Sanción de 50 000 € a compañía de riesgos laborales por remitir un correo con datos personales no anonimizados: 20 000 € por infracción del 5.1 f), y con 30 000 € por incumplimiento del artículo 32 del RGPD.
La parte reclamante manifiesta que, como consecuencia de la denuncia que presentó ante la Inspección de Trabajo y Seguridad Social por posibles situaciones de hostigamiento hacia ella en el ámbito laboral, se siguió un proceso de mediación entre la parte reclamante y otros trabajadores implicados en los hechos.
Cuando Quirón Prevención trasladó el informe final de mediación, aparecían —borrosos pero legibles— los datos personales de la parte reclamante y de los denunciados, que después fueron tachados. Además, la parte reclamante indicó nefasta la gestión que estaba haciendo Quirón Prevención en todo el proceso judicializado.
Quirón Prevención remite a la AEPD un informe en el que reconoce los hechos, aunque señala que las partes que intervinieron «aceptaron el proceso de mediación formalmente y fueron expresamente informadas no solo del objeto de la mediación, sino de sus obligaciones en materia de confidencialidad».
Pero la Agencia se expresa con claridad señalando la vulneración de la confidencialidad de la información y la falta de medidas técnicas y organizativas, remitiéndose a los artículos 5.1.f) y 32 del RGPD, infracciones tipificadas en sus artículos 83.5.a) y 83.4.a), respectivamente:
[…] No obstante, resulta evidente que QUIRÓN PREVENCIÓN en el informe emitido expuso indebidamente determinados datos personales de, entre otros, la parte reclamante y los denunciados, al no aparecer anonimizados sus DNI, números de móvil o correos electrónicos en el envío realizado. Ello supone una vulneración de la obligación de la entidad reclamada de garantizar la confidencialidad de los datos, poniendo en conocimiento de las partes intervinientes los datos personales anteriormente citados.
Principio de integridad y confidencialidad
«Principios relativos al tratamiento», art. 5.1.f) del RGPD
1. Los datos personales serán: […] f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Finalmente, entre otras actuaciones, la AEPD ordena a Quirón Prevención notifique a la Agencia la adopción de medidas técnicas y organizativas establecidas en el artículo 32 del RGPD:
[…] Asimismo, la documentación que obra en el expediente administrativo ofrece indicios suficientes para entender que QUIRÓN PREVENCIÓN carece de las medidas técnicas y organizativas apropiadas a las que se refiere el artículo mencionado.
[…] Por otra parte, QUIRÓN PREVENCIÓN no ha acreditado las medidas de seguridad con que cuenta para evitar que los documentos que redactan recojan datos personales de los intervinientes en los procesos sin anonimizar. Como responsable del tratamiento debería tener implantadas medidas de seguridad y asegurar su cumplimiento, extremo que no consta en esta Agencia hasta el momento.
Principio de seguridad en el tratamiento
«Seguridad del tratamiento», art. 32 del RGPD
- […] el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otras:
- la seudonimización y el cifrado de datos personales;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
░ Imagen de Tayeb MEZAHDIA en Pixabay