«`html
A un fotógrafo le robaron un disco duro y acabó con una multa de 2.000 euros. No por el robo, sino por guardar fotos de clientes sin cifrar. Un caso que afecta a cualquiera que trabaje con datos ajenos.
¿Qué pasó?
A un fotógrafo de bodas le robaron un disco duro. Una desgracia. El problema llegó después: la Agencia Española de Protección de Datos (AEPD) investigó el incidente y sancionó al propio fotógrafo —la víctima del robo— con 2.000 euros por no haber protegido adecuadamente los datos de sus clientes.
El motivo concreto: el disco no estaba cifrado. Cualquiera que lo encontrara podía acceder directamente a su contenido: fotografías de 27 bodas, imágenes de personas en uno de los días más privados de su vida, sin ninguna barrera.
El cifrado convierte los archivos en algo ilegible si no tienes la contraseña correcta. Sin él, perder un disco duro equivale a dejar una caja de documentos personales en mitad de la calle.
¿Por qué está sonando?
Porque tiene todos los ingredientes para viralizarse: eres la víctima del robo y te cae la multa. Eso genera primero un «¿cómo puede ser?» y después, cuando se entiende el porqué, un «espera… yo hago exactamente lo mismo».
El caso ha resonado especialmente entre autónomos, fotógrafos y pequeños negocios. No porque sea una historia nueva, sino porque es un espejo. La mayoría de profesionales que trabajan con imágenes o documentos de clientes nunca se han preguntado si sus discos duros, pendrives o copias de seguridad están cifrados. Y la respuesta, casi siempre, es que no.
También hay un desconocimiento generalizado sobre el RGPD. Mucha gente lo asocia con los avisos de cookies o con grandes tecnológicas, no con un fotógrafo freelance que guarda fotos de bodas en un disco externo.
¿Por qué te debería importar?
Si tu actividad profesional implica guardar información de otras personas, esto va contigo. No hace falta ser una empresa grande ni tener cientos de clientes.
Piénsalo así: si en tu disco duro, ordenador o USB hay fotos de clientes, contratos con nombres y DNIs, correos, direcciones o cualquier dato que identifique a personas reales, estás manejando datos personales. Y el RGPD te obliga a protegerlos.
Esto aplica a:
- Fotógrafos (bodas, eventos, retratos, comuniones)
- Diseñadores y creativos con briefings de clientes
- Asesores, gestores y consultores con documentos firmados
- Entrenadores personales con fichas de clientes
- Cualquier autónomo que facture y guarde contratos o datos de contacto
La clave del caso es que la infracción no fue el robo, sino no haber tomado precauciones antes. El robo solo sacó a la luz que esos datos estaban desprotegidos. La negligencia existía desde mucho antes.
Y la ignorancia no es una defensa válida. La AEPD no multa por mala intención, sino por incumplimiento. «Yo no sabía que tenía que hacerlo» no evita la sanción.
Lo que necesitas saber
El RGPD, en vigor desde 2018, obliga a cualquier persona o entidad que trate datos personales a aplicar medidas técnicas y organizativas adecuadas para protegerlos. El cifrado es una de las más básicas y está recomendado explícitamente en el reglamento.
Los 2.000 euros de multa pueden parecer poco comparados con las sanciones millonarias que protagonizan los grandes casos de protección de datos, pero para un autónomo son un golpe real. Eso sí, la cuantía se redujo gracias al reconocimiento voluntario de la infracción, lo que habitualmente permite rebajar la sanción inicial.
Cifrar un dispositivo significa que sus datos se vuelven ilegibles para cualquiera que no tenga la contraseña. Si alguien roba el disco, no puede abrir los archivos. Es como llevarse una caja fuerte sin la combinación.
Lo mejor: cifrar un disco duro es gratuito o casi gratuito con herramientas que ya tienes instaladas:
- VeraCrypt: gratuito y de código abierto. Funciona en Windows, Mac y Linux. Cifra discos externos completos.
- BitLocker: integrado en Windows Pro y Enterprise. Se activa en pocos clics desde el explorador de archivos.
- FileVault: el equivalente en Mac, también nativo y gratuito. Se activa desde las preferencias del sistema.
No hace falta ser técnico. Hay tutoriales en YouTube de menos de diez minutos. La barrera no es técnica ni económica: es simplemente no saber que hay que hacerlo.
Otro punto importante: el fotógrafo tenía la obligación de notificar la brecha de seguridad a la AEPD en un máximo de 72 horas desde que supo del robo. Otro requisito del RGPD que muchos autónomos desconocen, y que puede sumar una infracción adicional si no se cumple.
¿Significa esto que cualquier robo de un portátil te va a acarrear automáticamente una multa? No necesariamente. La AEPD valora las circunstancias, las medidas previas y la colaboración del afectado. Pero si el dispositivo no estaba cifrado y contenía datos de terceros, el riesgo de sanción es real y documentado.
El mensaje de fondo es sencillo: cuando guardas datos de otras personas, la responsabilidad de protegerlos es tuya. Si algo sale mal y no tomaste las precauciones básicas, hay consecuencias legales independientemente de quién causó el problema.
Si trabajas con datos de clientes y todavía no has cifrado tus dispositivos, este fin de semana es un buen momento para empezar. Veinte minutos ahora pueden evitarte 2.000 euros después.
«`
