Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Asesoría Alpi-Clúa S.L med 3 000 euro för brott mot bland annat artiklarna 5.1 (f) och 32.1 dataskyddsförordningen (“GDPR”).
Av beslutet framgår att en klient till Asesoría Alpi-Clúa begärt handlingar från bolaget för att överlämna dem till skattemyndigheterna. Asesoría Alpi-Clúa skickade henne ett e-postmeddelande som emellertid inte innehöll de dokument hon hade begärt, utan dokument från en annan klient.
Enligt AEPD innebar Asesoría Alpi-Clúas agerande ett brott mot principen om integritet och konfidentialitet då bolaget inte behandlat personuppgifterna på ett sätt som säkerställer en lämplig säkerhet enligt artikel 5.1 (f) GDPR. Bolaget har inte heller vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken vid personuppgiftsbehandlingen enligt artikel 32.1 GDPR.