Incident de seguretat i decisions de l'AEPD

1. Punts clau sobre l'incident

La sanció, imposada a l'Escola Nuestra Señora de la Caridad del Cobre com a responsable del tractament, es deriva d'una violació de dades personals que va tenir lloc el 21 de març de 2023, quan van robar el portàtil de la cap de docència a les instal·lacions de l'escola. Havia sortit del seu despatx, deixant la porta tancada però sense panyar.

L'incident de seguretat va afectar un total de 450 persones (150 de les quals menors d'edat), les dades personals i la informació relativa a l'expedient acadèmic dels alumnes, incloses les dades de salut, de les quals es va veure compromesa la seguretat. Per tant, l'incident es va comunicar a l'AEPD el 24 de març d'aquell mateix any, classificat per l'escola com a risc baix i s'hi indicava que no s'havia considerat necessari notificar els interessats.

L'escola justifica la seva conclusió argumentant que, abans de l'incident, havia implementat mesures de seguretat preventives dissenyades tant per evitar l'accés no autoritzat als dispositius (com el bloqueig automàtic després de 10 minuts d'inactivitat) com per controlar l'accés físic i lògic a la informació.

Després de l'incident, el centre va adoptar una sèrie de mesures correctores, canviant les contrasenyes dels comptes de correu electrònic i d'accés de l'empleat, així com mesures destinades a enfortir el sistema de control d'accés amb la intenció de millorar contínuament els seus procediments, incloent-hi l'enviament d'una circular als empleats, la impartició de formació específica sobre la matèria i la revisió de les mesures de seguretat dels dispositius informàtics.

No obstant això, l'AEPD va considerar que la bretxa suposava un alt risc per als drets i llibertats de les persones, especialment tenint en compte la naturalesa de les dades implicades (incloses dades de salut) i la presència de menors; en conseqüència, el 4 d'abril de 2023, va ordenar expressament al centre que notifiqués els interessats de la bretxa d'acord amb l'article 34 del RGPD. Aquesta notificació no es va fer fins al 3 de maig de 2023.

Un cop finalitzada la investigació pertinent, el 22 de març de 2024, l'AEPD va decidir iniciar un procediment sancionador contra la institució educativa.

2. Incompliments del RGPD

Basant-se en els fets descrits, l'AEPD va sancionar l'institució educativa per les infraccions següents del Reglament general de protecció de dades (RGPD):

1. Article 32 – Mancança de diligència deguda: l'autoritat considera que les mesures implementades tant de manera preventiva com en resposta a l'incident són insuficients. A aquest efecte, assenyala que les mesures de seguretat han de ser adequades i eficaces, no només formals. En particular, va considerar insuficient la manca de xifratge de les dades contingudes a l'ordinador portàtil, la qual cosa suposa un risc significatiu per a la confidencialitat de la informació en cas d'accés no autoritzat, i la manca de mesures de control d'accés físic a l'escola que haurien evitat el robatori del dispositiu.
2. Article 34 – Notificació d'una violació de dades personals al interessat: l'escola no va complir la seva obligació de notificar als afectats la violació sense dilació indeguda, ja que va retardar aquesta notificació fins a un mes després que l'autoritat de control ho exigís expressament. En aquest sentit, l'AEPD assenyala que l'escola havia actuat contràriament al reglament, que exigeix que la notificació es faci «sense dilació indeguda», atès que l'incident suposava un alt risc per als drets dels interessats, ja que podrien haver-se vist afectades dades relatives a menors i dades de salut.

3. Conclusions

Un cop més, l'AEPD destaca la importància de complir la normativa de protecció de dades quan es tracta de dades personals de menors, i la necessitat d'establir i implementar diligentment les mesures tècniques i organitzatives per mitigar els riscos que el tractament pot suposar per als interessats.

Subratlla que aquesta obligació no es compleix adoptant qualsevol conjunt de mesures, sinó que cal implementar aquelles que es puguin considerar adequades i suficients per assolir el resultat desitjat, és a dir, garantir la seguretat del tractament; a més, a banda del seu establiment i implementació, cal supervisar -ne l'ús correcte i l'aplicació adequada, d'acord amb els criteris establerts en la jurisprudència en diverses sentències (per exemple, la Sentència 90/2014 del Tribunal Superior Nacional o la Sentència 7359/2020 del Tribunal Suprem).

A més, tot i que la sanció imposada per no notificar els interessats va ser arxivada per prescripció del termini, es posa l'èmfasi en l'obligació d'informar els interessats sense dilació indeguda dels incidents de seguretat de la informació que suposin un alt risc per als seus drets i llibertats, ja que és crucial actuar amb rapidesa i transparència per mitigar els riscos.

Nota informativa del Departament de Protecció de Dades d'ECIJA Madrid.