Tirón de orejas de la Agencia de Protección de Datos

Dentro de las resoluciones que regularmente publica la Agencia Española de Protección de Datos, nos parece particularmente grave que a una empresa con un GRAN volumen de negocio, cientos o miles de empleados en varias sedes en España, la Agencia le de un tirón de orejas, no en cuanto a la vulneración de los artículos de la Ley o el Reglamento, que ya es grave, sino en cuanto a la documentación de la que debe disponer.

En este sentido, en la resolución dejan este comentario sobre el Documento de Seguridad: “En la inspección a XXXXXXX. ya citada se aportó copia del Documento de Seguridad y del Documento de Auditoria Bienal de cumplimento de la LOPD. Una vez examinado el denominado “Documento de Seguridad”, se comprobó que tenía solamente 16 páginas, resultando sumamente escueto para el tamaño de la empresa, y en muchos de sus puntos se limitaba a copiar el artículo del RLOPD de referencia, o solo parte de él, no informando de la forma de implementación, ni remitiendo a algún anexo al documento en el que se viniese a desarrollar el punto en cuestión (folios 21, 70 a 85 y 137). Se comprobó que no constaban en dicho documento ni la identificación de los responsables de seguridad ni los controles periódicos que se debían realizar para la verificación del cumplimiento del propio  Documento de Seguridad.

Y sobre el Informe de Auditoría: “en la inspección se aportó también el documento denominado “Auditoría bienal del cumplimiento de lo establecido en la LOPD y en su Reglamento de desarrollo”, fechado el 18 de diciembre de 2013, documento también sumamente escueto, con apenas cuatro páginas para todo el Grupo XXXXX (seis empresas, una de las cuales es la propia XXXXXXXXXXXX), siendo el informe propiamente dicho de dos páginas, y dentro de ellas aparece: <<Nuestro trabajo ha sido realizado exclusivamente mediante el análisis de la documentación facilitada por las Sociedades y está basado en preguntas y discusiones realizadas durante las entrevistas mantenidas con los distintos responsables de las áreas afectadas….
En todo caso, a nuestro juicio, la situación actual de las entidades auditadas con relación al nivel de cumplimiento de la legislación vigente en materia de seguridad de los datos de carácter personal respecto de sus instalaciones, sería FAVORABLE>> (folios 21, 86 a 91 y 137).
Se ha adjuntado al escrito de alegaciones a la propuesta de resolución un Informe de auditoría bienal en materia de Protección de Datos del Grupo XXXXX, de fecha 6 de noviembre de 2013, documento que no fue facilitado en la inspección realizada, pues es distinto al sí aportado, el citado documento de fecha 18 de diciembre de 2013.
Por ello, se puede hablar de que nos encontramos con una apariencia de auditoría, sin comprobaciones reales de los procedimientos y sistemas existentes, dado que el análisis llevado a cabo se hizo “exclusivamente” por la documentación aportada por la entidad, basándose en “preguntas y discusiones realizadas durante las entrevistas mantenidas”; por lo que, aunque importante tal documentación facilitada,resultaba manifiestamente insuficiente, sin acreditarse una implementación de medidas de seguridad efectivas, con su puesta en práctica de manera real.

La resolución sancionadora es bastante extensa (unas 30 páginas) y culmina con una multa de 50.000 euros a la empresa.

No sabemos si esta empresa tiene o no una consultora encargada de tal siniestro, pero lo que sí queremos deciros es que en Legitec este caso tendría unas posibilidades de haberse producido del 0% con nuestros clientes, ya que nuestras políticas de verificaciones regulares, generación de informes, consejos y atención personalizada harían imposible que se cometieran estas negligencias.

Si queréis ahondar en la resolución, os la dejamos aquí: 

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2015/common/pdfs/PS-00230-2015_Resolucion-de-fecha-23-09-2015_Art-ii-culo-9-LOPD.pdf

Leave a Comment