El robo de un disco duro con material fotográfico de 27 bodas no solo cuesta a una fotógrafa freelance perder parte de sus ganancias… también se ha llevado un apercibimiento de la Agencia Española de Protección de Datos (AEPD).
La Agencia, en su expediente nº EXP202516047, considera que la sustracción de este material ha vulnerado el deber de seguridad del Reglamento General de Protección de Datos (RGPD).
La resolución dado a conocer a por redes sociales, reprocha al profesional la falta de medidas de seguridad adecuadas de protección, al no disponer de copias de seguridad, cifrado ni sistemas de control físico de acceso al estudio fotográfico.
El origen del caso
Claudia contrató a Elena, fotógrafa freelance, para que inmortalizase su boda con un reportaje fotográfico. A los días, Elena llevó a su estudio una mochila con varios dispositivos (disco duro, usb, ordenador…).
La fotógrafa dejó el material en la parte delantera del local mientras accedía a la trastienda, momento en el que desaparecieron los equipos. La tienda no contaba con cámaras de vigilancia ni sistemas efectivoS de control de acceso al estudio.
Elena tuvo que comentar a Claudia y otras 26 parejas más que las imágenes habían desaparecido tras el robo, porque, para más inri, tampoco tenía una copia de seguridad externa que permitiera recuperar el material sustraido.
Esto le supondría una gran pérdida económica: a Claudia le devolvió el dinero y ahora tendría que comprar nuevo material. Pero esta mala fortuna no quedó ahí, ya que la recién casada informó a la AEPD de estos sucesos, al entender que se había procedido una brecha de datos personales.
La AEPD apercibe a una fotógrafa por un robo de su material
La Agencia recuerda que Elena actuaba como responsable del tratamiento de las imágenes, según los artículos 4.1 y 4.2 del RGPD, al haber iniciado la recogida, almacenamiento y captación de fotografías y grabaciones en vídeo de personas durante la celebración de bodas.
El hecho que, bajo ese deber de responsabilidad, haya perdido el material por una violación de datos personales la Agencia acredita que se ha producido una brecha de datos, en su categoría de brecha de disponibilidad.
Es decir, la AEPD no se centra tanto en una filtración pública de imágenes, sino en la pérdida irreversible de acceso a datos personales. Aunque la fotógrafa alegó que la alarma se encontraba desactivada en el momento del robo, porque accedía en ese momento al estudio, implica una negligencia grave en la gestión de la seguridad.
La autoridad reprocha que la fotógrafa almacenó datos sensibles sin vigilancia y en un lugar accesible al público, lo que contraviene la diligencia debida en la custodia de datos personales.
La falta de copia de seguridad y medidas efectivas para evitar el robo, claves
También afea la falta de medidas de seguridad efectivas, como mantener la alarma activa, o que no hubiese una copia de seguridad de los materiales. Sobre esto último, la AEPD señala que el artículo 32.1 c) del RGPD exige la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente.
En este caso, las imágenes sustraídas nunca fueron recuperadas y la falta de una copia de seguridad constituye una infracción clara ya que de existir, no habría perdida permanente de la información.
Suficientes motivos para que su conducta constituye una falta de cumplimiento directo a las obligaciones establecidas en el artículo 32 del RGPD, pero que acaba en tan solo un apercibimiento.
La AEPD deja claro que no basta con alegar haber sido víctima de un robo; el responsable del tratamiento debe acreditar medidas eficaces de seguridad, desde copias de respaldo hasta cifrado o controles físicos de acceso.
Además, el expediente refuerza una idea clave en protección de datos: no hace falta que exista una difusión pública de las imágenes para que haya infracción, porque la mera pérdida de disponibilidad y control sobre datos personales ya constituye una brecha de seguridad sancionable.
