Seguridad al trasladar documentos

Obligación de seguridad al trasladar documentos

“Shit happens”, “Así es la vida”, “C’est la vie”… casi todos los idiomas tienen una expresión para señalar que los acontecimientos imprevistos están ahí acechando y en cualquier momento podemos llevarnos una sorpresa desagradable, tal y como le ocurrió a la Asociación Española de Atención y Apoyo a Familia y Adopción (ASEFA) en el procedimiento sancionador PS/00433/2015, instruido por la Agencia Española de Protección de Datos (AEPD).

La denuncia

A la AEPD llegó un escrito de la denunciante en el que explicaba que recibió un mensaje a través de su teléfono móvil, en el que una persona desconocida le alertaba de que había encontrado, diseminados por varias calles de Cartagena, folios con datos personales pertenecientes al expediente de adopción internacional de su hijo. Asimismo, manifiesta haber encontrado fotografías en las que aparece su hijo y otros menores y miembros de su familia y que la misma persona le comenta que no es el único expediente extraviado y que encontró datos y fotografías correspondientes a otro menor. Asimismo, manifiesta que desconoce si falta algún documento en el expediente. A los pocos días, la persona que encontró la documentación y las fotografías se las entregó personalmente, copia de las cuales se acompañaron a la denuncia.

Las alegaciones de ASEFA

Según explicó la asociación denunciada una de sus trabajadoras sociales metió en su mochila copia del Informe de Seguimiento, con la intención de asistir al domicilio de la denunciante. El informe estaba dentro de una funda de plástico, grapado, para su entrega a la denunciante como en anteriores ocasiones. La Trabajadora Social no se percató de la pérdida del Informe (consta de 6 folios más 2 de fotografías) al deshilacharse la costura inferior de la mochila y caer al suelo.

Por otro lado aseguraban que la pérdida fue consecuencia de la actitud y exigencia de la propia denunciante, ya que si hubiera acudido a la sede de ASEFA, como todas las familias, se le hubiera entregado el Informe de Seguimiento en mano.

La asociación aseguró cumplir todas las exigencias de la LOPD En el apartado “Medidas correctoras adoptadas” se indica: “REITERAR PROHIBICIÓN DE SACAR DE LAS OFICINAS DE ASEFA MURCIA CUALQUIER TIPO DE DOCUMENTACIÓN O SOPORTE REFERENTE A UN EXPEDIENTE DE ADOPCIÓN INTERNACIONAL, A LAS SUCESIVAS TRABAJADORAS SOCIALES QUE PRESTEN SUS SERVICIOS EN ESTA ECAI”.

Errores en las alegaciones

El escrito dirigido a ASEFA desde la AEPD para que aportara nuevas pruebas que había solicitado no pudo ser entregado por el Servicio de Correos después de dos intentos, que tuvieron lugar en fechas 02 y 04/12/2015. Dicho Servicio procedió a la devolución del envío una vez finalizado el plazo del aviso efectuado a ASEFA para retirarlo en las oficinas de Correos. ASEFA no comunicó a la Agencia su cambio de domicilio y que el traslado de su sede no fue conocido por esta entidad hasta un momento posterior, en la fase de notificación de la propuesta de resolución.

Respecto a la alegación de que la pérdida de la documentación es consecuencia de la actitud y exigencia de la denunciante, la Agencia no comparte esta apreciación, por cuanto la visita domiciliaria supuestamente exigida por la denunciante nada tiene que ver con la adopción o no de las medidas de seguridad exigidas en relación con la salida de soportes.

Por tal motivo, resulta que dicha entidad incumplió las medidas de seguridad relativas a la salida y traslado de soportes y documentos, antes reseñadas, necesarias para evitar que los datos de que dispone fuesen accedidos por terceros, al haberlos extraviado al alcance del público.

Por ello, procede concluir que ASEFA ha vulnerado el principio de seguridad en materia de protección de datos, que se encuentra recogidos en el artículo 9 de la LOPD. La infracción se comete en relación con ficheros de datos personales cuya titularidad corresponde a ASEFA y en su ámbito específico de responsabilidad.

La circunstancia expresada por ASEFA, sin perjuicio que deban tenerse en cuenta a la hora de graduar la sanción, no exonera la responsabilidad de dicha entidad. En cualquier caso, en esta materia se impone una obligación de resultado, que conlleva la exigencia de que las medidas implantadas deben impedir, de forma efectiva, el acceso a la información por parte de terceros.

La sanción

Por otra parte, teniendo en cuenta los criterios de graduación de las sanciones recogidos en el citado artículo 45.4 de la LOPD y, en especial, por un lado, el volumen de datos afectados por la infracción; la actividad de la imputada, desarrollada sin fines de lucro; la ausencia de reincidencia; y la ausencia de beneficios; y por otro lado, la naturaleza de los datos personales implicados en la infracción, pertenecientes a un fichero de datos de carácter personal con nivel alto de seguridad; y que no consta ningún perjuicio a los afectados distinto de los que derivan de la propia infracción sancionada, procede imponer a ASEFA una sanción por importe de 2.000 euros.