Protección de Datos lleva 14 años saltándose la ley al dejar al descubierto datos personales
La Agencia Española de Protección de Datos, AEPD, lleva desde el 2005 publicando resoluciones con nombres sin anonimizar, saltándose su normativa interna y la LOPD. ¿Por qué?
Lío interno en la Agencia Española de Protección de Datos, la AEPD. El principal organismo estatal independiente creado para proteger la privacidad de los ciudadanos y velar por el cumplimiento de la Ley de Protección de Datos (LOPD), lleva años saltándose precisamente esta ley. La agencia publicó esta semana una resolución atendiendo la reclamación presentada por una ciudadana contra la empresa Grupo Libitec por contactarla sin su consentimiento. El documento debería haber pasado inadvertido, igual que los cientos de resoluciones que publica cada año. Pero hubo un fallo: el nombre y apellidos de la demandante aparecieron publicados cuando la LOPD y las propias normas de la AEPD lo prohíben tajantemente. Lo peor: es un fallo básico que lleva ocurriendo al menos desde el 2005 y que la agencia sigue sin subsanar.
La resolución en cuestión, que se puede consultar aquí, ha sido ya corregida por la AEPD. Ahora, en lugar del nombre y apellidos de la afectada aparece un A.A.A, la fórmula usada por el organismo (y que debió aparecer desde el inicio) para asegurar el anonimato de los ciudadadanos. La persona afectada, que resultó ser socia de la agrupación de consumidores Facua, avisó a la AEPD del error a través de la asociación. Este diario pudo comprobar que una versión previa de la resolución mostraba su nombre completo y estuvo publicada durante casi 48 horas.
El fallo puede sonar trivial pero es bastante más relevante de lo que parece, sobre todo porque vulnera tanto la LOPD como la propia normativa interna de la agencia, que prohíbe la publicación de datos personales en sus resoluciones. Es más, la AEPD es la que impone sanciones y multas a otros organismos públicos y empresas precisamente por publicar datos personales por error. Las multas pueden llegar a una cuantía máxima de 20 millones de euros, pero un caso así en la práctica se situarían entre los 5.000 y los 20.000 euros, pudiendo llegar incluso a los 60.000 en situaciones más graves. Ahora se da la paradoja de que la AEPD debería denunciarse y multarse a sí misma. Algo que jamás ocurrirá.
La directora de la Agencia Española de Protección de Datos (AEPD), Mar España. (EFE)
La normativa interna vigente de la AEPD es muy clara al respecto: "La publicación de las resoluciones se realizará previa disociación de los datos de carácter personal a los que se refiere el artículo 3 a) de la Ley Orgánica 15/1999 [Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables]. Y la LOPD, en su artículo 10 sobre el deber del secreto y 11 sobre la comunicación de los datos, también. Consultada por este diario, la AEPD reconoce el fallo y asegura haber contactado con la persona afectada para notificarlo.
"Una vez advertido el error material, se ha procedido a sustituir el documento por otro en el que los datos personales figuran anonimizados, así como a notificar la quiebra de seguridad dentro del plazo de 72 horas, tal y como establece el artículo 33 del Reglamento (UE) 2016/679 (RGPD). Una vez hecho esto, el departamento de la Agencia que se ocupa del análisis de las quiebras notificadas procederá a su evaluación. El RGPD establece la obligación de comunicar al afectado cuando suponga un alto riesgo para sus derechos y libertades (artículo 34 RGPD). Si bien se ha estimado que la quiebra de seguridad no ha supuesto un alto riesgo, la Agencia ha decidido notificarlo al afectado como medida de transparencia, emplazándole a que puede dirigirse a la AEPD para obtener cualquier aclaración adicional", explican a Teknautas desde Protección de Datos.
El problema, sin embargo, va más allá de un error puntual. Este diario ha podido verificar que la AEPD lleva al menos desde el 2005 (se fundó en 1994) publicando cientos de resoluciones con datos personales sin anonimizar. Varios juristas consultados que trabajan de forma continua con la agencia aseguran que se trata de más de 500 resoluciones defectuosas en los últimos 14 años, unas 35 al año, aunque el número podría ser mayor.
La sede de la AEPD en Madrid.
"En cuanto alguien les comunica el fallo, lo corrigen de inmediato, pero si nadie lo hace ahí se queda. Y es un error importante. Imagina que te han demandado por instalar cámaras web en un local, la AEPD archiva el caso pero tu nombre completo aparece en la resolución. Google no las indexa, pero cualquiera puede colgarla en otra web, y entonces sí se indexarían. Es un tema de respeto a la privacidad: probablemente no quieres que tu familia, amigos o compañeros de trabajo se enteren de qué ha ocurrido. Y también es un incumplimiento de la ley, en especial del deber del secreto contemplado en la LOPD", explica un jurista conocedor de las irregularidades que pide mantener el anonimato para no dañar su relación laboral con la agencia. "Sé que es un asunto que les va a cabrear bastante".
¿Cómo se le está escapando semejante fallo a la AEPD desde el 2005? La respuesta está en la forma en la que el organismo revisa sus resoluciones. Un empleado primero resalta en el documento en su ordenador las palabras que deben ser anonimizadas. Luego lo pasa por un 'software' que las detecta y las anonimiza de forma automática. Si aparece un nombre, se sustituye por A.A.A, si hay un segundo nombre, por B.B.B. Si hay un número de teléfono, se cambia por Nº1, si hay otro, por Nº2 etc. Hay también una revisión manual final antes de la publicación en la web. El problema está precisamente en el factor humano: si al empleado se le pasa resaltar algún nombre, el 'software' no lo va a detectar.
Consultado por la recurrencia de este problema desde el 2005, la AEPD reconoce implícitamente su existencia al asegurar que procederá a revisar sus procesos internos. "La Agencia tiene establecido un procedimiento automatizado de anonimización de las resoluciones, al que se suma una posterior revisión manual antes de su publicación en la web. Se va a proceder a la revisión de este procedimiento", explican a este diario. El reconocimiento del fallo ha tardado 14 años en llegar. Pronto sabremos cuánto más tardará en resolverse.
Lío interno en la Agencia Española de Protección de Datos, la AEPD. El principal organismo estatal independiente creado para proteger la privacidad de los ciudadanos y velar por el cumplimiento de la Ley de Protección de Datos (LOPD), lleva años saltándose precisamente esta ley. La agencia publicó esta semana una resolución atendiendo la reclamación presentada por una ciudadana contra la empresa Grupo Libitec por contactarla sin su consentimiento. El documento debería haber pasado inadvertido, igual que los cientos de resoluciones que publica cada año. Pero hubo un fallo: el nombre y apellidos de la demandante aparecieron publicados cuando la LOPD y las propias normas de la AEPD lo prohíben tajantemente. Lo peor: es un fallo básico que lleva ocurriendo al menos desde el 2005 y que la agencia sigue sin subsanar.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F4df%2Fad2%2Fb98%2F4dfad2b981e67c9b3a823605bed29c1a.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F254%2Fb39%2F760%2F254b39760ac0adeb38dae5568f2fd64f.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fcc3%2F7e3%2F64b%2Fcc37e364bf1a5cb71641d7e51c54093c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fcc3%2F7e3%2F64b%2Fcc37e364bf1a5cb71641d7e51c54093c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F31b%2F2d6%2F378%2F31b2d63785f70057bf9680c2da8a7e41.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F31b%2F2d6%2F378%2F31b2d63785f70057bf9680c2da8a7e41.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F718%2Ff52%2F6fe%2F718f526feafa0acdd0b4d7b674e03acb.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F254%2Fb39%2F760%2F254b39760ac0adeb38dae5568f2fd64f.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F066%2Faa6%2Fa3f%2F066aa6a3f2c15651cd56cbc34606a9f5.jpg)