En octubre de 2024, la AEPD inició un procedimiento sancionador contra el Asilo de Ancianos Santo Domingo y Santa Eloísa, que enfrentó una reclamación interpuesta el 23 de noviembre de 2023 por la exposición reiterada de direcciones de correo electrónico, nombres y apellidos de los destinatarios en envíos masivos. A pesar de haber recibido quejas, se siguieron enviando con los datos visibles, según evidencia proporcionada por el reclamante, que incluye correos desde 2021 hasta 2023.
La AEPD trasladó la reclamación al asilo solicitando medidas correctivas en plazo de un mes, pero no recibió respuesta, de modo que se admitió formalmente la reclamación a trámite.
Según la AEPD, el asilo de ancianos vulneró el principio de integridad y confidencialidad del RGPD. Los envíos masivos de correos electrónicos expusieron direcciones de los destinatarios al no usar la función de copia oculta, resultando en una brecha de confidencialidad. Según el artículo 5.1.f del RGPD, los datos personales deben ser tratados con seguridad adecuada para prevenir accesos no autorizados. La LOPDGDD y el RGPD califican esta violación como una infracción grave, susceptible de sanción con multas administrativas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global. La resolución busca asegurar que el tratamiento de datos respete los principios de seguridad y confidencialidad del RGPD.
La propuesta de sanción por la infracción del artículo 5.1.f) del RGPD se basa en los principios de proporcionalidad, eficacia y disuasión del RGPD. Se consideran factores como la gravedad, intencionalidad, cooperación y medidas correctivas aplicadas, además de criterios adicionales establecidos en la LOPDGDD, como el carácter continuado de la infracción. Tras evaluar las evidencias disponibles, se propuso una multa administrativa de 600 euros, reflejando el balance de factores agravantes y atenuantes.
El Asilo de Ancianos Santo Domingo y Santa Eloísa incumplió también el artículo 32 del RGPD, que exige medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo en el tratamiento de datos. Su vulneración se tipifica como una infracción administrativa, cuyas sanciones pueden alcanzar los 10 millones de euros o el 2 % del volumen de negocio anual global. El artículo 71 de la LOPDGDD clasifica estas conductas como infracciones graves y entre ellas destaca la falta de adopción de medidas necesarias para garantizar un nivel de seguridad adecuado al riesgo.
La propuesta de sanción por la infracción del artículo 32 del RGPD se basa en los principios de proporcionalidad, eficacia y disuasión. La multa inicial de 400 euros se determina considerando la gravedad, continuidad de la infracción, las consecuencias para los afectados, y la condición del asilo como una pequeña empresa. La sanción busca garantizar la seguridad del tratamiento de datos, cumpliendo los criterios establecidos en los artículos 83.1 y 83.2 del RGPD y 76.2 de la LOPDGDD.
En caso de confirmarse las infracciones de los artículos 5.1.f) y 32 del RGPD, la resolución dictada podría imponer medidas correctivas al asilo que incluirían la adopción de soluciones técnicas y organizativas necesarias para evitar el envío de correos electrónicos sin utilizar la funcionalidad de «CCO» (copia oculta), con el objetivo de prevenir nuevas violaciones de datos personales. El asilo dispondría de un plazo de un mes para implementar y acreditar ante la AEPD dichas medidas.
La medida es compatible con una multa administrativa ya impuesta, y su incumplimiento podría ser considerado una nueva infracción administrativa, lo que implicaría sanciones adicionales. Ni el pago de la multa ni el reconocimiento de la infracción eximen al asilo de la obligación de implementar estas medidas correctivas y demostrar su cumplimiento ante la AEPD.
Fuente: https://www.aepd.es/documento/ps-00208-2024.pdf
░ Imagen de Kampus Production en Pexels
