Una sentencia reciente de la Agencia Española de Protección de Datos (APED) pone de manifiesto la importancia de que los responsables de tratamiento colaboren con la agencia cuando se les abre procedimiento administrativo.
En este caso, una gestoría fue denunciada por remitir un documento fiscal con datos personales de uno de sus clientes a otro de sus clientes. El destinatario del correo electrónico puso este hecho en conocimiento de la AEPD.
Tras recibir la reclamación, la agencia le trasladó a la gestoría un requerimiento para que aportara información sobre el caso. Pues bien, la gestoría hizo caso omiso del requerimiento y no contestó.
La AEPD continuó entonces con el procedimiento y acabó sancionando a la gestoría con 2 000 euros por vulneración del artículo 5.1 del RGPD y 1 000 euros más por vulneración del artículo 32.1.
La falta de colaboración de la gestoría en este caso ha pesado sobre la sanción que se le ha impuesto, tal y como refleja la resolución:
“(la parte demandada) tampoco ha respondido al requerimiento informativo de la Agencia, lo que incide en la ausencia de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la misma.”
Cabe destacar, por lo tanto, la importancia de atender los requerimientos informativos por parte de las autoridades porque, de no hacerlo, estaremos agravando las posibles consecuencias en forma de sanciones más severas.
Además de no atender al requerimiento, la parte demandada no aportó en este caso ninguna prueba de que se hayan tomado medidas de seguridad que prevengan que el problema se vuelva a dar.
La colaboración con las autoridades de protección de datos es fundamental. Hay que demostrar que se tienen en cuenta las alegaciones y que, de ser necesario, se toman las medidas oportunas para atajar el problema.
Esto no solo ayudará a que el caso se solucione de una manera más rápida y satisfactoria sino que servirá para que la AEPD se muestre menos severa en sus sanciones.
La misma resolución cita la colaboración como uno de los elementos a tener en cuenta a la hora de decidir las sanciones a imponer:
“el grado de cooperación con la autoridad de control con el fin de poner reme-dio a la infracción y mitigar los posibles efectos adversos de la infracción;”
La AEPD también cita la adhesión a códigos de conducta de órganos profesionales como un elemento que puede ayudar a demostrar que se están tomando las medidas de seguridad adecuadas.
El hecho de que se tratase de una pequeña empresa unido a la ausencia de dolo propiciaron que la sanción no fuese más alta en este caso.
La AEPD concluyó que “No se tiene constancia de que la entidad hubiera obrado dolosamente, aunque la actuación revela una grave falta de diligencia”.