Hace un mes escaso la Agencia Española de Protección de Datos (en adelante, la AEPD), publicó la resolución del Procedimiento Sancionador Nºº: PS/00305/2019, contra CORPORACIóN DE RADIO Y TELEVISIÓN ESPAÑOLA, S.A. y COMISIONES OBRERAS (en adelante, RTVE y CCOO, respectivamente). ¿La sanción económica? 60.000 euros¿La causa? La pérdida de 6 pendrives sin cifrar con información de aproximadamente once mil personas, con las siguientes categorías de datos afectados:
- Datos identificativos: nombre y apellidos, DNI, matrícula de RTVE, teléfono, dirección (postal y electrónica).
- Circunstancias personales: fecha de nacimiento, sexo, estado civil.
- Detalles del empleo: puesto de trabajo, categoría, nivel salarial, localidad de trabajo, fechas de jubilación.
- Categorías especiales de datos:
- Afiliación a CCOO, salud (resoluciones médicas, resoluciones de la Seguridad Social sobre incapacidades).
- Infracciones penales o condenas (sentencias completas con datos personales y posiblemente alguna notificación de embargo).
- En cuanto al número de afectados es muy elevado ya que los datos de partícipes del plan de pensiones se remontan a la fecha de inicio de este en 1995, y los datos del Censo de RTVE son de todos los empleados de esta, siendo muchos de ellos también partícipes del Plan de Pensiones.
Los datos personales son aquéllos que nos permiten identificar, sin realizar esfuerzos sobrehumanos, a un particular y, debemos pensar en ellos no como algo nimio y sin importancia, sino desde esta perspectiva: ¿Darías una copia de las llaves de tu vivienda a cualquier persona que te la pidiera? La respuesta sería que, rotundamente, no. Solo alguien que goce de nuestra confianza podría tener una copia de las llaves. Pues con los datos personales, ocurre lo mismo: sólo debemos facilitárselos a quienes realmente tengamos intención y, lo más importante, a quienes se los proporcionemos, tienen el deber legal de velar por protegerlos y emplearlos únicamente para el fin con el que han sido suministrados. Es decir, si una persona facilita a una compañía telefónica sus datos para contratar un servicio, pero no autoriza expresamente el envío de publicidad, esta empresa no puede emplear téccnicas de marketing directas frente al usuario, pues no ha obtenido su consentimiento expreso para llevarlas a cabo; como tampoco podría cederle los datos a una tercera empresa que nada tuviera que ver con el servicio contratado por el particular, para que ésta le ofrezca sus servicios (sean los que fueren).
Llegados a este punto, tanto particulares como empresas debemos ser conscientes de la importancia que tiene proteger los datos personales, no sólo por el miedo a una posible sanción económica, o por el temor a vernos sometidos a la opinión pública (no olvidemos que las sanciones que se aplican se publican) con la pérdida reputacional que conllevaría, sino que debemos pensar en que vivimos en un mundo cada vez más digital, en el que empleamos cada vez más Internet y otras aplicaciones para llevar a cabo diferentes acciones y no podemos perder de vista que los datos que facilitamos -o que manejamos- pueden abrir la puerta a nuestra intimidad -o a la de nuestros clientes, empleados, pacientes, alumnos, usuarios, etc.- a quienes realmente no estamos dispuestos a dejar entrar.
Raquel Rodríguez Acedo
Abogada y socia de iunne abogados