La Fundación Lex NOSTRA para la promoción de la mediación y de la educación jurídica ha sido sancionada con una sanción administrativa de más de 13.000 PLN para no haber notificado a la autoridad de control una violación de la protección de datos personales sin injustificado retraso y para no haber justificado el accidente a los interesados.
Además, UODO ha ordenado a la Fundación de notificar a los interesados la violación dentro de tres días desde la entrega de la decisión.
En otoño de 2020, la Oficina de Protección de Datos Personales (UODO) ha recibido una notificación de una sospecha violación de las reglas de respeto de las normas de protección de datos por parte de la Fundación para la promoción de mediación y de la educación jurídica LEX NOSTRA consistente en la perdida de datos personales de un cierto numero de personas, que ocurrió al comienzo de 2020, después del robo de historiales que incluían datos personales de beneficiarios. Por consecuencia, tenemos que pedirnos si la Fundación había debidamente protegido los documentos desde la perdida y administrado los datos personales en ellos incluidos de acuerdo con las exigencias del GDPR.
UODO ha solicitado la Fundación de indicar si, en relación a la perdida de datos personales de muchas personas después del robo de historiales que incluían datos personales de beneficiarios, la violación ha sido reportada a la autoridad de control. Como respuesta, la Oficina ha podido comprender que la Fundación no ha reportado el accidente y su análisis de la violación ha dejado una evaluación de gravedad con nivel bajo. Sobre esta base, la Fundación ha considerado que no ocurrió alguna violación que ha comportado la necesidad de notificar la autoridad de control. En el curso de adicionales actividades ha sido establecido que la violación se refería a 96 personas y la documentación perdida incluía las siguientes categorías de datos: nombre, apellido, dirección, numero de teléfono. Lo que es importante, en el caso de 3-4 personas, probablemente también el numero PESEL ha sido perdido. Todavía, tenemos que mencionar que no han sido tratadas categorías especiales de datos.
En consideración de la falta de comunicación de violación de protección de datos personales a UODO y de la falta de comunicación de la violación a los interesados, a autoridad de control ha empezado un procedimiento administrativo contra la Fundación.
Con arreglo al GDPR, en caso de violación de protección de datos personales, el responsable del tratamiento tiene, sin indebido retraso – si posible, al más tardar de 72 horas desde la individuación de la violación – notificar a la autoridad de control. En el caso de un riesgo elevado para los derechos o las libertades personales de las personas físicas de la violación, el responsable del tratamiento tiene que notificar el accidente al interesado.
Tenemos que subrayar que un riesgo de violación de los derechos o de las libertades de las personas físicas es afectado cuando la violación puede provocar un daño físico, material o inmaterial a las personas físicas. Las posibles consecuencias no tienen necesariamente materializarse; el solo potencial ocurrirse del riesgo para los derechos y las libertades tendría que inducir el responsable del tratamiento a reportar la violación y a notificar el accidente a os interesados. No es sin significado el hecho que la Fundación no ha sido capaz de indicar con precisión la categoría de datos personales incluidos en la documentación perdida, esto podría haber contribuido a una evaluación no adecuada de riesgo de la violación por parte de la Fundación. La entidad sancionada no ha también hecho ningún tentativo de verificar la portada real de datos personales que habían sido objeto de la violación.
La Fundación, al decidir no notificar la infracción a la Autoridad supervisora, así como a los interesados, les ha privado de la posibilidad de evitar daños. Notificando al interesado, sin demora indebida, el responsable del tratamiento permite al interesado adoptar medidas de precaución específicas para proteger sus derechos y libertades de las consecuencias negativas de la violación.
Durante el procedimiento se ha establecido también que la documentación perdida no fue objeto de restauración.
Por esta razón, si la Fundación no dispone de copias de documentos robados, no puede reconstruirlos o no procesa datos con el sistema informático, y por lo tanto no puede identificar a los interesados, informará de forma general, por ejemplo publicando una advertencia pública.
Según la opinión de la Oficina de Armonización del Mercado Interior (OCCP), la sanción administrativa aplicada cumple con sus funciones y – en este caso concreto – es eficaz, proporcionada y disuasoria.
FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA POLONIA – UODO