¿Qué pasa si borramos esos datos?
Se habla mucho de la importancia de los datos e informaciones (tanto personales como profesionales y de empresa), sin embargo, poco sabemos sobre cómo aplicar, de verdad, las normas que nos ayudan a protegerlos.
Aprovechamos algunos artículos de Ramon Arnó para ilustrar:
- Cómo podemos aplicar el Derecho al Olvido, uno de esos nuevos derechos que el RGPD y la LOPDGDD nos han traído, por allá en 2018.
- Debemos evitar borrar las informaciones contenidas en discos duros (u otros dispositivos) si nuestra intención sólo es causar daño
- Resulta ser delito recuperar informaciones, que han sido borradas de un disco duro, cuando nuestra intención es utilizarlas con fines malintencionados
- ¿Podemos no devolver sus datos a un cliente al finalizar el contrato que teníamos?
Gracias a ejemplos claros, extraídos de entre las sentencias falladas en España, podremos entender lo importante que es estar atentos a la forma en que tratan nuestros datos o tratamos los de nuestros trabajadores, clientes o proveedores.
1.¿Cómo borrar información personal que aparece indexada en Google?: el Derecho al Olvido.
Comencemos por establecer en qué consiste el Derecho al Olvido, uno de los nuevos derechos digitales.
El RGPD establece que los motores de búsqueda y RRSS deben establecer mecanismos que permitan la no aparición en los resultados de búsqueda, de cierta información, una vez atendido la solicitud del interesado. Aunque hay que reconocer que no siempre resulta fácil obtener que los buscadores o las redes atiendan nuestras peticiones. En esas situaciones, podemos recurrir a la AEDP.
Resolución AEPD
En esta resolución se analiza el caso de un empresario que ejerció su derecho al olvido o supresión ante Google en estos términos:
“Este agregador automático de datos ha agregado un documento con información personal mío (nombre y apellidos) con información de hace años perteneciente a mi ámbito personal y sin ningún interés público.
Dicha información no pertenece a ningún trabajo desarrollado en ningún momento (ver vida laboral) y por lo tanto no es de interés público.
Por ello solicito mi derecho al olvido al contener datos personales (nombre y apellidos).
Solicito que se actúe para que dicho documento no sea indexado por ningún buscador ante la imposibilidad de ponerme en contacto con el webmaster y el propio buscador Google me remite a contactar con el webmaster pero no accede a hacer ninguna desindexación.
Solicito el amparo de la agencia española de protección de datos, para que dicho documento no sea indexado por los buscadores. Que se publican datos personales en el buscador sin su consentimiento y solicita que no se asocien en los resultados de búsqueda la/s URL referenciada/s en la reclamación, que son conocidas por las partes”.
El derecho al olvido
El derecho al olvido se contempla en el artículo 17 del RGPD, así como en el artículo 93 de la LOPDGDD, sobre derecho al olvido en búsquedas de Internet, que determina, en su apartado 1, lo siguiente:
“Toda persona tiene derecho a que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.
Del mismo modo deberá procederse cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los enlaces por el servicio de búsqueda en Internet. Este derecho subsistirá aun cuando fuera lícita la conservación de la información publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultaneo”.
La respuesta de Google
Google contestó al solicitante atendiendo su reclamación a los ocho días de su solicitud y procediendo a la supresión solicitada y por la Agencia se ha comprobado que, al realizar una búsqueda por el nombre de la parte reclamante en el buscador Google, no aparece la URL cuestionada entre los resultados de búsqueda, objeto del presente procedimiento.
2. Es delito el borrado voluntario de datos de diversos discos duros de una empresa.
Enviar un documento o carpeta a la papelera de nuestro ordenador no lo borra del sistema, para ello debemos también borrar el disco duro, lo que sí hace desparecer dicha información.
Borrar datos en una práctica habitual y recomendada, como en los casos en que el plazo para detentar esos datos se ha cumplido (ver ejemplo más adelante). Sin embargo, hacerlo con la intención de reutilizarlos en beneficio propio puede conllevar una sanción.
La SAP de Pontevedra de 19-5-2021, ponente Dª. María del Rosa Cimadevilla Cea analiza el caso de un socio que borra los discos duros de la empresa y a la vez, constituye una nueva sociedad con el mismo objeto social.
Así el socio de la empresa, para causar un menoscabo económico a la misma y a su socio, procedió a efectuar un borrado de material de trabajo, documentación, información y programas que estaban alojados en los ordenadores instalados en las referidas oficinas, de tal manera que la actividad de la sociedad se vio en ese momento paralizada.
La condena es de tres meses de multa con una cuota diaria de doce euros y el pago de 3.584,02 euros como responsabilidad civil por los trabajos de recuperación de los archivos borrados.
3.¿Es delito recuperar las fotos previamente borradas de un disco duro y divulgarlas después sin consentimiento de su titular?
Como dicho justo arriba, resulta sano borrar datos obsoletos o personales (de los dispositivos profesionales).
Si los datos han sido adecuadamente borrados, no debería haber razón para recuperarlos, sobre todo si son personales y menos si ello se hace con intención de causar daño a quien borró esos ficheros.
Pues sí, y es lo que hicieron dos trabajadores de una empresa pública que recuperaron unas fotos borradas de un ordenador corporativo usado por otra trabajadora, quien antes de finalizar su relación laboral, las había suprimido del ordenador.
La SAP de Pamplona de 12-7-2021, ponente Dª Ana Montserrat Llorca Blanco, analiza el caso de una trabajadora que realizaba tareas de contabilidad, guardó en un ordenador de una sociedad pública fotos personales y al finalizar la relación laboral, las borró antes de devolver el ordenador a la empresa.
Tras ello dos trabajadores, utilizando cuatro programas diferentes de recuperación de datos, lograron recuperar los archivos y datos borrados por la denunciante, entre ellos fotos personales, familiares e íntimas (una de ellas en top less), y tras ello uno de los trabajadores se encargó de difundirlas a terceros.
La sentencia condena a un trabajador a una pena de 2 años y al otro a 15 meses de prisión.
4. Multa de la AEPD de 100.000 euros a empresa informática, que, al finalizar el contrato con el cliente, no le devuelve los datos.
En este interesante artículo, podemos ver cómo, el no devolver los datos a un cliente, una vez finalizado el contrato, es pasible de importantes sanciones.
Toda la controversia que se expone en el PS 315/2020, empezó con una petición del cliente a la empresa informática, en que le pedía resolver el contrato vigente y recuperar toda la información.
La razón era sencilla: el cliente quería gestionar a partir de ese momento la información en sus propios servidores situados en sus oficinas, en lugar de continuar con el contrato de hosting con la empresa informática.
Es a partir de este momento en que la empresa de informática empieza a realizar una serie de actuaciones, a cuál peor visto el resultado final, como por ejemplo dejar sin acceso a los datos del cliente durante 49 días, causándole importantes perjuicios.
Los puntos principales de la resolución
El interés de esta resolución es que nos permite revisar temas de mucho interés en una relación cliente-proveedor cuando se tratan datos de carácter personal:
- Los datos que un cliente aloja en un servidor de una empresa informática, son propiedad del cliente y no de la empresa informática.
- El cliente (responsable del tratamiento) y la empresa de informática (encargado del tratamiento) están vinculados por un contrato de encargado de tratamiento (artículo 28 del reglamento 2016/679).
- La empresa informática trata datos de carácter personal por cuenta del cliente y siguiendo sus instrucciones.
- Si o si o si o si, el contrato de encargado de tratamiento, debe formalizarse siempre por escrito, por aquello del verba volant scripta manent (las palabras vuelan los escritos quedan).
- Los datos personales deben devolverse al cliente cuando éste lo pida, y esta es la explicación por la que en estos contratos de encargado de tratamiento, siempre existe una cláusula (como la que constaba en el contrato entre cliente y empresa informática) que obligaba a la empresa informática a:
“ … devolver al cliente, una vez concluida la prestación de servicios objeto del presente contrato todos los documentos y archivos en los que se hallan reflejados todos o algunos de los datos cualquiera que sea su soporte o formato, así como las copias de estos …”.
La multa de 100.000 euros se explica por la infracción del artículo 28.3.g) del RGPD, de acuerdo con el artículo 83.4 b) del mismo texto y del artículo 74.k) de la LOPDGDD, sanción totalmente evitable si la empresa de informática hubiese actuado, simplemente, cumpliendo el contrato de encargado de tratamiento por aquello del pacta sunt servanda.
La importancia de borrar los datos correctamente
A primera vista, el tema de borrar datos puede parecer sencillo, aunque, como lo hemos podido ver en estos ejemplos, se dan casos en que las personas no parecemos ser conscientes del alcance de nuestros actos.
¿Te interrogas sobre el RGPD o la ISO27001? ¿Necesitas consejo sobre cómo proteger los datos de tu organización? ¿Quieres saber cómo gestionar y/o monitorizar el tratamiento de los datos en tu empresa? Los equipos de ESCUDA estamos plenamente involucrados en proteger la seguridad tanto de los datos como de los activos de nuestros clientes. Puedes contactarnos llamando al 931 931 848 o rellenando este formulario, estaremos encantados de atenderte.
Más información:
¿Sabes lo importante que es separar nuestros datos personales de los de la empresa?
¿Puede el empresario acceder a los mails privados de un trabajador?
¿Qué (ciber)riesgos causa la inconciencia de los trabajadores?
Copias de seguridad: ¿están protegidos los datos de mi empresa?
#escuda #RamonArnoTorrades #RGPD #LOPDGDD #datospersonales #datosprofesionales #revelaciondesecretos #derechoalaintimidad
Puede que estos artículos te gusten
¿Cuál sería el impacto de un ciberataque en nuestra organización?
¿Está mi organización lista para hacer frente a un ciberataque? En anteriores publicaciones nos hemos preguntado “¿Por qué mis datos interesan a los ciberdelincuentes?” Y sobre todo “¿Es posible evitar ataques a través de los mails? ¿Cómo?” También hemos informado de...
El 80% de las empresas cree que va a sufrir un ciberataque contra sus datos
La ciberseguridad es una cuestión cada vez más presente en muchos equipos empresariales. Sin embargo, aunque la conciencia esté creciendo muchos profesionales de la ciberseguridad creen que las empresas en las que trabajan van a ser igualmente víctima de ataques. De...