Un abogado ha sido sancionado por tirar a la basura expedientes con datos personales de sus clientes, infringiendo el artículo 32.1 del RGPD.
Ha sido apercibido para que en el plazo de un mes tome las medidas técnicas oportunas para asegurar la confidencialidad de sus clientes.
Los hechos
El 18 de junio de 2020, miembros del SEPRONA encontraron en los contenedores de basura unas bolsas de plástico con documentación, en las que aparecían datos personales de los clientes del abogado. Seguidamente se dirigieron a interponer una reclamación ante la Agencia Española de Protección de Datos por estos hechos.
Entre la documentación dejada en la basura se encontraban escrituras, poderes notariales, sentencias, fotocopias de DNIs de clientes, testamentos y otros documentos con datos personales.
Ni la Guardia Civil ni la Subdirección General de Inspección de Datos lograron dar con el abogado.
Infracción del art. 32.1 del RGPD
El abogado, de acuerdo con el artículo 58.2.b), fue sancionado con apercibimiento al considerar la Agencia que la multa administrativa constituiría una carga desproporcionada para el reclamado, ya que no consta comisión anterior de ninguna infracción en materia de protección de datos.
De la documentación obrante en el expediente se ofrecen indicios evidentes de que el reclamado ha vulnerado el artículo 32.1 del RGPD, al producirse una brecha de seguridad en sus sistemas permitiendo el acceso a los documentos contenidos en bolsas depositadas junto a unos contenedores de basura urbanos ubicados en ***LOCALIDAD.1; documentos conteniendo datos de carácter personal de clientes del reclamado.
En esta ocasión, la AEPD decidió apercibirle, si bien bajo la condición de que en el plazo de un mes acredite la adopción de medidas necesarias y pertinentes para corregir los tratamiento de datos personales y evitar que vuelvan a producirse vulneraciones.
Fue requerido para que adopte las medidas técnicas adecuadas para asegurar la confidencialidad de la información incluidas en sus sistemas, así como la aportación de medios de prueba acreditativos del cumplimiento de lo requerido.
Por ello dispone del plazo de un mes para acreditar que ha tomado las medidas oportunas para asegurar la protección de los datos personales de sus clientes. Si te has visto en una similar, en LegalizaTuWeb podemos ayudarte.
Puedes ver la resolución completa y ver más artículos en los siguientes enlaces: