Fundamentalmente, el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal señala que:
El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Estas medidas de seguridad, se detallan en el Reglamento de desarrollo de la LOPD mencionada, y tienes que tenerlas implantadas en tu negocio si recoges y tratas datos personales de tus clientes, trabajadores, proveedores, etc…
Incumplir estas obligaciones o tener medidas de seguridad ineficaces que provoquen vulneración del derecho a la protección de datos, puede conllevar multas muy elevadas.
Hoy vamos a ver un ejemplo real: se ha impuesto una multa de 50.000 euros (CINCUENTA MIL EUROS, sí) a la entidad MAPFRE TECH, SA, vinculada a la aseguradora MAPFRE, por incumplir esa obligación de seguridad del artículo 9 LOPD, considerada como infracción grave. Se trata del procedimiento sancionador nº 83/2013, Resolución nº 1859/2013 de la AEPD.
¿Y qué hizo MAPFRE TECH para que se le haya impuesto tan elevada sanción?
Pues resumiendo mucho, cometió el error de subir a una de sus bases de datos unos informes de clientes sin anonimizar, de tal modo que através de internet se podían ver datos de uno de ellos, incluidos datos médicos, simplemente poniendo en un buscador su nombre y apellidos. Se trataba de una información que nunca debió estar allí.
Cosas como estas ocurren con frecuencia y sí, a ti también puede pasarte.
Como bien dice la Agencia Española de Protección de Datos en la Resolución citada: