La Agencia Española de Protección de Datos (AEPD) ha impuesto dos apercibimientos a la Agencia Estatal de Administración Tributaria (AEAT) por infringir dos artículos del Reglamento General de Protección de Datos, el 5.1.f, que hace referencia a los principios relativos al tratamiento y el 32.1, que habla sobre la seguridad del tratamiento.
El origen del caso comienza cuando una mujer presenta ante la AEPD una reclamación al considerar que se había vulnerado la normativa porque la Agencia Tributaria había remitido sus datos fiscales relacionados con la declaración de la renta de 2019 a su sobrino, con el que no mantenía ningún tipo de relación ni tampoco era su representante, hecho que él mismo confirmó.
Por esta actuación, la AEPD pidió las explicaciones necesarias a la Agencia Tributaria para aclarar lo ocurrido. Ésta manifestó que su sistema de notificaciones y comunicaciones era seguro y que el error se produjo en un momento anterior a la notificación cuando el sobrino se dio de alta en el registro de sucesores.
«Un error humano puntual»
Pero se excusaron alegando que había sido un error humano puntual y que las medidas de seguridad que tenían venían establecidas de acuerdo con los análisis de riesgos realizados.
Por otro lado, la Agencia Tributaria añadió que, cuando tuvieron constancia del error, actuaron con la máxima diligencia dando de baja la relación. También le comentaron a la AEPD que tenían pensado enviar un recordatorio sobre el protocolo de alta en el registro de sucesores, haciendo hincapié en el cotejo y revisión de toda la información incluida antes de dar el alta.
Sin embargo, para la AEPD, estos hechos eran constitutivos de una infracción del artículo 5 del RGPD ya que éste relata que los datos personales serán tratados de tal manera para que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental mediante la aplicación de medidas técnicas u organizativas apropiadas.
El deber de confidencialidad, según la AEPD
Ya que, tal y como exponen en la resolución, “el deber de confidencialidad debe entenderse que la finalidad es evitar que se realicen filtraciones de los datos no consentidos por los titulares de los mismos”.
Otro de los artículos que infringieron fue el 32 del RGPD. En él se explica que el encargado del tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
Esta sanción no es firme y todavía puede ser recurrida ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
Sin embargo, tal y como comentó el pasado mes a Confiegal Borja Adsuara, experto en derecho digital, privacidad y protección de datos, este tipo de apercibimientos no sirven para nada. Hay que recordar que la AEPD no puede multar a las administraciones.
Por ello explicó que, en su opinión, deberían ser sancionadas del mismo modo que a las pymes con cantidades grandes porque, en su opinión, actualmente no se invierte suficientemente en seguridad.
Es más, la propia AEPD ya confesó en una circular que los apercibimientos no deben considerarse como una sanción, sino que simplemente es una medida adecuada, de naturaleza no sancionadora, incluida dentro de los poderes correctivos de las autoridades de control.
