¿La Agencia Española de Protección de Datos lleva 14 años saltándose la ley al dejar al descubierto datos personales?
La Agencia Española de Protección de Datos (AEPD) lleva desde el 2005 publicando ocasionalmente y por error, resoluciones con nombres sin llevar a cabo la anonimización de los datos, saltándose su normativa interna y la Ley Orgánica de Protección de Datos. ¿Por qué?
28/03/2019 05:00 – ACTUALIZADO: 29/03/2019 11:28
¿Cuándo se han dado cuenta?
El principal organismo estatal independiente creado para proteger la privacidad de los ciudadanos y velar por el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD), lleva años saltándose precisamente esta ley. La Agencia publicó esta semana una resolución atendiendo la reclamación presentada por una ciudadana contra la empresa Grupo XXXX, por contactarla sin su consentimiento. El documento debería haber pasado inadvertido, igual que los cientos de resoluciones que publica cada año. Pero hubo un fallo: el nombre y apellidos de la demandante aparecieron publicados cuando la normativa vigente sobre Protección de Datos y las propias normas de la AEPD lo prohíben tajantemente. Lo peor: es un fallo básico que lleva ocurriendo al menos desde el 2005 y que la Agencia sigue sin subsanar por no llevar acabo la anonimización de los datos.
La resolución en cuestión, que se puede consultar aquí, ha sido ya corregida por la AEPD. Ahora, en lugar del nombre y apellidos de la afectada aparece un A.A.A, la fórmula usada por el organismo (y que debió aparecer desde el inicio) para asegurar el anonimato de los ciudadanos. La persona afectada, que resultó ser socia de una agrupación de consumidores, avisó a la AEPD del error a través de la asociación.
Legislación que regula la anonimización de los datos
El fallo puede sonar trivial, pero es bastante más relevante de lo que parece, sobre todo porque vulnera tanto la normativa sobre Protección de Datos como la propia normativa interna de la Agencia, que prohíbe la publicación de datos personales en sus resoluciones. Es más, la AEPD es la que impone sanciones y multas a otros organismos públicos y empresas precisamente por publicar datos personales por error. Las multas pueden llegar a una cuantía máxima de 20 millones de euros, pero un caso así en la práctica se situaría entre los 5.000 y los 20.000 euros, pudiendo llegar incluso a los 60.000 en situaciones más graves.
La normativa interna vigente de la AEPD es muy clara al respecto: «La publicación de las resoluciones se realizará previa disociación de los datos de carácter personal”. La AEPD ha reconocido el fallo y asegurado haber contactado con la persona afectada para notificarlo.
Medidas adoptadas por la AEDP
«Una vez advertido el error material, se ha procedido a sustituir el documento por otro en el que los datos personales figuran anonimizados, así como a notificar la quiebra de seguridad dentro del plazo de 72 horas, tal y como establece el artículo 33 del Reglamento (UE) 2016/679 (RGPD). Una vez hecho esto, el departamento de la Agencia que se ocupa del análisis de las quiebras notificadas procederá a su evaluación. El RGPD establece la obligación de comunicar al afectado cuando suponga un alto riesgo para sus derechos y libertades (artículo 34 RGPD). Si bien se ha estimado que la quiebra de seguridad no ha supuesto un alto riesgo, la Agencia ha decidido notificarlo al afectado como medida de transparencia, emplazándole a que puede dirigirse a la AEPD para obtener cualquier aclaración adicional», explican a Teknautas desde la Agencia.
El problema
El problema, sin embargo, va más allá de un error puntual. Se ha podido verificar que la AEPD lleva al menos desde el 2005 (se fundó en 1994) publicando cientos de resoluciones con datos personales sin anonimización. Varios juristas consultados que trabajan de forma continua con la Agencia aseguran que se trata de más de 500 resoluciones defectuosas en los últimos 14 años, unas 35 al año, aunque el número podría ser mayor.
«En cuanto alguien les comunica el fallo, lo corrigen de inmediato, pero si nadie lo hace ahí se queda. Y es un error importante. Imagina que te han demandado por instalar cámaras web en un local, la AEPD archiva el caso, pero tu nombre completo aparece en la resolución. Google no las indexa, pero cualquiera puede colgarla en otra web, y entonces sí se indexarían. Es un tema de respeto a la privacidad: probablemente no quieres que tu familia, amigos o compañeros de trabajo se enteren de qué ha ocurrido. Y también es un incumplimiento de la ley, en especial del deber del secreto contemplado en la normativa sobre Protección de Datos«, explica un jurista conocedor de estas irregularidades.
¿Cómo se le está escapando semejante fallo a la AEPD desde el 2005?
La respuesta está en la forma en la que el organismo revisa sus resoluciones. Un empleado primero resalta en el documento en su ordenador las palabras que deben ser anonimizadas. Luego lo pasa por un ‘software’ que las detecta y las anonimiza de forma automática. Si aparece un nombre, se sustituye por A.A.A, si hay un segundo nombre, por B.B.B. Si hay un número de teléfono, se cambia por Nº1, si hay otro, por Nº2 etc. Hay también una revisión manual final antes de la publicación en la web. El problema está precisamente en el factor humano: si al empleado se le pasa resaltar algún nombre, el ‘software’ no lo va a detectar. Consultada por la recurrencia de este problema desde el 2005, la AEPD reconoce implícitamente su existencia al asegurar que procederá a revisar sus procesos internos.
«La Agencia tiene establecido un procedimiento automatizado de anonimización de las resoluciones, al que se suma una posterior revisión manual antes de su publicación en la web. Se va a proceder a la revisión de este procedimiento«, explican. El reconocimiento del fallo ha tardado 14 años en llegar. Pronto sabremos cuánto más tardará en resolverse.