Enviar datos personales por email sin cifrar puede acarrear una sanción
La comunicación de datos de carácter personal a través de diversos medios, como, por ejemplo, el correo electrónico, es una práctica que necesariamente todas las entidades, públicas y privadas, tendrán que llevar a cabo en algún momento.
A pesar de ser un aspecto al que, por resultar tan cotidiano, no se presta especial atención, el envío de este tipo de datos a través de medios de comunicación digitales, puede entrañar una serie de riesgos, especialmente vinculados a la posibilidad de que alguien pueda captar esa comunicación, y consecuentemente, esos datos personales.
Por ello, es importante adoptar medidas de seguridad, orientadas a evitar posibles vulneraciones de la confidencialidad de esa información, previniendo, no solamente del acceso de terceros que pudieran interceptar esas comunicaciones, sino también evitar el conocimiento de la información derivada de un error en el destinatario de la información.
Sanción por el envío de datos personales por email de los clientes
La AEPD sanciona con 11.000 euros a una farmacia por el envío de informaicón personal de sus clientes a través de correo electrónico sin legitimación y sin adopción de medidas de seguridad.
La AEPD inició una investigación tras recibir una denuncia por parte de la Direcció General D’Ordenació i Regulació Sanitària de la Comunidad Autónoma de Cataluña, tras la realización de inspecciones a oficinas de farmacia en el ejercicio de sus competencias, en la cual se detectaron posibles vulneraciones de la normativa de protección de datos respecto al tratamiento de datos personales de residentes en centros geriátricos por parte de determinadas oficinas de farmacia como, entre otros: presuntos accesos y cesiones ilícitos a datos personales de salud o el intercambio de datos personales a través de medios electrónicos no seguros.
De las investigaciones llevadas a cabo por la AEPD, se pudo comprobar la existencia de un acceso concedido por parte de una farmacia a otra a la base de datos de pacientes de residencias a los cuales la primera prestaba un servicio de SPD. La otra farmacia, accedía a dicha base de datos con unas claves facilitadas por parte de la primera, a través de los cuales obtenía los CIP de las personas residentes, para acceder a su receta electrónica y proceder a la dispensación de los pañales a las personas que se le indicaban en un Excel enviado por correo electrónico también por la primera farmacia. Posteriormente, la farmacia enviaba una relación de la aportación monetaria de los residentes atendidos, que se remuneraba por parte de la otra farmacia.
De las investigaciones realizadas, se pudo concluir, en primer lugar, que el tratamiento de datos personales llevado a cabo por la farmacia para la dispensación de los pañales a las residencias, a través de los datos obtenidos por pare de la otra farmacia, carecía de legitimación, al no haberse recogido el consentimiento de estas personas para este tratamiento de datos personales por parte de esta farmacia.
Además, también se pudo detectar que, en ningún momento la farmacia informó a estas personas, a través de una cláusula o de un contrato de prestación de servicios, acerca del tratamiento de sus datos personales.
Por último, y como aspecto más relevante acerca de esta sanción, la AEPD consideró el envío de datos personales a través de correo electrónico, sin adoptar medidas de seguridad, como, por ejemplo, el cifrado del documento, en la línea de algunas de sus últimas resoluciones emitidas por la autoridad. Estas medidas de seguridad pueden haber sido provistas por el proveedor del correo electrónico (las cuales deberán estar documentadas), pero, en caso contrario, tendrá que ser el Responsable del Tratamiento quien las implemente.
¿Qué artículos se infringen?
Por la presunta infracción del artículo 6 del RGPD, al carecer de base de legitimación, se impone una multa administrativa de 5.000 euros.
Por la presunta infracción el artículo 14 del RGPD, por la vulneración del deber de información y trasparencia, se impone una multa administrativa de 3.000 euros.
Por la presunta infracción del artículo 32 del RGPD, por la comunicación a través de correo electrónico de información personal de los residentes, se impone una multa administrativa de 3.000 euros.
