La empresa encargada del funcionamiento de la oficina virtual de la Agencia Tributaria de Sevilla podría enfrentarse a una sanción que llegaría hasta los 300.000 euros

La empresa encargada del funcionamiento de la oficina virtual de la Agencia Tributaria de Sevilla podría enfrentarse a una sanción que llegaría hasta los 300.000 euros. Así se desprende de el Reglamento General de Protección de Datos (RGPD), que define como infracción grave la falta de protección de información personal, extremo ocurrido en el fallo de seguridad detectado en el enlace relacionado con la Hacienda local. Suerte muy distinta hubiera corrido el Ayuntamiento si la gestión de la web fuera completamente responsabilidad suya, para lo cual la citada ley exime del pago de cualquier multa.

 

El agujero de seguridad detectado en la web de la Hacienda local atenta contra el artículo 9 de la RGPD. Así lo recuerda el abogado sevillano Pedro Rodríguez López de Lemus, especializado en Derecho de las Nuevas Tecnologías. Este letrado refiere que en dicho apartado se indica que "el responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado".

 

Para López de Lemus en la oficina virtual de la Agencia Tributaria "han fallado las medidas de seguridad técnicas que evitan el acceso a la información por personas no autorizadas", puesto que sólo era necesario teclear el DNI de un tercero, requisito que según el abogado es "fácil" de conseguir, pues en cualquier BOE, BOJA o BOP aparecen publicados muchos DNI. "Es probable que la Agencia Española de Protección de Datos (AEPD) pueda considerar vulnerado el artículo 9 de la RGPD y que se haya cometido la infracción descrita en al artículo 44 de dicha ley", refiere el letrado.

 

El mencionado artículo estipula como tal infracción "mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen". La sanción oscila entre los 40.001 euros y los 300.000.

 

Ahora bien, como indica López de Lemus, en el caso que nos ocupa puede haber dos posibles infractores: el responsable del fichero (la Agencia Tributaria de Sevilla o el Ayuntamiento) y el encargado de su funcionamiento, es decir, la empresa Tecnocom. "Si estos hechos han sucedido por un comportamiento negligente del responsable del fichero, se podría incoar un procedimiento de declaración de infracción de las administraciones públicas contra el Ayuntamiento, que no conllevaría ninguna sanción económica para el infractor", explica el abogado. En este caso, la dirección de la AEPD dictaría una resolución para que cesen o se corrijan los efectos de la infracción, algo subsanado por los informáticos municipales a las pocas horas de denunciar Ciudadanos este caso.

 

Si el fallo se ha producido por un comportamiento negligente de Tecnocom, podría ser sancionada con la citada multa. La investigación municipal apunta a que un cambio de protocolo efectuado por dicha empresa fue la causa del agujero en la seguridad de la web municipal. López de Lemus añade que en otros países de la Unión Europea las administraciones públicas sí se enfrentan a sanciones similares por publicar datos personales.

 

Fuente: www.diariodesevilla.es