Esto implica que las entidades y personas que traten información personal están obligadas a proteger su confidencialidad, previniendo accesos no autorizados y garantizando la confidencialidad de los datos personales.

Nuestra Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), en su artículo 5, refuerza esta obligación, subrayando que toda persona que intervenga en el tratamiento de datos personales debe respetar el deber de secreto, incluso después de finalizar su relación con el responsable o encargado del tratamiento.

La obligación general del deber de confidencialidad contenida en la normativa de protección de datos es complementaria con el deber de secreto profesional de conformidad con su normativa aplicable.

IMPORTANTE

 Los responsables, encargados del tratamiento y cualquier persona involucrada en el tratamiento de datos deben mantener la confidencialidad en todas las etapas del proceso.

La entrada Deber de confidencialidad en la protección de datos se publicó primero en Adaptación RGPD.

Uno de los principios relativos al tratamiento que se recoge en el artículo 5 del RGPD es el principio de integridad y confidencialidad. Los datos tienen que ser tratados de forma que se garantice una seguridad adecuada de datos personales incluyendo la protección contra el tratamiento no autorizado o ilícito.

En este caso la reclamante solicitó a la asesoría fiscal un justificante de las gestiones y documentos presentados ante la Agencia Tributaria. El justificante entregado contenía un documento electrónico emitido por la Agencia Tributaria que hacía referencia a otro administrado, con el código seguro de verificación se pudo acceder a datos personales que no correspondían a la parte reclamante. Por esta causa, la AEPD sancionó a la reclamada con la cantidad de 2.000 €. Además, en el momento de producirse la brecha, las medidas de seguridad de que disponía la parte reclamada eran insuficientes para garantizar la confidencialidad de los datos personales. Se le sanciona con 1.000 € por la falta de medidas de seguridad apropiadas.

IMPORTANTE

El responsable y encargado del tratamiento deben aplicar las medidas de seguridad técnicas y organizativas apropiadas para garantizar la confidencialidad de los datos personales.

La entrada Sancionada una asesoría fiscal por falta de confidencialidad en el tratamiento de datos personales se publicó primero en Adaptación RGPD.

La reclamante manifestó en su escrito que se habían cedido datos personales sin su consentimiento, puesto que el paquete que deberían haberle entregado a ella al encontrarse ausente, se lo entregaron a una vecina de su comunidad sin que ella hubiera manifestado su consentimiento.

Ante esta reclamación, la empresa de mensajería alega que en los términos de su contrato se recoge la posibilidad de entrega al vecino si el receptor no estuviera disponible salvo que se excluya esta opción. Ante lo cual, el establecimiento online donde fue comprado el producto debería haber marcado esta excepción.

La AEPD dispone en su resolución que no se puede hacer responsable al establecimiento ya que no existía ninguna relación de encargado del tratamiento y por lo tanto el comercio online no tenía instrucciones de cómo realizar el tratamiento. Se le sanciona con 50.000 € por infringir el art.5.1. f del RGPD ante la falta de confidencialidad y con 20.000 € por no haber aplicado medidas de seguridad adecuadas que garantizasen la confidencialidad en el tratamiento de los datos.

IMPORTANTE

El responsable del tratamiento debe aplicar medidas de seguridad técnicas y organizativas adecuadas para garantizar la confidencialidad de los datos.

La entrada Empresa de reparto sancionada con 70.000 € por infringir la normativa de protección de datos se publicó primero en Adaptación RGPD.

Algunas de estas medidas podrían ser las enumeradas a continuación:

• Diseñar funciones y responsabilidades de la plantilla de personal.
• Formar adecuadamente a las personas trabajadoras según el grado de responsabilidad que contribuya a crear una cultura de compromiso con la protección de datos.
• Advertir y formar, inclusive, los perfiles que no tienen relación directa con el tratamiento de datos personales.
• Valorar la designación de un delegado de protección de datos, con expertos formados en la materia, que asesoren en el cumplimiento de la normativa y el principio de responsabilidad proactiva.

El incumplimiento del deber de secreto y seguridad suponen graves perjuicios para la empresa y su reputación.

IMPORTANTE

La falta de adopción de medidas técnicas y organizativas para aplicar los principios de protección de datos supone una sanción grave.

La entrada Deber de secreto y seguridad en el ámbito laboral (II) se publicó primero en Adaptación RGPD.

La obligación general de confidencialidad será complementaria de los deberes de secreto profesional. Además, este articulo señala que las obligaciones de confidencialidad y de secreto profesional se mantendrán, aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.

Por su parte, el responsable y encargado del tratamiento deben garantizar, no solamente, la confidencialidad, sino también, la disponibilidad de los datos, su pronta recuperación ante cualquier ataque y la integridad de los datos para que no puedan ser maliciosamente manipulados.

La empresa tiene que disponer de políticas de cumplimiento de estos dos principios.

IMPORTANTE

La vulneración del deber de confidencial es considerada una infracción grave en la LOPDGDD.

La entrada Deber de secreto y seguridad en el ámbito laboral(I) se publicó primero en Adaptación RGPD.