Resolución de la Agencia Española de Protección de Datos PS-00216-2022 de 22 de febrero de 2023

Cuestión

Expediente N.º: EXP202104953

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO : A.A.A. (en adelante, la parte reclamante), en fecha 11 de octubre de 2021,

interpuso...

Contestacion

1/14

? Expediente N.º: EXP202104953

RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR

Del procedimiento instruido por la Agencia Española de Protección de Datos y en base

a los siguientes

ANTECEDENTES

PRIMERO: A.A.A. (en adelante, la parte reclamante), en fecha 11 de octubre de 2021,

interpuso reclamación ante la Agencia Española de Protección de Datos. La

reclamación se dirige contra RESIDENCIAS AITA Y AMA BARAKALDO, S.L., con NIF

B95582862 (en adelante, la parte reclamada). Los motivos en que basa la reclamación

son los siguientes:

La reclamante expone que la entidad RESIDENCIAS AITA Y AMA BARAKALDO, S.L.

vulneró la normativa de protección de datos al remitir su carta de despido a todos los

trabajadores de la empresa. Según afirma, este documento fue enviado a un grupo de

WhatsApp en el que se informaba a los trabajadores de que la ***PUESTO.1, la

reclamante, había sido despedida, indicándose en el mensaje, que se adjuntaba la

carta de despido.

Junto a la reclamación aporta impresión de pantalla de la aplicación de mensajería

WhatsApp conteniendo los mensajes objeto de la reclamación.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de

diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales

(en adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada,

para que procediese a su análisis e informase a esta Agencia en el plazo de un mes,

de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la

normativa de protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de

1 de octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas (en adelante, LPACAP) mediante notificación electrónica, no fue recogido por

el responsable, dentro del plazo de puesta a disposición, entendiéndose rechazada

conforme a lo previsto en el art. 43.2 de la LPACAP, en fecha 11 de diciembre 2021,

como consta en el certificado que obra en el expediente.

Aunque la notificación se practicó válidamente por medios electrónicos, dándose por

efectuado el trámite conforme a lo dispuesto en el artículo 41.5 de la LPACAP, a título

informativo se envió una copia por correo postal que fue devuelta por el Servicio de

Correos por ?ausente en horas de reparto?, dejándose aviso en el buzón. En dicha

notificación, se le recordaba su obligación de relacionarse electrónicamente con la

Administración, y se le informaba de los medios de acceso a dichas notificaciones,

reiterando que, en lo sucesivo, se le notificaría exclusivamente por medios

electrónicos.

No se ha recibido respuesta a este escrito de traslado.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/14

TERCERO: En fecha 11 de enero de 2022, de conformidad con el artículo 65 de la

LOPDGDD, se comunica la admisión a trámite de la reclamación presentada por la

parte reclamante.

CUARTO: La Subdirección General de Inspección de Datos procedió a la realización

de actuaciones previas de investigación para el esclarecimiento de los hechos en

cuestión, en virtud de las funciones asignadas a las autoridades de control en el

artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)

2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de

conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la

LOPDGDD, teniendo conocimiento de los siguientes extremos:

ENTIDAD INVESTIGADA

RESIDENCIAS AITA Y AMA BARAKALDO, S.L. con NIF B95582862, con domicilio en

ALDAPA, 14 BAJO ? 48901, BARAKALDO (BIZKAIA).

RESULTADO DE LAS ACTUACIONES DE INVESTIGACIÓN

El documento aportado consiste en una impresión de pantalla de un grupo de usuarios

de la aplicación de mensajería WhatsApp, grupo de al menos 5 integrantes más la

receptora del mensaje, según la información que aparece en pantalla.

El nombre del grupo es ?Aita y Ama?.

En la impresión de pantalla se aprecia un mensaje remitido al citado grupo por el

contacto de nombre ?***CONTACTO.1? con el siguiente texto:

?Hola chicos, para vuestro conocimiento adjunto la Carta de despido de A.A.A.. A

partir del día de hoy, A.A.A. ya no trabaja en aita y ama. En su consecuencia, tampoco

es la ***PUESTO.1. (?). Un saludo?.

Se aprecia en la pantalla, como siguiente mensaje, un documento pdf de dos páginas,

remitido por el mismo contacto. En el documento pdf, del cual aparece su comienzo en

la impresión de pantalla aportada, consta como remitente la RESIDENCIA AITA Y

AMA, SL y se encuentra dirigido a la reclamante, no visualizándose el resto de su

contenido.

Se han emitido dos requerimientos de información para la investigación de los hechos,

no habiendo sido recogido ninguno de ellos por la parte reclamada.

Se ha encontrado una noticia sobre el cierre de la Residencia, publicada en NIUS,

diario de CONECTA5 TELECINCO, S.A.U. con el titular ?Cierran la residencia Aita y

Ama de Barakaldo por ?falta de personal y el desamparo de los usuarios?.

La noticia está fechada el 13/10/2021 y contiene el siguiente texto:

?La Diputación de Bizkaia toma está decisión tras la denuncia del sindicato ELA

que también asegura que han desaparecido "servicios como medicina o

enfermería?

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/14

La Diputación Foral de Bizkaia ha decretado el cierre temporal de la Residencia

Aita y Ama (Residencia Iñigo Loyola de Barakaldo) tras detectar ?varias

irregularidades? que fueron denunciadas por el sindicato ELA.

Según informan los trabajadores, los gestores del centro estaban cometiendo

infracciones tales como despidos injustificados, falta de cobertura de las

trabajadoras, que dejaran de realizarse los servicios de medicina o enfermería o

el incumplimiento en materia de ratio.

Fue en agosto de este año cuando ELA puso en conocimiento de la Diputación

Foral de Bizkaia la situación insostenible de esta residencia. ?Las irregularidades

se producen tras el traspaso de la residencia a una nueva propietaria, situación

que derivó en un absoluto desamparo de las personas residentes y trabajadoras.

Tras mes y medio de interpelación a las instituciones, de insistencia, y de

denuncias formales y públicas, el servicio de inspección y control de Bizkaia

constata la veracidad de los hechos denunciados por ELA y decreta el cierre

temporal de la residencia?, señalan en un comunicado.

Para el sindicato ?lo acontecido en la Residencia Iñigo de Loyola de Barakaldo es

un ejemplo claro de que el actual modelo de cuidados no funciona. La Diputación

de Bizkaia apuesta por un modelo de cuidados privatizados, dejando en manos de

empresas y/o propietarios el cuidado de las personas; empresas que priorizan el

beneficio económico a la vida?.

Por otro lado, la Diputación vizcaína tiene previsto ?dar las explicaciones

oportunas? sobre este cierre en la comisión de Sanidad que se celebrará este

jueves en la Juntas Generales.?

Con fecha 21 de abril de 2022, se encuentran otras noticias relativas al mencionado

cierre, no encontrándose ninguna sobre su reapertura.

Por otro lado, realizadas búsquedas de números de teléfono de la parte reclamada y

llamadas telefónicas a los números encontrados, no se consigue contactar con la

entidad reclamada.

Según noticias encontradas en Internet la Residencia Aita y Ama se encuentra

cerrada.

QUINTO: En fecha 21 de julio de 2022, la Directora de la Agencia Española de

Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada,

por la presunta infracción de los artículos 5.1.f) del RGPD y 32 del RGPD, tipificados

en los artículos 83.5 y 83.4 del RGPD, respectivamente

El acuerdo de inicio fue enviado, conforme a las normas establecidas en la Ley

39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas (en adelante, LPACAP), mediante notificación electrónica,

si bien no fue recogida por el responsable, dentro del plazo de puesta a disposición,

entendiéndose rechazada conforme a lo previsto en el art. 43.2 de la LPACAP, en

fecha 6 de agosto de 2022, como consta en el certificado que obra en el expediente.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/14

El acuerdo de inicio fue enviado vía postal y devuelto por el Servicio de Correos por

?ausente en reparto?, procediendo a su publicación en el Boletín Oficial del Estado, en

fecha 25 de noviembre de 2022, de acuerdo con lo establecido en el artículo 44 de la

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas.

SEXTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en

la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas (en adelante, LPACAP) y transcurrido el plazo otorgado

para la formulación de alegaciones, se ha constatado que no se ha recibido alegación

alguna por la parte reclamada.

El artículo 64.2.f) de la LPACAP -disposición de la que se informó a la parte reclamada

en el acuerdo de apertura del procedimiento- establece que si no se efectúan

alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando

éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada,

podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de

inicio del expediente sancionador determinaba los hechos en los que se concretaba la

imputación, la infracción del RGPD atribuida a la reclamada y la sanción que podría

imponerse. Por ello, tomando en consideración que la parte reclamada no ha

formulado alegaciones al acuerdo de inicio del expediente y en atención a lo

establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es

considerado en el presente caso propuesta de resolución.

A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos

en el presente procedimiento se consideran hechos probados los siguientes,

HECHOS PROBADOS

PRIMERO: Consta que la parte reclamada remitió la carta de despido de la parte

reclamante a un grupo de WhatsApp en el que se informaba a los trabajadores de que

la ***PUESTO.1, la reclamante, había sido despedida, indicándose en el mensaje que

se adjuntaba, la carta de despido.

SEGUNDO: Consta impresión de pantalla de la aplicación de mensajería WhatsApp

conteniendo los mensajes objeto de la reclamación.

FUNDAMENTOS DE DERECHO

I

De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679

(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada

autoridad de control y según lo establecido en los artículos 47 y 48.1 de la Ley

Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de

los Derechos Digitales (en adelante, LOPDGDD), es competente para iniciar y resolver

este procedimiento, la Directora de la Agencia Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD determina que: ?Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto

en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/14

reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter

subsidiario, por las normas generales sobre los procedimientos administrativos.?

II

Cuestiones previas

En el presente caso, de acuerdo con lo establecido en el artículo 4.1 del RGPD, consta

la realización de un tratamiento de datos personales, toda vez que RESIDENCIAS

AITA Y AMA BARAKALDO, S.L. es una residencia especializada en el cuidado de

personas mayores que para la asistencia y gestión de sus servicios, realiza

tratamientos de datos personales de sus usuarios y empleados.

Realiza esta actividad en su condición de responsable del tratamiento, dado que es

quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD:

«responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad

pública, servicio u otro organismo que, solo o junto con otros, determine los fines y

medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina

los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos

para su nombramiento podrá establecerlos el Derecho de la Unión o de los

Estados miembros.

El artículo 4 apartado 12 del RGPD define, de un modo amplio, las ?violaciones de seguridad

de los datos personales? (en adelante brecha de seguridad) como ?todas

aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración

accidental o ilícita de datos personales transmitidos, conservados o tratados de

otra forma, o la comunicación o acceso no autorizados a dichos datos.?

En el presente caso, consta una brecha de seguridad de datos personales en las

circunstancias arriba indicadas, categorizada como una brecha de confidencialidad,

toda vez que la parte reclamada ha revelado información y datos de carácter personal

a terceros, sin el consentimiento expreso del titular de dichos datos, al remitir a un

grupo de usuarios de la aplicación de mensajería WhatsApp, grupo de al menos 5

integrantes más la receptora del mensaje, la carta de despido de la parte reclamante,

en la que se puede apreciar su dirección postal completa y la causa del cese de la

relación laboral.

Según el GT29 se produce una ?Violación de la confidencialidad? cuando se produce

una revelación no autorizada o accidental de los datos personales, o el acceso a los

mismos.

Hay que señalar que la identificación de una brecha de seguridad no implica la imposición

de una sanción de forma directa por esta Agencia, ya que es necesario analizar la

diligencia de responsables y encargados y las medidas de seguridad aplicadas.

Dentro de los principios del tratamiento previstos en el artículo 5 del RGPD, la

integridad y confidencialidad de los datos personales se garantiza en el apartado 1.f)

del artículo 5 del RGPD. Por su parte, la seguridad de los datos personales viene

regulada en los artículos 32, 33 y 34 del RGPD, que reglamentan la seguridad del

tratamiento, la notificación de una violación de la seguridad de los datos personales a

la autoridad de control, así como la comunicación al interesado, respectivamente.

III

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/14

Artículo 5.1.f) del RGPD

Establece el artículo 5.1.f) del RGPD lo siguiente:

?Artículo 5 Principios relativos al tratamiento:

1. Los datos personales serán:

(?)

f) tratados de tal manera que se garantice una seguridad adecuada de los datos

personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra

su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas

u organizativas apropiadas («integridad y confidencialidad»).?

En relación con este principio, el Considerando 39 del referido RGPD señala que:

?[?]Los datos personales deben tratarse de un modo que garantice una seguridad y

confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso

o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento?.

La documentación obrante en el expediente ofrece indicios evidentes de que el

reclamado vulneró el artículo 5.1 f) del RGPD, principios relativos al tratamiento.

En el caso presente, y a falta de contestación de la parte reclamada, se puede

constatar según la documentación aportada por el reclamante, una impresión de

pantalla de un grupo de usuarios de la aplicación de mensajería WhatsApp, grupo de

al menos 5 integrantes más la receptora del mensaje. El nombre del grupo es ?Aita y

Ama?.

En la impresión de pantalla se aprecia un mensaje, en el que consta la causa del cese

de la relación laboral, remitido al citado grupo por el contacto de nombre

?***CONTACTO.1? con el siguiente texto:

?Hola chicos, para vuestro conocimiento adjunto la Carta de despido de A.A.A.. A

partir del día de hoy, A.A.A. ya no trabaja en aita y ama. En su consecuencia, tampoco

es la ***PUESTO.1. (?). Un saludo?.

Se aprecia en la pantalla, como siguiente mensaje, un documento pdf de dos páginas,

remitido por el mismo contacto. En el documento pdf, del cual aparece su comienzo en

la impresión de pantalla aportada, consta como remitente la RESIDENCIA AITA Y

AMA, SL y se encuentra dirigido a la reclamante. Asimismo, se puede visualizar la

dirección postal completa de la reclamante.

Los hechos conocidos constituyen, por parte del reclamado, en su condición de

responsable del reseñado tratamiento de datos personales, una vulneración del

principio de confidencialidad, al difundir esa información entre los empleados sin

constar que hubiera obtenido el consentimiento de la parte reclamante para ese

especifico tratamiento.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/14

En consecuencia, se considera que los hechos acreditados son constitutivos de

infracción, imputable a la parte reclamada, por vulneración del artículo 5.1.f) del

RGPD.

IV

Tipificación de la infracción del artículo 5.1.f) del RGPD

La citada infracción del artículo 5.1.f) del RGPD supone la comisión de las infracciones

tipificadas en el artículo 83.5 del RGPD que bajo la rúbrica ?Condiciones generales

para la imposición de multas administrativas? dispone:

?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 20 000 000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por

la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el

consentimiento a tenor de los artículos 5, 6, 7 y 9; (?)?

A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que

?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,

5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten

contrarias a la presente ley orgánica?.

A efectos del plazo de prescripción, el artículo 72 ?Infracciones consideradas muy

graves? de la LOPDGDD indica:

?1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se

consideran muy graves y prescribirán a los tres años las infracciones que supongan

una vulneración sustancial de los artículos mencionados en aquel y, en particular, las

siguientes:

a) El tratamiento de datos personales vulnerando los principios y garantías

establecidos en el artículo 5 del Reglamento (UE) 2016/679. (?)?

V

Artículo 32 del RGPD

Establece el artículo 32 del RGPD, seguridad del tratamiento, lo siguiente:

?1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la

naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de

probabilidad y gravedad variables para los derechos y libertades de las personas

físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y

organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo,

que en su caso incluya, entre otros:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/14

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y

resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos

personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia

de las medidas técnicas y organizativas para garantizar la seguridad del

tratamiento.

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en

cuenta los riesgos que presente el tratamiento de datos, en particular como

consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos

personales transmitidos, conservados o tratados de otra forma, o la comunicación o

acceso no autorizados a dichos datos.

3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un

mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento

para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del

presente artículo.

4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que

cualquier persona que actúe bajo la autoridad del responsable o del encargado y

tenga acceso a datos personales solo pueda tratar dichos datos siguiendo

instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de

la Unión o de los Estados miembros?.

El Considerando 74 del RGPD establece:

?Debe quedar establecida la responsabilidad del responsable del tratamiento por

cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En

particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces

y ha de poder demostrar la conformidad de las actividades de tratamiento con el

presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener

en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el

riesgo para los derechos y libertades de las personas físicas.?

Como quiera que el uso de WhatsApp es habitual para la comunicación y el envío de

documentos o imágenes de documentos, debe tenerse en cuenta a quien se envían

los mensajes cuando en dichos mensajes se incluyan datos personales, dado que si

estos datos no son de quien envía el mensaje o del destinatario de estos, debe existir

una justificación para enviar a terceras personas los datos personales por WhatsApp.

Los hechos puestos de manifiesto suponen la falta de medidas técnicas y

organizativas al posibilitar la exhibición de datos de carácter personal de la reclamante

con la consiguiente falta de diligencia por el responsable, permitiendo el acceso no

autorizado por terceros ajenos.

Hay que señalar que el RGPD en el citado precepto no establece un listado de las

medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

9/14

de tratamiento, sino que establece que el responsable y el encargado del tratamiento

aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve

el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la

naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad

y gravedad para los derechos y libertades de las personas interesadas.

Asimismo, las medidas de seguridad deben resultar adecuadas y proporcionadas al

riesgo detectado, señalando que la determinación de las medidas técnicas y

organizativas deberá realizarse teniendo en cuenta: la seudonimización y el cifrado, la

capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, la

capacidad para restaurar la disponibilidad y acceso a datos tras un incidente, proceso

de verificación (que no auditoría), evaluación y valoración de la eficacia de las

medidas.

En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán

particularmente en cuenta los riesgos que presente el tratamiento de datos, como

consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos

personales transmitidos, conservados o tratados de otra forma, o la comunicación o

acceso no autorizados a dichos datos y que pudieran ocasionar daños y perjuicios

físicos, materiales o inmateriales.

En este mismo sentido el considerando 83 del RGPD señala que:

?(83) A fin de mantener la seguridad y evitar que el tratamiento infrinja lo

dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar

los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el

cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la

confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación

con respecto a los riesgos y la naturaleza de los datos personales que deban

protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben

tener en cuenta los riesgos que se derivan del tratamiento de los datos personales,

como la destrucción, pérdida o alteración accidental o ilícita de datos personales

transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no

autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios

físicos, materiales o inmateriales?.

La responsabilidad del reclamado viene determinada por la falta de medidas de

seguridad, ya que es responsable de tomar decisiones destinadas a implementar de

manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un

nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos,

restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente

físico o técnico.

Por tanto, los hechos acreditados son constitutivos de una infracción, imputable a la

parte reclamada, por vulneración del artículo 32 RGPD.

VI

Tipificación de la infracción del artículo 32 del RGPD

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

10/14

La citada infracción del artículo 32 del RGPD supone la comisión de las infracciones

tipificadas en el artículo 83.4 del RGPD que bajo la rúbrica ?Condiciones generales

para la imposición de multas administrativas? dispone:

?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el

apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,

tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del

volumen de negocio total anual global del ejercicio financiero anterior, optándose por

la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8,

11, 25 a 39, 42 y 43; (?)?

A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que

?Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,

5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten

contrarias a la presente ley orgánica?.

A efectos del plazo de prescripción, el artículo 73 ?Infracciones consideradas graves?

de la LOPDGDD indica:

?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se

consideran graves y prescribirán a los dos años las infracciones que supongan una

vulneración sustancial de los artículos mencionados en aquel y, en particular, las

siguientes:

f) La falta de adopción de aquellas medidas técnicas y organizativas que

resulten apropiadas para garantizar un nivel de seguridad adecuado al

riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del

Reglamento (UE) 2016/679.?

VII

Responsabilidad

Establece la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en

el Capítulo III relativo a los ?Principios de la Potestad sancionadora?, en el artículo 28

la bajo la rúbrica ?Responsabilidad?, lo siguiente:

?1. Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa

las personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de

obrar, los grupos de afectados, las uniones y entidades sin personalidad jurídica y los

patrimonios independientes o autónomos, que resulten responsables de los mismos a

título de dolo o culpa.?

La falta de diligencia a la hora de implementar las medidas apropiadas de seguridad

con la consecuencia del quebranto del principio de confidencialidad constituye el

elemento de la culpabilidad.

VIII

Sanción

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

11/14

A fin de determinar la multa administrativa a imponer se han de observar las

previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:

?1. Cada autoridad de control garantizará que la imposición de las multas

administrativas con arreglo al presente artículo por las infracciones del presente

Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual

efectivas, proporcionadas y disuasorias.

2. Las multas administrativas se impondrán, en función de las circunstancias de cada

caso individual, a título adicional o sustitutivo de las medidas contempladas en el

artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa

administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza

, alcance o propósito de la operación de tratamiento de que se trate, así como el número

de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar

los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida

cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los

artículos 25 y 32;

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la

infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular

si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida

; i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas

previamente contra el responsable o el encargado de que se trate en relación con

el mismo asunto, el cumplimiento de dichas medidas;

j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación

aprobados con arreglo al artículo 42,

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,

como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente

, a través de la infracción.?

Por su parte, el artículo 76 ?Sanciones y medidas correctivas? de la LOPDGDD

dispone:

?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento

(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación

establecidos en el apartado 2 del citado artículo.

2. De acuerdo con lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679

también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos

de datos personales.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

12/14

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la

comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión

de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de

datos.

h) El sometimiento por parte del responsable o encargado, con carácter

voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos

supuestos en los que existan controversias entre aquellos y cualquier

interesado.?

Considerando los factores expuestos, la valoración que alcanza la cuantía de la multa

es de 2.000 ? por infracción del artículo 5.1 f) del RGPD, respecto a la vulneración del

principio de confidencialidad y de 1.500 ? por infracción del artículo 32 del citado

RGPD, respecto a la seguridad del tratamiento de los datos personales.

IX

Medidas

Asimismo, procede imponer la medida correctiva descrita en el artículo 58.2.d) del

RGPD y ordenar a la parte reclamada que, en el plazo de un mes, establezca las medidas

de seguridad adecuadas para que se adecúen los tratamientos a las exigencias

contempladas en los artículos 5.1 f) y 32 del RGPD, impidiendo que se produzcan situaciones

similares en el futuro.

En el texto de la resolución se establecen cuáles han sido las infracciones cometidas y

los hechos que han dado lugar a la vulneración de la normativa de protección de

datos, de lo que se infiere con claridad cuáles son las medidas a adoptar, sin perjuicio

de que el tipo de procedimientos, mecanismos o instrumentos concretos para

implementarlas corresponda a la parte sancionada, pues es el responsable del

tratamiento quien conoce plenamente su organización y ha de decidir, en base a la

responsabilidad proactiva y en enfoque de riesgos, cómo cumplir con el RGPD y la

LOPDGDD.

Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de

graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la

Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a RESIDENCIAS AITA Y AMA BARAKALDO, S.L., con NIF

B95582862,

-por una infracción del artículo 5.1.f) del RGPD, tipificada conforme a lo dispuesto en el

artículo 83.5 del RGPD, calificada como muy grave a efectos de prescripción en el

artículo 72.1 a) de la LOPDGDD, una multa de 2.000 ?.

-por una infracción del artículo 32 del RGPD, tipificada conforme a lo dispuesto en el

artículo 83.4 del RGPD, calificada como grave a efectos de prescripción en el artículo

73 f) de la LOPDGDD, una multa de 1.500 ?.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

13/14

SEGUNDO: REQUERIR a RESIDENCIAS AITA Y AMA BARAKALDO, S.L., con NIF

B95582862, que implante, en el plazo de un mes, las medidas correctoras necesarias

para adecuar su actuación a la normativa de protección de datos personales, que

impidan que en el futuro se repitan hechos similares, así como que informe a esta

Agencia, en el mismo plazo, sobre las medidas adoptadas.

TERCERO: NOTIFICAR la presente resolución a RESIDENCIAS AITA Y AMA

BARAKALDO, S.L.

CUARTO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una

vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el

art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo

Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago

voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado

por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003,

de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número

de procedimiento que figura en el encabezamiento de este documento, en la cuenta

restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia

Española de Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso

contrario, se procederá a su recaudación en período ejecutivo.

Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra

entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago

voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se

encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago

será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente

Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la

LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los

interesados podrán interponer, potestativamente, recurso de reposición ante la

Directora de la Agencia Española de Protección de Datos en el plazo de un mes a

contar desde el día siguiente a la notificación de esta resolución o directamente

recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la

Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de

la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la

Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la

referida Ley.

Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se

podrá suspender cautelarmente la resolución firme en vía administrativa si el

interesado manifiesta su intención de interponer recurso contencioso-administrativo.

De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante

escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través

del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb

/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la

citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la

documentación que acredite la interposición efectiva del recurso contencioso-

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

14/14

administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso

contencioso-administrativo en el plazo de dos meses desde el día siguiente a la

notificación de la presente resolución, daría por finalizada la suspensión cautelar.

938-120722

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es