• Tirar los expedientes de los clientes directamente a la basura es considerado como una vulneración de los derechos de protección de datos de los clientes.
• Entre la documentación encontrada por el SEPRONA había escrituras, poderes notariales, sentencias de órganos judiciales, fotocopias de DNIs de clientes, testamentos y otros documentos con datos personales
• Ver Resolución

El servicio del SEPRONA encontró en un contendor de Gran Canaria varias bolsas de plástico que contenían información con datos de los clientes del abogado, entre estos documentos había escrituras, poderes notariales, sentencias de órganos judiciales, fotocopias de DNIs de clientes, testamentos y otros documentos con datos personales. La Guardia Civil intento contactar con el reclamado, pero no lo ha conseguido ya que no contesta a las llamadas.

Remitido el expediente a la Agencia de Protección de Datos, consideró que estos hechos son una vulneración del art. 32 del RGPD, conducta tipificada en el art. 83.4, a) que puede ser objeto de multas de hasta 10 millones de euros.

La Agencia considera que en el expediente se ofrecen indicios evidentes de que el reclamado ha vulnerado el artículo 32.1 del RGPD, al producirse una brecha de seguridad en sus sistemas permitiendo el acceso a los documentos contenidos en bolsas depositadas junto a unos contenedores de basura urbanos.

EL reclamado, que en ningún momento se personó en el expediente, “es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico. Sin embargo, de la documentación aportada se desprende que el reclamado no solo ha incumplido esta obligación, sino que además se desconoce la adopción de medidas al respecto, pesar de haberle dado traslado de la reclamación presentada”.

Sancionado con un apercibimiento y la obligación de comunicar medidas de correción

La Agencia concluye el expediente con una sanción de apercibimiento y da el plazo de un mes para que el abogado comunique a la AEPD la adopción de las medidas necesarias y pertinentes para corregir los tratamientos de datos personales que no se adecuan a la normativa en materia de protección de datos de carácter personal y evitar que vuelvan a producirse vulneraciones como las que han dado lugar a la reclamación corrigiendo los efectos de la infracción, determinando las medidas necesarias con la finalidad de adecuarse a las exigencias contempladas en el artículo 32.1 del RGPD.

Así la Agencia recurre al artículo 58.2 b) del RGPD que permite la posibilidad de acudir al apercibimiento para corregir los tratamientos de datos personales que no se adecúen a sus previsiones.  De tal forma de le sanciona con apercibimiento “al considerar que la multa administrativa que pudiera recaer con arreglo a los dispuesto en el artículo 83.4.a) del RGPD constituiría una carga desproporcionada para el reclamado, amén de que no consta la comisión de ninguna infracción anterior en materia de protección de datos”.