Brecha de seguridad en la Agencia de Protección de Datos: desvela por error el DNI de trabajadores
- Envío equivocado
- Reconocimiento del incidente
- Solicitud de acceso a la información
- Negativa inicial a facilitar la fecha
- Obligación de facilitar el dato
- Posición de la agencia
- Acceso al documento
- Tratamiento posterior de los datos
La propia Agencia reconoce que se trató de una brecha de seguridad, aunque la enmarca en un “fallo administrativo” y sostiene que no tuvo consecuencias relevantes para los afectados porque la información no se hizo pública.
Envío equivocado
El incidente se produjo en el contexto de un procedimiento ya abierto entre el ciudadano y la AEPD. El afectado había presentado previamente una reclamación y figuraba como parte interesada en ese expediente.
En ese marco, la Agencia debía remitir un requerimiento a una empresa relacionada con el caso. Sin embargo, el documento se envió por equivocación al propio reclamante, en lugar de a su destinatario correcto. Ese escrito incluía varios anexos con datos personales de integrantes de la empresa.
En concreto, el documento contenía nombres, apellidos, números de DNI y firmas manuscritas de varias personas. En total, figuraban diez personas identificadas, lo que da lugar a la brecha de seguridad en el tratamiento de los datos.
Reconocimiento del incidente
La AEPD reconoce que se produjo una violación de seguridad de los datos personales y que el incidente fue documentado internamente.
Según la información trasladada por la Agencia, los datos afectados eran de carácter identificativo. Además, señala que la mayoría de esos datos ya eran conocidos por el propio reclamante, al haber sido aportados por él mismo en un procedimiento anterior. En concreto, indica que los nombres y apellidos y ocho de los números de DNI ya estaban en su poder.
Solicitud de acceso a la información
Tras recibir el documento, el ciudadano solicitó acceder a la información relativa a la gestión de ese incidente. En un primer momento, pidió distintos documentos y registros internos relacionados con la brecha.
Durante la tramitación de su solicitud, fue acotando su petición hasta centrarse en un único dato: la fecha en la que la Agencia comunicó la brecha de seguridad.
La AEPD respondió concediendo un acceso parcial a la información. Confirmó la existencia de la brecha y su documentación interna, pero rechazó facilitar determinados datos, entre ellos la fecha solicitada.
Negativa inicial a facilitar la fecha
La Agencia justificó su negativa en que la difusión de esa información podía afectar a sus funciones de control, inspección e investigación. También señaló que proporcionar únicamente ese dato, sin el resto del contexto, podría dar lugar a una información incompleta.
Asimismo, recordó que la normativa establece distintos supuestos en los que la notificación de una brecha puede no ser obligatoria en determinados términos, en función del nivel de riesgo para los afectados.
Obligación de facilitar el dato
Finalmente, la Agencia deberá facilitar al solicitante la fecha en la que comunicó la brecha de seguridad.
El acceso a ese dato se limita exclusivamente a la fecha, sin que se extienda a otros contenidos o detalles sobre el incidente.
Posición de la agencia
La AEPD sostiene que el incidente se debió a un “error administrativo accidental” y que no ocasionó daño ni perjuicio a las personas afectadas.
Según su explicación, el impacto fue limitado debido a que los datos no eran especialmente sensibles y ya eran conocidos en gran parte por el propio reclamante.
La Agencia también indica que no se realizaron actuaciones adicionales tras el incidente, al considerar que no existía un riesgo relevante para los derechos y libertades de las personas afectadas.
Acceso al documento
En relación con la difusión de la información, la AEPD señala que el documento no estuvo accesible públicamente en ningún momento.
Según su versión, el acceso al mismo solo era posible mediante un Código Seguro de Verificación (CSV), que fue facilitado exclusivamente al propio reclamante dentro del procedimiento administrativo.
La Agencia añade que fue el propio ciudadano quien facilitó ese código a terceros, permitiendo así el acceso al documento por parte de otras personas.
Tratamiento posterior de los datos
En este sentido, la AEPD recuerda que el acceso y uso de datos personales por parte de terceros está sujeto a la normativa vigente en materia de protección de datos.
Indica que, al facilitar el acceso a terceros, el reclamante habría llevado a cabo un tratamiento de datos personales, lo que implica el cumplimiento de las obligaciones establecidas en el Reglamento General de Protección de Datos.