La Agencia Española de Protección de Datos (AEPD) ha sancionado a la Agencia Estatal de Administración Tributaria (AEAT) que dio traslado por error de una notificación de un contribuyente a su sobrino, que en ningún momento había sido autorizado para acceder a dicha información personal.
La titular de los datos presentó una reclamación ante la AEPD indicando la vulneración de sus datos personales.
La AEAT alegó ante la AEPD que la brecha de datos personales se debía a un error humano puntual en un registro y que el sistema era seguro. Asimismo, insistió en que el Reglamento General de Protección de Datos (RGPD) dicta la necesidad de establecer medidas de seguridad para mitigar los riesgos pero que no es posible establecer una seguridad absoluta.
La AEPD considera que se han cometido dos infracciones de carácter grave por las que se ha sancionado con un apercibimiento, dado que las administraciones públicas no pueden ser objeto de sanciones pecuniarias en materia de protección de datos, siendo la máxima sanción el apercibimiento.
En primer lugar, un incumplimiento del deber de confidencialidad por el acceso no autorizado a los datos personales del contribuyente afectado.
En segundo lugar, falta de la debida diligencia en la implementación de medidas técnicas y organizativas que permitan garantizar la confidencialidad de los datos personales, a lo que añaden que las medidas adoptadas siempre tienen que ser proporcionales y adecuadas al riesgo que implique el tratamiento de datos personales.