Tirón de orejas a Hacienda por enviar los datos fiscales de una contribuyente a su sobrino por error

Un toque de atención le ha tenido que dar la Agencia Española de Protección de Datos (AEPD) a la Agencia Tributaria, después de que este organismo remitiera por error los datos fiscales de una contribuyente a su sobrino, al que no había autorizado como representante. Hacienda le había notificado la apertura del expediente sancionador de su tía debido a que en sus bases de datos figuraba de forma incorrecta como su sucesor.

La afectada presentó una reclamación ante la propia Agencia Tributaria y también ante la AEPD por considerar que se estaba vulnerando la privacidad de sus datos personales.

En octubre de 2022, la contribuyente envió a Hacienda un escrito para ponerle al corriente del error que había cometidoal enviarle su información fiscal a su sobrino, un familiar con el que no mantenía ninguna relación. Él hizo lo mismo y también informó a la entidad de este malentendido, aclarando que en ningún caso representaba a su tía. Y es que el sobrino, en realidad, era sucesor de la madre ya fallecida de la contribuyente, es decir, de su abuela, pero la Agencia Tributaria había confundido el DNI de la madre con el de la hija. A finales de ese mes, este organismo se puso en contacto con la mujer para comunicarle la rectificación del error, con la anulación del expediente sancionador.

La reclamación ante la AEPD siguió su curso y abrió un procedimiento sancionador por estos hechos. En su respuesta, Hacienda sostiene que el sistema de notificaciones y comunicaciones del que dispone es seguro y que la equivocación en el envío se produjo antes, debido a un error humano puntual causado por una confusión en el registro de sucesores de la agencia. “Los errores humanos puntuales no pueden controlarse”, sostuvo en su respuesta.

La Agencia Tributaria argumentó también que el Reglamento General de Protección de Datos (RGPD) no exige seguridad absoluta, sino que obliga a que se apliquen medidas apropiadas que garanticen un nivel de seguridad adecuado. E insistió en que el error se produjo por la acción humana y no por falta de diligencia, ya que actuó con la máxima rapidez para subsanarlo en cuanto tuvo conocimiento de esta equivocación.

Finalmente, la AEPD consideró que se produjeron dos infracciones graves e impuso la sanción de apercibimiento, que recoge la normativa para entidades de las administraciones públicas. Por una parte, al permitir el acceso por un tercero a los datos personales de la contribuyente, se ha incumplido el deber de confidencialidad, que supone evitar las filtraciones de datos no consentidas por los titulares. Y reitera que esto implica no solo a la agencia como responsable y encargada del tratamiento, sino a cualquier persona o entidad que intervenga en toda la fase del tratamiento de los datos. En segundo lugar, considera que no se ha cumplido con la debida diligencia de las medidas técnicas y organizativas para garantizar el principio de confidencialidad que recoge el reglamento, ya que se produjo una violación de seguridad de los datos personales.

Aunque reconoce que el RGPD no detalla un listado de las medidas que se deben aplicar, la resolución recuerda que estas deben ser adecuadas y proporcionadas al riesgo que suponga el tratamiento de los datos personales. Con todo, reconoce la Agencia Tributaria cuenta con análisis de riesgos de las tecnologías de la información actualizados y con planes anuales y valoró positivamente su compromiso para realizar campañas internas de concienciación para evitar que se vuelvan a producir este tipo de errores humanos.