En la resolución de la AEPD se sanciona con 145.000€ a una asesoría por no implementar las medidas de seguridad adecuadas.
La entidad sancionada comunicó debidamente una brecha de seguridad ante la AEPD, por el robo de una mochila de un trabajador que contenía, entre otros objetos, un USB con datos personales sin cifrar. En el procedimiento de investigación, la AEPD solicitó un listado de las medidas de seguridad aplicadas a cada uno de los dispositivos robados. En este caso, el USB no estaba cifrado por lo que la AEPD consideró que se habían vulnerado los siguientes artículos del RGPD:
Artículo 5.1.f RGPD: Se vulnera el principio de confidencialidad por no tener aplicada el USB ninguna medida de cifrado o cualquier otra dirigida a imposibilitar el acceso a su contenido por parte de terceros no autorizados.
Artículo 32 RGPD: La entidad reclamada alegó que había realizado el análisis de riesgos y que, en base a ello, había aplicado las medidas de seguridad necesarias. Sin embargo, del proceso de investigación se dedujo que, respecto al USB sustraído, faltaban medidas de protección que evitaran el acceso por parte de terceros no autorizados.
El incumplimiento de las medidas de seguridad puede ocurrir tanto por la falta de implementación de dichas medidas como por no aplicarlas con la diligencia adecuada.