//
you're reading...
Sanciones

Procedimiento sancionador a VALORA GESTIÓN TRIBUTARIA por infracción grave al vulnerar el artículo 9 de la LOPD


La entidad VALORA GESTIÓN TRIBUTARIA, organismo autónomo local de carácter administrativo creado por el Cabildo de Gran Canaria, ha sido sancionada por incumplimiento del artículo 9 de la LOPD, en relación con el artículo 92 del RD 1720/2007, de 21 de diciembre.

Los hechos se remontan al 26/02/2016 cuando un ciudadano presentó la denuncia ante la AEPD al recibir en su domicilio, una notificación de VALORA mediante carta certificada en la que el frontal de la misma constaba, junto a sus datos personales, el motivo de la comunicación: “Notificación de embargo de cuentas corrientes” y “Providencia de embargo trabajador“, siendo esa información accesible a terceras personas.

 En la primera carta: NOTIFICACIÓN DE EMBARGO DE CUENTA CORRIENTE NOTIFICACIÓN Nº: *********1 EXPEDIENTE Nº: 2015-01-***** GRUPO: XXXXX

 Y en la segunda: EMBSAL: PROVIDENCIA EMBARGO TRABAJADOR NOTIFICACIÓN Nº: *********2 EXPEDIENTE Nº: 2015-01-***** GRUPO: XXXXX

Se imputa a la entidad VALORA GESTIÓN TRIBUTARIA. el incumplimiento del principio de seguridad de los datos personales que constan en sus ficheros. A este respecto, el artículo 9 de la LOPD, dispone:

“1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley”.

El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

El Artículo 92.3 del reglamento, bajo el epígrafe, Gestión de soportes y documentos dice: En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

“Así, VALORA GESTIÓN TRIBUTARIA. está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros. Sin embargo, ha quedado acreditado que la citada entidad incumplió esta obligación, al establecer un sistema de notificaciones de los embargos correspondientes a los ciudadanos, que no impide de manera fidedigna que los datos personales de éstos: nombre, apellidos y domicilio completo, puedan ser accesibles por terceros, asociados a su situación de «embargado».”

“VALORA GESTIÓN TRIBUTARIA manifestó en su escrito de 31 de agosto de 2016, que en los sobres en cuestión sólo constan los datos del titular a efectos de notificación, nombre del procedimiento administrativo seguido en cada caso e identificación numérica del mismo, no considerando que con ello se esté facilitando ningún dato que deba estar protegido a efectos de la LOPD, y todo ello en base a identificar cada notificación remitida, así como informar al ciudadano del procedimiento seguido en que es parte interesada.

Sin embargo, tal alegato no puede ser aceptado.

En primer lugar, lo que es objeto de valoración en el presente caso es la vinculación de las expresiones que figuran en las cartas (notificación en embargo de cuenta corriente y providencia de embargo trabajador) con los datos del denunciante. La indicación en los frontales de las cartas del nombre del procedimiento del que se trata, o sobre el asunto que versa el mismo, lo que unido a los datos del denunciante, nombre, apellidos y domicilio, permite la asociación de ambas informaciones y la posibilidad de que terceras personas puedan acceder a ellos. Esta forma de comunicación impide salvaguardar la confidencialidad de la correspondencia, pues asocia las expresiones cuestionadas con los datos personales del destinatario, y en el caso que nos ocupa, permite conocer que el denunciante está en inmerso en un proceso de embargo.”

“El artículo 44.3.h) de la LOPD, considera infracción grave: “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. En el caso examinado, de las actuaciones practicadas ha quedado acreditado que VALORA GESTIÓN TRIBUTARIA vulneró el artículo 9 de la LOPD, en relación con el artículo 92 del Reglamento de desarrollo de la LOPD, al enviar dos cartas certificadas con la expresión “notificación en embargo de cuenta corriente”, en una y “providencia de embargo trabajador” de manera visible, permitiendo la vinculación de esta información con los datos personales del denunciante.”

Visto este procedimiento sancionador AAPP-00065/2016 se puede percibir claramente la actitud nada diligente de este organismo a la hora de comunicar a la ciudadanía las notificaciones, poniendo a disposición pública de terceros información que es de carácter confidencial.

Anuncios

Comentarios

Aún no hay comentarios.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Estadística del blog

  • 108,410 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: