Cumplir con la normativa de protección de datos es relativamente sencillo si se tienen claras las obligaciones y los conceptos, se sabe cuáles son los riesgos, y se adoptan las medidas adecuadas para minimizarlos.
Pero incumplirla, también lo es. Porque somos humanos y nos equivocamos y cometemos errores. Pero también porque a veces un error desencadena una serie de acontecimientos que pueden llevar a una organización a incumplir y ser sancionada. En este caso, porque el error desvela “otras” muchas cosas.
Un ejemplo reciente en una empresa conocida ha desembocado en una sanción de 270.000 euros por parte de la Agencia Española de Protección de Datos (AEPD) – dicho importe es reducido porque la empresa acata la decisión y paga la multa beneficiándose de la reducción establecida en la norma-. ¿Qué ha podido pasar para que a una empresa le sancionen con semejante cantidad? Simplemente que fruto del “error” de una persona, ante una petición de la copia de una nómina por parte de una trabajadora, se enviaron en el mismo documento las nóminas de más de cuatrocientos empleados de la misma entidad. Una brecha de confidencialidad en toda regla. Un error humano de libro. Imperdonable desde el punto de vista de la confidencialidad, pero no imposible.
El error es posible e incluso “entendible”, pero no lo demás. ¿Por qué se enviaba un documento confidencial como una nómina sin cifrar?, ¿por qué se permitía la descarga de las nóminas de todos los empleados en un solo documento?, ¿por qué no se revisó antes de ser enviado?, ¿por qué no existía un procedimiento para enviar este tipo de documentos por medios seguros?, ¿por qué no se comunicó inmediatamente lo sucedido?, ¿por qué no se gestionó la brecha hasta que se denunció por parte de dos personas afectadas y fue la Agencia Española de Protección quien requirió a la entidad?
Muchas preguntas y una sola respuesta: el principio de responsabilidad proactiva y el cumplimiento de medidas de seguridad previas que garanticen, de verdad, la confidencialidad de los datos.
La compañía sancionada en cuestión no es ni mucho menos sospechosa de incumplir con la normativa de protección de datos. Políticas, procedimientos, formación interna, medidas de seguridad…, pero en este caso, no fueron suficientes. Y es a veces, fruto de un error “humano”, cuando ese cumplimiento se revela insuficiente para proteger adecuadamente la información y, en este caso, los datos personales que aparecen en las nóminas: DNI, cuenta corriente e ingresos mensuales, como mínimo.
Por ello, y lejos de hacer sangre de lo que les pasa a otras entidades, debemos tener presente que el cumplimiento de la normativa de protección de datos entra dentro de los procesos de mejora continua. Revisar, auditar, detectar riesgos cotidianos y formar de manera continuada reduce (que no elimina) los posibles errores humanos.
A veces el error es sólo la punta del “iceberg” de unas medidas mejorables. Es precisamente la revisión y el “autocuestionamiento” constante dentro de las organizaciones lo que puede garantizar (si es que se puede garantizar) un cumplimiento óptimo o, al menos, que tenga en cuenta posibles riesgos que se ciernen sobre la información y los datos personales tratados.
Más información sobre la resolución comentada: ps-00238-2024.pdf
