PALMA, 22 Ago. (EUROPA PRESS) -
La Agencia Española de Protección de Datos (AEPD) ha advertido a la anterior Conselleria de Educación, dirigida por el socialista Martí March, por una infracción grave contra el secretario general del Sindicato Independiente, Autónomo y Unitario (SIAU), según ha informado la organización sindical este martes en un comunicado.
Así, SIAU ha explicado que a raíz de dos denuncias presentadas por el actual secretario general del sindicato, Joan Crespí, en menos de un año la antigua Conselleria ha recibido dos sanciones.
La primera, ha detallado, fue a finales del año 2022, después de que el Juzgado de lo contencioso-administrativo número 2 de Palma diera la razón a Joan Crespí a través de una sentencia que condenaba la Conselleria, creándose por primera vez jurisprudencia en Baleares sobre el tema de la demanda y "repercutiendo positivamente a todo el funcionariado del territorio", en relación con el derecho a cobrar con efectos retroactivos todas las subidas salariales logradas durante las bajas laborales.
Y, la segunda sanción, ha continuado SIAU, ha sido impuesta por la AEPD también contra la Conselleria por haber cometido una infracción grave en torno a la privacidad y protección de datos de Crespí. Esta vez, Educación ha tenido que rectificar e implementar medidas correctoras para garantizar la seguridad y protección de datos del profesorado de Baleares, ha concretado el sindicato.
Estos hechos se remontan a cuando el secretario general de SIAU ejercía docencia en Es Pinaret, un centro considerado "de especial dificultad", que pertenece al IES Can Balo, momento en que le asignaron una dirección de correo electrónico corporativo a la que dejó de tener acceso al finalizar el curso académico 2020-2021.
A pesar de esto, en fecha 15 de diciembre de 2021, recibió en su correo electrónico personal una comunicación de Google informándole de un nuevo inicio de sesión a la referida cuenta corporativa, hecho que podía tratarse de una suplantación de identidad y vulneración de los derechos alrededor de la protección de datos.
Los hechos se denunciaron a la AEPD, más teniendo en cuenta que durante aquel curso académico el 80 por ciento del profesorado que trabajaba dentro de Es Pinaret había firmado y registrado una carta dirigida a los principales responsables de la Conselleria de Educación donde se alertaban de una serie de presuntas irregularidades, parte de ellas relacionadas con la privacidad y la protección de datos personales del profesorado destinado allí.
Sin embargo, la anterior Conselleria cerró filas con el equipo directivo, según el sindicato, y no se tuvo constancia de que hubiera ningún tipo de investigación hacia los hechos denunciados. Por su parte, la Subdirección General de Inspección de Datos optó por investigar a Educación.
Precisamente, del resultado de las investigaciones se llegó a la conclusión, entre otras, que el 15 de diciembre de 2021 hubo un acceso a la cuenta de correo corporativo mencionado anteriormente, y que el IES Can Balo no aportó documentación acreditativa de las políticas de seguridad del mismo, solo de uso e información que se facilita a los empleados y usuarios y normas de cancelación de las cuentas de correo electrónico del personal cesante.
Fruto de las actuaciones, la directora de la AEPD acordó iniciar un expediente sancionador contra la anterior Conselleria de Educación. Esta última se excusó, sin éxito, según SIAU, en una flexibilización de las normas de acceso a los correos corporativos por las implicaciones de la COVID-19 y que era el mismo docente quien había accedido a una de las aplicaciones; también afirmó que se habían dado instrucciones sobre seguridad informática de forma verbal y que no fue hasta prácticamente un año más tarde que aprobó un protocolo escrito para garantizar la seguridad de éstos. Finalmente, Educación solicitó a la AEPD, también sin éxito, que archivara el expediente sancionador, con la consiguiente declaración de ausencia de responsabilidad.
Aun así, la Conselleria de Educación, ha añadido el sindicato, estaba obligada al cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantías de los Derechos Digitales.
Según SIAU, hay que tener presente que el Reglamento General de Protección de Datos (RGPD), en el artículo 32, exige a los responsables del tratamiento de datos adoptar las correspondientes medidas de seguridad necesarias que garanticen que el tratamiento es conforme a la normativa vigente, así como garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo los pueda tratar siguiendo instrucciones del responsable.
La AEPD ha afirmado, respecto a la anterior Conselleria de Educación, que "las medidas de seguridad no se estaban cumpliendo en el momento de los hechos", y también que "se deduce una falta de debida diligencia tanto en el cumplimiento de las medidas de seguridad establecidas, así como en la supervisión o comprobación de su observancia y/o de la idoneidad de estas", así como "que las medidas de seguridad implantadas eran insuficientes, susceptibles de ser mejoradas".
Esto, han añadido "se pone de manifiesto con la afirmación de que, hasta septiembre de 2022, el centro no dispuso de un protocolo de uso de las cuentas corporativas para las cuentas nuevas".
Por todo ello, la directora de la AEPD ha sancionado con advertencia a la anterior Conselleria por haber cometido una infracción grave contra el secretario general de SIAU, Joan Crespí, concretamente la vulneración del artículo 32 del RGPD, tipificada en el artículo 83.4 del RGPD. La resolución, notificada a la Conselleria y también comunicada al Defensor del Pueblo, confirma, según el sindicato, que "había falta de adopción de medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento".
Andalucía
Aragón
Cantabria
Castilla-La Mancha
Castilla y León
Catalunya
Extremadura
Galicia
Islas Canarias
Islas Baleares
Madrid
País Vasco
La Rioja
C. Valenciana
Navarra
Asturias
Murcia
Ceuta y Melilla
