicaciones móviles
- Cesión de datos de hospitales públicos a centros de salud privados
- AEPD tratará un caso de homofobia en la empresa de seguros Santalucía