Tener las contraseñas enganchada a la pantalla o al teclado te puede costar una multa de 8.000 € (y, mucho más a partir del 25 de mayo de 2018)

La “Autoritat Catalana de Protecció de Dades” (en adelante, APDCAT) en su resolución del procedimiento sancionador PS 22/2017 ha impuesto una multa de 8.000 € a una empresa por tener una dirección de correo electrónico (que se utilizaba para comunicarse con un cliente) y su correspondiente contraseña en una etiqueta enganchada a la pantalla de un ordenador.

La dirección de una empresa, que dispone de servicios de vigilancia y seguridad, se comunicaba con el personal de la empresa de vigilancia y seguridad a través de un correo electrónico. Estando la dirección y contraseña de dicha cuenta de e-mail visibles en una etiqueta enganchada a la pantalla del ordenador utilizado por los vigilantes en el centro de control (el acceso al cual estaba restringido al personal autorizado con diversas medidas).

Un miembro de la plantilla de la empresa de vigilancia y seguridad presentó una denuncia, en fecha 3 de noviembre de 2016, y los hechos, puestos de manifiesto en la misma, fueron corroborados, durante la fase de información previa, por la APDCAT.

Esta situación contraviene lo dispuesto en el artículo 93.3 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD (en adelante, RGPD):

Cuando el mecanismo de autentificación se base en la existencia de contraseñas, debe existir un procedimiento de asignación, distribución y almacenamiento que garantice la confidencialidad e integridad.

Lo que supone una infracción grave de acuerdo con lo establecido en el artículo 44.3.h) de la LOPD:

Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que se determinen por vía reglamentaria.

Disponiendo el artículo 45.2 de la LOPD que las infracciones graves se sancionarán con una multa de 40.001 a 300.000 euros.

En el caso concreto, la APDCAT ha considerado procedente aplicar la rebaja de un grado, prevista en el artículo 45.5 de la LOPD, atendiendo a que la empresa infractora regularizo la situación de forma diligente al eliminar la cuenta de correo electrónico.

A partir del 25 de mayo de 2018

El Reglamento UE 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD) dispone en su artículo 5.1.f) que los datos personarles serán:

tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

Concretando en el artículo 25.2 del RGPD que el responsable del tratamiento deberá aplicar las medidas apropiadas pagar garantizar:

… en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

El artículo 83.4.a) del RGPD establece que las infracciones de lo dispuesto en el artículo 25 del RGPD se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10.000.000,00 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

El proyecto de LOPD (Boletín de las Cortes Generales de 24 de noviembre de 2017) en su artículo 73 considera una infracción grave la falta de adopción de las medidas técnicas y organizativas exigidas en el artículo 25 del RGPD.

Disponiendo, con carácter general, una pena adicional para la reputación de la empresa en su artículo 76.4 al establecer que:

Será objeto de publicación en el Boletín Oficial del Estado la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica

En todo caso deberemos esperar a la finalización de la tramitación parlamentaria y la publicación en el BOE de la norma para conocer su alcance definitivo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *