La Agencia Española de Protección de Datos (“AEPD”) ha sancionado a una Diputación provincial tras constatar una brecha de confidencialidad derivada del acceso generalizado de empleados a una carpeta digital que contenía datos personales de trabajadores del Servicio de Prevención y Extinción de Incendios.
La reclamación fue presentada en septiembre de 2023 por dos delegados sindicales, quienes alertaron de que cualquier trabajador de la Diputación podía acceder desde los ordenadores corporativos a una carpeta que contenía documentación con información personal relativa a empleados del servicio. Entre las personas afectadas se encontraba uno de los propios delegados sindicales reclamantes, así como otros trabajadores del SPEIS pertenecientes a distintos parques de bomberos dependientes de la Diputación.
La brecha fue notificada a la AEPD y comunicada a las personas afectadas.
Análisis de la AEPD
El análisis de la AEPD abordó dos cuestiones diferenciadas:
- La AEPD consideró que la situación evidenciaba deficiencias en las medidas técnicas y organizativas destinadas a garantizar la confidencialidad de los datos personales, al haberse permitido el acceso indiscriminado a información que debía encontrarse restringida únicamente a personal autorizado. En consecuencia, concluyó que se había producido una vulneración del artículo 5.1.f) del Reglamento General de Protección de Datos (“RGPD”), relativo al principio de integridad y confidencialidad.
- Asimismo, durante el procedimiento se constató que la persona designada como Delegada de Protección de Datos (“DPO”) también ejercía como responsable del Sistema Interno de Información, previsto en la Ley 2/2023 reguladora de laProtección del Informante. La AEPD recordó que el DPO puede desempeñar otras funciones dentro de la organización, siempre que estas no den lugar a conflictos de intereses, conforme a lo dispuesto en el artículo 38.6 del RGPD. En este sentido, la Ley 2/2023 de Protección del Informante diferencia las figuras de Responsable del Sistema Interno de Información y de DPO, limitando el acceso a los datos personales contenidos en dicho sistema al ámbito de sus respectivas competencias.
Así, conforme a esta ley, mientras que el Responsable del Sistema debe tener acceso a los datos personales del sistema interno para garantizar la correcta tramitación de las denuncias recibidas, el DPO puede acceder a dicha información en el ejercicio de sus funciones de asesoramiento y supervisión en materia de protección de datos. No obstante, la AEPD consideró que la Diputación no había garantizado adecuadamente que la acumulación de ambas funciones en una misma persona no generara una posible situación de conflicto de intereses.
Sanción
De conformidad con el artículo 77 de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales, cuando las infracciones son cometidas por administraciones públicas el procedimiento se resuelve mediante una declaración de infracción y, en su caso, mediante el establecimiento de las medidas necesarias para que cese la conducta o se corrijan sus efectos.
En este caso, la AEPD declaró que la Diputación había vulnerado el:
- artículo 5.1.f) del RGPD, por la pérdida de confidencialidad de los datos personales; y el
- artículo 38 del RGPD, por no garantizar la ausencia de conflicto de intereses en la designación del DPO.
No obstante, la AEPD no consideró necesario imponer medidas adicionales, al constatar que la entidad ya había adoptado actuaciones para corregir la situación.