No resulta extraño que puedan surgir errores humanos o informáticos en una empresa. Al final, la cantidad de datos que se maneja hoy en día es tan elevada, que la posibilidad de que se produzca una alteración en la planificación empresarial es muy grande. Por ello, extremar los controles, la verificación, así como los protocolos de seguridad de la información es una inversión necesaria en cualquier organización. De lo contrario, podemos acabar incurriendo en pérdidas de datos, que nos llevarán a sanciones, con el consiguiente menoscabo reputacional y económico.
HECHOS
El 15 de mayo del año 2019 se presenta reclamación ante la Agencia Española de Protección de Datos («AEPD»). En la documentación presentada, el reclamante expone que: «He recibido un correo electrónico con la nómina de una compañera de trabajo. Adjunto una copia de la comunicación de la empresa».
Se puede constatar como, desde la dirección de correo electrónico de empresa «X», se envío, el 9 de abril de 2019, documentación al correo electrónico «Y» de un empleado, con el asunto: «PAGA EXTRA DICIEMBRE 2019 «NOMBRE DE TRABAJADORA»». En ese documento adjunto, figuraba la nómina de la paga extra de navidad de 2018 de una trabajadora ajena al destinatario.
La compañía reclamada, AEMA HISPÁNICA, S.L., no remite a la AEPD ningún tipo de información ni de documentación respecto de los hechos reclamados.
INFRACCIÓN COMETIDA
El considerando 39 del Reglamento General de Protección de Datos 2016/679 (“RGPD”) indica que: «(…) Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento«.
Teniendo en cuenta esta premisa, se imputa a la reclamada la comisión de una infracción del principio de confidencialidad recogido en el artículo 5.1 letra f) del RGPD, tipificada en el artículo 83.5 letra a) del mismo cuerpo legal, y en el artículo 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD»). Además, la LOPDGDD tipifica, en su artículo 72.1 letra a), como «muy grave» la vulneración de los principios y garantías de la confidencialidad.
La AEPD tiene en cuenta, a la hora de llevar a cabo una valoración inicial de la sanción, los siguientes factores (artículo 83.2 RGPD):
- El tratamiento de datos corresponde a una acción negligente no intencional.
- El responsable del tratamiento no ha tomado ninguna medida para paliar los perjuicios sufridos por los interesados.
- El responsable del tratamiento no ha cooperado con la autoridad de control para poner remedio a la infracción (y mitigar sus efectos).
- Las categorías de datos afectados son de marcado carácter personal (identificadores de personas).
- La autoridad de control ha tenido conocimiento de la infracción a través de denuncia.
SANCIÓN
Teniendo en cuenta la infracción cometida al vulnerar el principio de confidencialidad del artículo 5.1 letra f) del RGPD, así como las circunstancias que rodean a los hechos, la norma permite fijar una sanción de 6.000 euros. No obstante, es posible la reducción de un 20% por reconocimiento de responsabilidad, así como otro 20% por pago voluntario.
Por tanto, tras el pago de la reclamada el 12 de febrero de 2020 por reconocimiento de las condiciones anteriores, se impone a AEMA HISPÁNICA, S.L. una multa de 3.600 euros por vulneración de los artículos anteriormente mencionados.
******************************************
PRINCIPIOS RELATIVOS AL TRATAMIENTO
Artículo 5.1 letra f) RGPD:
«1. Los datos personales serán:
(…)
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Artículo 5 LOPDGDD:
Artículo 5. Deber de confidencialidad.
«1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.
2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.
3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento«.
CONDICIONES PARA LA IMPOSICIÓN DE MULTAS ADMINISTRATIVAS
Artículo 83.5 letra b) RGPD:
«5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: (…)
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; […]».
******************************************
RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00455/2019
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).