La Agencia Española de Protección de Datos (AEPD) acordó el 25 de febrero de 2025 iniciar un procedimiento sancionador contra SERVICIOS ESPECIALES, S. A., por posibles vulneraciones de la normativa de protección de datos, tras recibir reclamaciones en agosto de 2024 que alegaban que la empresa divulgó públicamente sus identidades como denunciantes en un proceso de acoso laboral, incluyendo nombres, apellidos y detalles laborales, sin su autorización. La empresa envió a 15 personas resoluciones que identificaban a denunciantes y denunciados, y esta divulgación tuvo impacto negativo en el entorno laboral y la salud de una de los reclamantes.
Servicios Especiales, S. A. argumentó que las identidades eran conocidas desde el inicio del proceso y que ni el comité de empresa ni los denunciantes invocaron el anonimato. Reconociendo el error, adoptó medidas preventivas y reparadoras, como seminarios sobre protección de datos y un texto de disculpa enviado a los afectados. La reclamación fue admitida a trámite en noviembre de 2024 para analizar el incumplimiento de la normativa. La empresa fue constituida en 1951 y posee un volumen de negocio relevante.
La revelación de identidades de los denunciantes y denunciados por ese envío de resoluciones del procedimiento de acoso laboral vulneró el principio de confidencialidad establecido en el artículo 5.1.f) del RGPD, que exige garantizar la seguridad y privacidad de los datos personales. A pesar de reconocer la obligación de proteger la confidencialidad en sus directrices internas, la empresa permitió el acceso a datos sensibles.
El artículo 4 del RGPD define conceptos clave como «datos personales», «tratamiento» y «responsable del tratamiento». En este caso, la entidad reclamada efectúa actividades de tratamiento de datos personales (como nombres, apellidos y puestos de trabajo), lo que la configura como responsable del tratamiento, al ser quien determina los fines y medios de dichas actividades, conforme al artículo 4.7 del RGPD.
Esta infracción es sancionable con multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global, optándose por la mayor cuantía. La LOPDGDD clasifica esta conducta como muy grave.
La propuesta de esta sanción se basa en la falta de diligencia en proteger la confidencialidad de datos personales de los denunciantes y denunciados en un proceso de acoso laboral. Considerando la naturaleza y gravedad de la infracción, el grado de negligencia, y las evidencias disponibles, se propone una multa de 200 000 euros.
La resolución del procedimiento contra Servicios Especiales, S. A. por la infracción del artículo 5.1.f) del RGPD incluye las siguientes medidas correctivas:
— La empresa deberá implementar acciones para garantizar la confidencialidad de los datos personales en un plazo de 3 meses desde la ejecutividad de la resolución, ajustándose al RGPD.
— Servicios Especiales debe notificar electrónicamente cualquier implementación de medidas correctivas y cumplir con las notificaciones digitales exigidas.
En relación a este procedimiento sancionador, la resolución confirma:
— Pago y reducciones acumulables: Servicios Especiales reconoció su responsabilidad y realizó el pago voluntario, aplicándose una reducción del 40 %, dejando la sanción en 120 000 euros.
— Condiciones del procedimiento: La reducción se condiciona al desistimiento o renuncia de cualquier recurso en vía administrativa.
— Medidas correctivas: La empresa tiene un plazo de 3 meses para implementar medidas que garanticen la confidencialidad de los datos personales y deberá notificar a la AEPD sobre su cumplimiento.
— Publicación y recursos: La resolución será pública tras su notificación, y puede ser recurrida mediante un recurso contencioso-administrativo en un plazo de dos meses desde su notificación. Se permite la suspensión cautelar si se notifica la intención de interponer el recurso.
Fuente: https://www.aepd.es/documento/ps-00505-2024.pdf
░ Imagen de cottonbro studio en Pexels
