La Agencia Española de Protección de Datos ha sancionado con 3.000 euros a una empresa que reveló el número del DNI de sus empleados a través de una nota en la que se informaba a los mismos sobre la nueva normativa de utilización del vestuario del centro de trabajo.
La sancionada tenía habilitación para tratar internamente y conocer determinada información, pero no estaba legitimada para transferirla a terceros
Pese a que la empresa alegó que la nota informativa se difundió dentro de un entorno laboral y de confianza, la AEPD expresa ahora que tal circunstancia “no es causa de justificación o exculpación suficiente”.
Reclamación
En febrero de 2021, Alternativa Sindical de Trabajadores de Seguridad Privada interpuso una reclamación ante la AEPD contra una empresa que proporciona servicios de seguridad a nivel nacional.
En su escrito de reclamación, el sindicato manifestaba que la entidad reclamada estaba revelando el número del DNI del personal que desempeña sus funciones en la Agencia para el Empleo del Ayuntamiento de Madrid. En concreto, tal información se desvelaba a través de una nota informativa de utilización del vestuario del centro de trabajo, que debían de firmar todos los empleados.
La compañía EULEN SEGURIDAD, S.A. es la parte reclamada en el presente procedimiento sancionador. (Foto: RRHH Digital)
La trabajadora afectada, que planteó la reclamación en nombre del sindicato, en calidad de delegada sindical, estima que un dato como el DNI puede ser utilizado por otras personas de modo fraudulento o con otros fines distintos para los que está siendo tratado. Así, a su juicio, no debía exponerse tal información de esta forma, a la vista de cualquier otro trabajador de la compañía, clientes, recepcionistas, trabajadores de la limpieza, etc.
Además, la reclamante expuso que ya no solo no se consintió tal exposición para tal tratamiento, sino que, además, se estaba apremiando a los trabajadores para obtener el documento de referencia ya firmado.
¿Error humano?
Una vez notificado el acuerdo de inicio del correspondiente procedimiento sancionador, la empresa reclamada presentó un escrito de alegaciones en el que, en resumen, manifestaba que el incidente se produjo por un error humano, motivado principalmente por la urgencia derivada de la Covid-19 en notificar las nuevas medidas que debían adoptarse tras eliminar el sistema de ventilación.
El incidente se produjo por un error humano, motivado principalmente por la urgencia derivada de la Covid-19 en notificar las nuevas medidas
Además, en tal escrito se apuntaba que nos enfrentamos ante un supuesto accidental y fortuito que debía de ser encuadrado dentro del ámbito interno y organizativo de la empresa.
Por último, también se subrayó que el volumen y la tipología de los datos afectados fue mínima; que no tuvo ninguna consecuencia para el reclamante ni para el resto de los trabajadores de la compañía; que los datos solo estuvieron visibles durante un período corto de tiempo; y que se adoptaron las medidas preventivas oportunas para evitar en un futuro la concurrencia de incidentes similares.
3.000 euros de sanción
Pese a las alegaciones de la compañía reclamada, la AEPD termina imponiéndole a la misma un multa de 2.000 euros por la infracción del art. 5.1 f) del Reglamento General de Protección de Datos, respecto a la vulneración del principio de confidencialidad y de 1.000 euros por la infracción del art. 32 del mismo cuerpo legal, respecto a la seguridad del tratamiento de los datos personales.
En palabras de la Agencia, “la empresa tenía habilitación para tratar internamente y conocer determinada información, pero no estaba legitimada para transferirla a terceros”. En este sentido, la institución dirigida por Mar España Martí advierte que el DNI unido al nombre y apellido de la persona es considerado como un dato personal, tanto por el RGPD como por la LOPDGDD. Y es así porque a través de este, podría identificarse a una persona y al ser un dato personal, deben aplicarse las mismas medidas de protección que sobre otros datos personales.
Por otro lado, el hecho de que la nota informativa se situase dentro de un entorno laboral, de confianza y localizado, “no es causa de justificación o exculpación suficiente”, avisa la AEPD, “toda vez que los afectados se han visto desprovistos del control sobre sus datos personales”.
A modo de ejemplo, la búsqueda en internet del nombre, apellidos o correo electrónico de algunos de los afectados podría ofrecer resultados que, combinándolos con los ahora accedidos por terceros ajenos, nos permitirían al acceso a otras aplicaciones de los afectados o la creación de perfiles de personalidad, que no tienen por qué haber sido consentida por su titular. “Esta posibilidad supone un riesgo añadido que se ha de valorar y que aumenta la exigencia del grado de protección en relación con la seguridad y salvaguarda de la integridad y confidencialidad de estos datos”, agrega la reciente resolución dictada.
Por último, respecto al supuesto error humano incurrido, la Agencia recuerda que las medidas de seguridad “deben adoptarse en atención a todos y cada uno de los riesgos presentes en un tratamiento de datos de carácter personal, incluyendo entre los mismos, el factor humano”.
Agravantes y atenuantes
A la hora de imponer la aludida multa de 3.000 euros, la AEPD ha tenido en cuenta las siguientes circunstancias agravantes y atenuantes:
Cabe apreciar una negligencia grave en la conducta de la compañía al exponer datos de carácter personal de sus propios empleados a terceros.
La actividad de empresa reclamada, que ofrece servicios de seguridad privada para otras compañías e instituciones, exige un continuo tratamiento de datos de carácter personal tanto de clientes como de terceros, ya que se trata de una de las mayores empresas del país en su sector de negocio o actividad.
La empresa sancionada ha informado a la AEPD de las circunstancias en las que se produjo la fatal incidencia que propició la reclamación, así como de las medidas adoptadas a fin de evitar en un futuro que hechos como el reclamado vuelvan a repetirse.
No constan otras reclamaciones por parte de las personas afectadas.