La Agencia Española de Protección de Datos ha sancionado al Ayuntamiento de Getafe, en su resolución del procedimiento PS/00028/2022, publicada el 3 de febrero de 2023, por infringir el art.5.1. f) – permitir el acceso no autorizado a datos personales-, el art.32 -no adoptar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento- y el art.33 -no comunicar la brecha de seguridad a la autoridad competente- del Reglamento General de Protección de Datos.
Los hechos que motivaron el inicio del expediente, y fueron denunciados ante el consistorio y ante la Agencia, ocurrieron como “consecuencia de un error humano, involuntario y accidental” que al publicar la resolución de convocatoria de sesión extraordinaria del Ayuntamiento en vez de anexar el PDF correspondiente a la mencionada resolución, se anexó una hoja en formato Excel que contenía un listado de datos personales como nombre, apellidos, dirección, fecha de nacimiento, número de identificación fiscal, NIE, matrícula de vehículo, y fecha de matriculación.
En efecto, se trataba de un documento de trabajo que el Ayuntamiento remitía con frecuencia semanal a la Jefatura Provincial de Tráfico, en cumplimiento de un Convenio con la Federación Española de Municipios y Provincias, para facilitar a los ciudadanos el trámite de cambio de domicilio.
La AEPD ha afirmado en su resolución que se trata de una brecha de confidencialidad “consecuencia de la exposición en sede electrónica de un archivo indexado que no se correspondía con el pretendido, y que contenía datos personales. El proceso para llevarlo a efecto es un proceso de intervención humana que contaba con un protocolo propio y se desarrollaba con un gestor de contenidos corporativo como herramienta para llevarlo a efecto”. En este sentido, la Agencia recuerda que el protocolo no solo debe prevenir que se produzcan estos hechos, sino, una vez ocurridos, ya sean de origen humano, natural o tecnológico, debe prever medidas correctivas que garanticen la seguridad en el tratamiento de la información y de los datos. Esta brecha se produjo aun teniendo el Ayuntamiento manuales e instrucciones vigentes que indicaban que la publicación de contenidos debía realizarse en PDF, pero la herramienta que se utiliza, “con más de diez años de antigüedad” -puntualiza el Ayuntamiento-, soporta otros formatos, como el “Excel”, por lo que pudo seleccionarse y publicarse sin problema. La AAPP deberá comenzar a usar “un gestor de contenidos más actual” e implementar mejoras en seguridad de publicación de contenidos.
En el presente caso, la AEPD considera acreditado que se ha producido un acceso no autorizado a los datos personales de los integrantes, al que tuvo acceso el reclamante, y que se mantuvo en el navegador, vulnerándose el principio de confidencialidad, lo que conlleva la infraccion del art.5.1.f) RGPD. Quedó probado que días posteriores todavía era posible el acceso al contenido tecleando la dirección electrónica en el navegador, a pesar de que el contenido se retiró el mismo día de la publicación de la página web del Ayuntamiento, no se verificó el borrado, hasta que fue eliminado por la Unidad de Informática de la corporación local.
Por otro lado, también consta acreditado que el Ayuntamiento ha infringido el art. 32 RGPD al no adecuar las medidas de seguridad organizativas y técnicas al riesgo de dicho tratamiento, esto es, la AAPP “no evaluó correctamente los riesgos de la falta de confidencialidad en sus protocolos de identificación de riesgos adicionales generados por la brecha incluyendo los correspondientes a las acciones humanas. Además, la tecnología adoptada en el tratamiento de publicación con una herramienta de gestión de contenidos que como soporte no estuvo presente en el citado protocolo, teniendo que añadirlo cuando se descubrió a que obedeció el fallo. Por tanto, se acredita la falta de una correcta consideración de atención las medidas organizativas y técnicas en la configuración de las medidas de seguridad infringidas en el presente supuesto”.
A raíz de esta brecha de seguridad, el Ayuntamiento elaboró una instrucción “para la publicación de contenidos”, impartió formación y estableció “una revisión cruzada de lo que se publica en la sede o en la web”, de manera que ahora otra persona del mismo departamento distinta a la que va a publicar revisa el contenido.
Por último, el hecho de que el Ayuntamiento no informase a los interesados de que se había producido la brecha, ni a la Agencia, como autoridad de control competente, confirma la infracción del art. 33 RGPD, en virtud del cual, en caso de “violación de la seguridad de los datos personales” se deberá notificar a la autoridad de control competente, sin dilación indebida, en el plazo de 72 horas desde que se tuviere constancia de la brecha.
La AEPD recuerda que no es “obligatorio notificar todas las brechas” si el responsable garantiza que es improbable que la brecha de datos personales implique un riesgo para los derechos y las libertades de las personas físicas. Sin embargo, en este supuesto, la brecha que sufrió el Ayuntamiento de Getafe ha provocado un riesgo posible y cierto que sí que es factible que constituya un riesgo para los derechos y las libertades de los afectados, tales como la pérdida de control sobre sus datos, restricción de derechos, discriminación, usurpación de identidad o fraude, entre otros. El propio Ayuntamiento corrobora la existencia de ciertos riesgos para los derechos y libertades de los diecisiete afectados por la infracción, dado el contenido conjunto de los datos que se dan a conocer, y su relevancia.
En definitiva, con base en los hechos la AEPD concluye que el Ayuntamiento ha infringido los artículos 5.1. f), 32 y 33 del RGPD, y le ha impuesto tres sanciones de apercibimiento. Ha quedado probado que de nada sirven los protocolos si no se adecuan y revisan todos los procesos y sus fases, se plantean todos los escenarios, se prevén medidas correctivas, y, se adoptan las medidas técnicas y organizativas acordes con la normativa de protección de datos, para la protección y la seguridad de todos los datos de carácter personal que se tratan en los Ayuntamientos, y entes públicos, en general.
Realice su consulta de forma totalmente gratuita. Nos pondremos en contacto con usted