jueves, julio 18, 2024

Hacienda es sancionada por la AEPD al confundir a una mujer con su madre fallecida

La Agencia Española de Protección de Datos (AEPD) ha sancionado a la Agencia Tributaria debido a la entrega de datos fiscales a un tercero que no tenía autorización para recibirlos. En este caso, el tercero en cuestión resultó ser el sobrino de la persona que presentó la reclamación, a pesar de que no tenían ningún vínculo familiar.

La Agencia Tributaria corrigió este error diez días después de que la parte afectada informara sobre la situación, cancelando la liquidación objeto de impugnación y el procedimiento sancionador asociado. Sin embargo, a pesar de estas correcciones, la AEPD emitió una advertencia.

El caso

Este error humano se originó en la confusión de la Agencia Tributaria al considerar al sobrino como el sucesor legal de la persona que presentó la reclamación. En los registros de sucesores de la Agencia Tributaria, la reclamante fue erróneamente asociada con su madre fallecida, quien había designado a su nieto (sobrino de la reclamante) como su sucesor. El sobrino involucrado en este caso era, de hecho, nieto de la difunta y sucesor legal, ya que el padre de este, que también había fallecido, era hijo de la madre fallecida. La Agencia Tributaria argumentó que había actuado con la máxima diligencia y que el error no se debió a la falta de medidas implementadas, aunque reconocieron la necesidad de concienciar sobre la importancia de evitar este tipo de errores.

De acuerdo con el informe de la Agencia Española de Protección de Datos (AEPD), se ha concluido que Hacienda infringió el artículo 5 del Reglamento General de Protección de Datos (RGPD) al permitir el acceso a los datos por parte de un tercero sin contar con la debida autorización. Además, se le imputa a la Agencia Tributaria una violación del artículo 32 del RGPD, relacionado con la Seguridad en el tratamiento de datos, debido a la ocurrencia de un incidente de seguridad que resultó en la vulneración de las medidas técnicas y organizativas. Esta infracción podría conllevar sanciones administrativas de hasta 10 millones de euros, si se tratara de una entidad privada.

La responsabilidad deriva de no haber actuado diligentemente, no del acto en sí

Es importante destacar que el RGPD no especifica una lista de medidas de seguridad aplicables en función de los datos que están siendo procesados. En su lugar, establece que el responsable y el encargado del tratamiento deben implementar medidas técnicas y organizativas adecuadas en relación con el riesgo inherente al tratamiento de datos.

Esto debe considerar el estado de la tecnología, los costos de implementación, la naturaleza y el alcance del tratamiento, el contexto y los propósitos del mismo, así como los riesgos de probabilidad y gravedad para los derechos y libertades de las personas afectadas. En este sentido, es necesario evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el uso de cifrado, según se especifica en la resolución.

La AEPD sostiene que la responsabilidad del reclamado se deriva de no haber tomado las medidas necesarias para prevenir errores como el que ocurrió. El reclamado es responsable de tomar decisiones que permitan implementar y adaptar de manera efectiva las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado, asegurando la confidencialidad de los datos, restaurando su disponibilidad y evitando el acceso no autorizado en caso de incidentes.

Destacado

Las actuaciones y procedimientos de comprobación censal de Hacienda

a Agencia Tributaria puede llevar a cabo la comprobación censal a través de la inspección física y documental de hechos y circunstancias.

Raúl Castañeda tendrá su propia escudería en el mundial de motociclismo

El nuevo equipo será conocido como PREICANOS, un nombre que, en palabras del propio Raúl Castañeda, conmemora a los millones de personas que han confiado en Preico Jurídicos a lo largo de los años

Negligencias médicas: La pérdida de oportunidad de curar

Situaciones en las que el paciente no recibe los tratamientos disponibles según los protocolos establecidos.

Errores en el catastro: cuando un inmueble está mal representado

Lo que debes saberInscripciones en el Registro de la...
Lo más leido

Período trabajado no aparece en la vida laboral

En estos casos, el trabajador se enfrenta a perjuicios en futuras prestaciones, ya que el período trabajado no aparece en la vida laboral.

Despido improcedente sin pasar por SMAC

La duda que tengo es si se puede hacer el despido improcedente sin pasar por SMAC. ✓ Respuesta Abogado: aunque haya acordado improcedencia

He vendido mi coche y estoy recibiendo multas del comprador

He vendido mi coche y estoy recibiendo multas del comprador. ✓Respuesta Abogado: Acuda con el contrato de compraventa

Despido de trabajadora embarazada en periodo de prueba: ¿es nulo?

Han despedido a mi mujer durante el periodo de prueba y está embarazada de 3 meses. ✓Respuesta Abogado: la nulidad objetiva

Periodo de prueba en una empresa en la que ya he trabajado antes

Me quieren poner un periodo de prueba en una empresa en la que ya he trabajado antes. ✓Respuesta Abogado: será nulo el pacto que establezca