Con fecha de 25 de enero de 2019 se recibe una declaración de brecha de seguridad de CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA SA y COMISIONES OBRERAS.
Como consecuencia de ello la Agencia Española de Protección de Datos abre el expediente e inicia de oficio actuaciones previas de inspección que permitan el esclarecimiento de tales hechos.
De tales actuaciones se desprende que esta brecha de seguridad se ha producido por la pérdida de 6 pendrives con datos personales en la sede de COMISIONES OBRERAS dentro del edificio de CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA SA con datos de ambas entidades.
¿Por qué los pérdida de pendrives provocó una sanción a RTVE?
Según explica la resolución del procedimiento sancionador de la AEPD, se considera probado que en esos pendrive había datos de unas once mil personas:
*Datos identificativos: nombre y apellidos, DNI, matrícula de RTVE, teléfono, dirección (postal y electrónica).
*Circunstancias personales: fecha de nacimiento, sexo, estado civil.
*Detalles del empleo: puesto de trabajo, categoría, nivel salarial, localidad de trabajo, fechas de jubilación.
*Categorías especiales de datos: Afiliación a CCOO, salud (resoluciones médicas, resoluciones de la Seguridad Social sobre incapacidades), infracciones penales o condenas (completas con datos personales y posiblemente alguna notificación de embargo).
La desaparición de estos dispositivos se produjo en torno al 12 de noviembre de 2018, cuando se encontraban en un monedero en la Oficina de atención al Participe del Plan de Pensiones en Prado del Rey. La brecha de seguridad se declaró formalmente el 25 de enero de 2019, y el 14 de marzo de 2019 un reclamante perteneciente a la Unión Sindical Obrera de RTVE interpuso reclamación contra la Corporación.
Por su parte RTVE ha solicitado el archivo del procedimiento sancionador alegando que la brecha de seguridad se produjo en la oficina de Atención al Partícipe del Plan de pensiones, y no en la sede de Comisiones Obreras, y que los pendrives son propiedad de un delegado de sección sindical de CCOO, que formaba parte, como miembro, de la Comisión de Control del Plan de pensiones y que podía acceder a dicha oficina. Dicen por ello que la brecha de seguridad no es consecuencia de una actitud negligente por parte de RTVE.
Resolución de la sanción a RTVE
Sin embargo y a pesar de la argumentación de RTVE, la Directora de la Agencia Española de Protección de Datos ha resuelto imponer a RTVE una multa de sesenta mil euros por una infracción del artículo 32 del Reglamento General de Protección de Datos, tipificada en el artículo 83.4.
Abogado – Socio de Auris Advocats
DPO-Especializado en Protección de Datos y adaptación al nuevo RGPD