Si es que no aprendemos… otra resolución por aparecer 24 «curriculum vitae» en la basura

por Jorge Campanillas Ciaurriz

publicado el 26 julio 2007

Categorías: Agencia Proteccion Datos / Protección de Datos / Resoluciones / Sanciones

La Agencia Española de Protección de Datos en una resolución de fecha de 15 de Junio de 2007, ha sancionado con 60.101,12 Euros por una infracción grave al entender que una empresa ha vulnerado el principio de seguridad de los datos, recogido en el artículo 9 de la LOPD, al encontrarse 24 «curriculum vitae» esparcidos por el suelo alrededor de un contenedor de basura. En este caso la empresa alegaba el cumplimiento de la normativa al contar con Documento de Seguridad, documento de información al personal, etc. y culpando al personal de limpieza por la infracción (“A pesar de las instrucciones recibidas, parece ser que la citada empleada procedió a introducir todo el material existente en una bolsa de basura que depositó en la puerta de la tienda”, y que “entre este material se encontraban los “currículum vítae”). La Agencia no se cansa de repetir que no es suficiente el cumplimiento formal de la normativa y recalca que:

La Agencia Española de Protección de Datos ha resuelto numerosos procedimientos sancionadores por infracciones en las medidas de seguridad al haber depositado en la vía pública documentación, en la que consta información sobre los datos personales de sus clientes o trabajadores que obran en sus ficheros. Asimismo la Sala de lo Contencioso Administrativo de la Audiencia Nacional han dictado sentencias en los recursos contenciosos–administrativos interpuestos por las entidades sancionadoras. Entre ellas, en la Sentencia de la Audiencia Nacional, Sala de lo Contencioso- Administrativo, Sección Primera, núm. Recurso: 1182/2001, de fecha 7 de febrero de 2003, en el Fundamento de Derecho Tercero señala: “No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales si luego no se exige a los empleados del banco la observancia de aquellas instrucciones (…) se trataba de documentos de uso interno a los que no debían tener acceso personas ajenas al organigrama de…y si lo tuvieron fue de manera anómala, esto es, por una insuficiencia o deficiente puesta en práctica de las medidas de seguridad.”

Además la resolución incluye reciente jurisprudencia de la Audiencia Nacional donde se hace hincapié en esta obligación de cumplimiento con las medidas de seguridad, no siendo suficiente la mera obligación formal de declaración de cumplimiento, sino que exige la efectiva implantación de dichas medidas:

La Audiencia Nacional en Sentencia de 23/03/2006 ha declarado que el artículo 9 de la LOPD “impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros (…) la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualesquiera otros datos de carácter personal puedan llegar a manos de terceras personas”.