Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 34

La premisa esencial en esta materia se concreta en que los datos personales deben ser tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito, y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (artículo 5.1.f RGPD). Las medidas de seguridad técnicas y organizativas deben responder, en definitiva, a las conclusiones del informe de riesgos que debe ser realizado en toda organización, y, en su caso, la correspondiente evaluación de impacto en protección de datos, si se dieran los requisitos establecidos en el artículo 35 RGPD175. El RGPD también regula en su artículo 33 la notificación de las violaciones de seguridad que pueden suponer un riesgo para los derechos y libertades de las personas físicas a la AEPD176.

Pues bien, la AEPD en el Procedimiento No: PS/00389/2019177, concluyó que la entidad denunciada por la Policía Local había vulnerado el artículo 32 del RGPD, al producirse una brecha de seguridad en sus sistemas permitiendo y proporcionando el acceso a los datos relacionados con informes de reconocimientos médicos de trabajadores de una empresa que se encontraban esparcidos por el suelo.

Del mismo modo, en el Expediente se advierte de que la entidad reclamada no había dado respuesta siquiera a los requerimientos del Servicio de Inspección de la Agencia. Con todo, la AEPD determina una sanción de apercibimiento por infracción de los artículos 32.1; 33 y 34 RGPD, requiriendo, además, en el plazo de un mes, a fin de que acredite la adopción de las medidas de seguridad necesarias y pertinentes a fin de evitar que en el futuro vuelvan a producirse incidencias y la puesta en marcha de medidas adoptadas para proceder a la notificación en caso de una violación de la seguridad.