Blogia
Derecho de las Nuevas Tecnologías

Una de inspecciones de la Agencia de Protección de Datos

Una de inspecciones de la Agencia de Protección de Datos Aunque no lo creáis, a veces puede resultar divertido leer resoluciones de la Agencia de protección de datos (APD). Por ejemplo, una en la que se abre expediente sancionador contra una Asociación de discapacitados, por no cumplir con las medidas de seguridad exigidas por la normativa (artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal - LOPD, y Real Decreto 994/1999 de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal).


El asunto se inicia por la denuncia de un solicitante de empleo, ya que la Asociación cuenta con una Bolsa de trabajo. No debemos olvidar que esta Asociación trata datos de discapacitados, por lo que el nivel de seguridad a aplicar en aquellos ficheros que tratan estos datos, deben usar las medidas de nivel alto, al ser el grado de discapacidad un dato de salud.


El caso es que se presentan los inspectores de la APD y se produce la siguiente conversación, según declaran los propios inspectores:

A la pregunta que realizan a Dña. A en relación con la existencia del preceptivo documento de seguridad, se indica lo siguiente: “Respecto a si sabe lo que es un Documento de Seguridad, en el Acta de Inspección consta la respuesta siguiente: “La Asociación no dispone actualmente de un documento de Seguridad tal y como se hace referencia en el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal, publicado mediante el Real Decreto 994/1999, de 11 de junio. No obstante, el representante de la Asociación quiere hacer constar la voluntad de cumplir con lo establecido en dicho reglamento, y expresa su intención de regularizar todos los aspectos relativos a la normativa vigente en lo relativo a los ficheros automatizados que contengan datos de carácter personal. Respuesta que acredita que Dña. A. sí sabía de lo que se le estaba preguntando.”


O sea, que al decir de los inspectores, la señora sabía la denominación del Reglamento de medidas de seguridad de carrerilla. La verdad, si esto fue así, la cosa tiene mérito, ya que no me lo sé ni yo, que trabajo en estos temas (será porque no me interesa saberme de memoria el día de aprobación de las normas). Pero lo que me hizo gracia fue que la señora A. quiere hacer constar la voluntad de la Asociación de cumplir con todo lo que haya que cumplir, oiga. Faltaría más. Lástima que ya sea demasiado tarde.


Pero sigamos con la inspección: "Durante la visita de inspección se realizaron algunas comprobaciones, cuyo resultado consta en el Acta de Inspección: Se accede a través de un aplicación informática denominada SOIB, implementada sobre la una base de datos Microsoft Access, que los representantes de la entidad manifiestan ha sido facilitada por el SOIB, realizándose una búsqueda de datos relativos al NIF “00.000.000#”. Se verifica la no existencia de información relativa al mismo, obteniéndose copia impresa de la búsqueda realizada. Se accede a una aplicación informática, implementada sobre otra base de datos Microsoft Access, que los representantes de la entidad manifiestan utilizar para la gestión de la bolsa de trabajo, verificándose que dicha aplicación no requiere la identificación ni autenticación del usuario. Asimismo, los Inspectores actuantes durante la fase de investigaciones previas, en respuesta al cuestionario facilitado por la Asociación han señalado que en el momento en que acudieron a la sala en la que se ubicaba el ordenador en el que se realizaron las comprobaciones la puerta se encontraba abierta sin restricciones."

O sea, que las medidas de seguridad brillaban por su ausencia y los inspectores de la APD, sin necesidad de profundizar mucho, detectaron unas cuantas irregularidades en este sentido.


Total, para acabar imponiendo a la Asociación una multa de 6.010,12 € (poco me parece, pero claro, si le imponen una multa mayor, adios a la Asociación).


Podríamos comentar algún aspecto más de esta resolución, si tenéis interés, como el tema de la representación de la persona que atiende a los inspectores. Ya diréis.

3 comentarios

Antonio -

Pues sí, has acertado: tenían un fichero inscrito. Y encima acusaban a un ex-empleado de llevarse datos de la empresa.

Javier -

Déjame adivinar. ¿Dña. A. también era la responsable de seguridad?.

Bueno, si no tenían Documento de Seguridad ni habían implantado medidas, ¿qué habían hecho?, ¿notificar la existencia de los ficheros?.

M@x -

ah! que vas a dejarnos a medias?

muy bonita la bola del mundo, por cierto.