Multas a ANC por la encuesta del 9-N y por la falta de seguridad de los datos personales de socios publicados por Anonymous
Procedimiento sancionador. Datos de carácter personal. Confirmado dos multas de 200.000 y 40.000 euros impuestas a la Assemblea Nacional Catalana (ANC) por la Agencia de Protección de Datos, la primera de ellas por la encuesta realizada los meses previos a la consulta del 9-N y la segunda por la falta de seguridad de los datos personales de sus socios contenidos en el fichero creado para la gestión de la asamblea de la entidad en abril de 2014 y que fueron publicados por un grupo autodenominado Anonymous Cataluña. ANC trató los datos personales de los encuestados, sin el consentimiento reforzado que dicho tratamiento de tal categoría especial de datos personales requiere, con vulneración de lo preceptuado en el artículo 7 de la Ley Orgánica de Protección de datos.
Sí ha existido para el tribunal intencionalidad y culpabilidad, además de que la infracción no se refiere a cuatro encuestas y tres mapas de visitas sino a todo el sistema de organización y consulta y “en definitiva de obtención de datos personales de ideología (el contenido de las preguntas planteadas en la encuesta permite conocer si la persona que las responde apoya el proceso independentista), como se ha indicado, que fue desplegado por tal entidad actora con anterioridad a la consulta soberanista del 9 de noviembre de 2014. Tratamiento no consentido, que se deriva a través de las irregularidades observadas por los inspectores de la Agencia que acreditan que en los formularios examinados por los inspectores de la AEPD, tanto mecanizados como pendientes de ello, no se había procedido a la separación física de la parte destinada a registrar las respuestas y la parte destinada a recabar datos de carácter personal.
Un grupo autodenominado “Anonymous Cataluña” publicó a través de su perfil en Facebook un conjunto de datos de socios de la ANC como los relativos a número de asociado, nombre y apellidos, DNI, correo electrónico, tipología de socio y en su caso, deuda. Queda probada la falta de medidas de seguridad adecuadas para garantizar la seguridad de los datos personales contenidos en el fichero creado para la gestión de la asamblea de la ANC ya que permitía acceder a dicho fichero mediante el número de DNI sin solicitar ninguna contraseña de acceso a los datos; lo que posibilitó que un tercero no identificado accediera al perfil de los 53.818 asociados registrados en el momento del acceso, obteniendo los datos personales cuya información hace referencia a personas físicas identificables.