La Autoridad Catalana de Protección de Datos (APDCAT) ha dado un toque de atención al Departamento de Justicia, Derechos y Memoria tras haber enviado informes con datos especialmente protegidos por correo electrónico sin cifrar. Sin embargo, hay que recordar que, al ser una Administración, no se les sanciona económicamente.
Ha cometido una infracción del articulo 5.1.f del Reglamento General de Protección de Datos (RGPD) al no haber implementado las medidas de seguridad necesarias para enviar este tipo de correos a personas ajenas a la entidad.
Este artículo regula el principio de integridad y de confidencialidad. Por otro lado, el artículo 32.1 del RGPD obliga a los responsables y encargados del tratamiento a garantizar la seguridad de los datos que tratan, es decir, a protegerlos.
Según se explica en la resolución, los hechos se dieron a conocer a raíz de la reclamación de una ciudadana que se acababa de jubilar. Había pertenecido al Equipo de Asesoramiento Técnico penal (EATP) del departamento de Justicia en Girona.
Comentó que se le habían enviado a su correo electrónico privado una quincena de informes confidenciales de víctimas peritadas. Como prueba, aportó una copia uno de los mensajes enviados por EATP.
Así las cosas, la APDCAT requirió información a la entidad por dos motivos. En primer lugar, para que confirmara si había mandado los datos personales de la mujer a la Audiencia Provincial de Girona cuando ya estaba jubilada. Y, por otro, si habían enviado informes confidenciales a su email particular.
Respecto a la primera petición, explicaron que dichos datos los había solicitado la Audiencia de Girona y, en cuanto a la segunda, que los informes se enviaron sin cifrar porque habían sido realizados por la perito. Por otro lado, comentaron que habían tomado medidas y habían recordado al personal que había mecanismos para enviar documentación de forma segura.
Al tiempo la mujer decidió volver a presentar un nuevo escrito porque seguía recibiendo notificaciones. Finalmente la APDCAT confirmó que sí había infringido el artículo 5.1.f) del RGPD.
Análisis de Ramón Arnó
Según explica el abogado Ramón Arnó, experto en la materia y del despacho La Familia Digital, «es un error del sistema» permitir que las Administraciones no sean sancionadas de forma económica. Pues, en su opinión, no sirven de nada estos toques de atención. «Sólo sirve si un periodista habla porque los políticos se lo toman en serio». En las empresas esto es distinto porque «las que no cumplen y sí pasan por caja».
Desde su punto de vista, el argumento para no hacerlo es que sería un movimiento de partidas contables. Es decir, al «ayuntamiento le ponen una multa de 3.000 euros y lo tendrían que sacar de un presupuesto para arreglar una carretera».
Pero, ¿y qué?, se pregunta Arnó. «En una empresa privada también hay que sacar dinero del presupuesto para pagarla».
