La AEPD sanciona al Ministerio del Interior por la sustracción de un ordenador con datos sensibles sin medidas de seguridad adecuadas

La Dirección General de Coordinación y Estudios del Ministerio del Interior fue sancionada por una infracción grave del artículo 32 del Reglamento General de Protección de Datos (RGPD). La sanción se debió a la sustracción de un ordenador portátil que contenía datos personales sensibles, utilizados para estudios de prevención y detección de delitos. El ordenador, que no tenía medidas de seguridad adecuadas como cifrado de disco o contraseña de arranque, fue sustraído a un colaborador externo en un bar de Madrid.

La infracción se consideró grave debido a la falta de medidas de seguridad adecuadas para proteger los datos personales. El ordenador contenía información sobre personas desaparecidas, atestados policiales, grabaciones de entrevistas y datos de salud, entre otros. La sustracción del ordenador puso en riesgo la privacidad y seguridad de los datos personales de las personas afectadas.

La Dirección General de Coordinación y Estudios argumentó que el incidente se debió a un fallo humano aislado y que contaba con medidas técnicas y organizativas implantadas conforme al Esquema Nacional de Seguridad (ENS). Sin embargo, la resolución sancionadora determinó que las deficiencias en la gestión de la seguridad del tratamiento de datos eran estructurales y no podían atribuirse únicamente a un error humano. La falta de cifrado, de restricciones de acceso físico y lógico, y la inexistencia de una evaluación de impacto y trazabilidad confirmaron que los medios de seguridad eran insuficientes frente al nivel de riesgo.

La sanción se impuso tras un procedimiento sancionador en el que se valoraron las alegaciones presentadas por la Dirección General de Coordinación y Estudios. La resolución desestimó el recurso de reposición interpuesto, confirmando la validez de la sanción y la obligación de notificar la resolución a los interesados. La resolución también se hará pública una vez adquiera firmeza, conforme a lo establecido en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).