La Agencia Española de Protección de Datos (AEPD) sanciona con 3.000 euros por incumplir la LOPD a una empresa por publicar el número del DNI de sus empleados mediante nota informativa en la que se informaba a los mismos sobre la nueva normativa de utilización del vestuario del centro de trabajo.
En el escrito de la reclamación, se manifestaba que la entidad reclamada estaba revelando el número del DNI de los empleados, dicha información se desvelaba a través de una nota informativa de utilización del vestuario del centro de trabajo, que debían de firmar todos los empleados.
La reclamante estima que un dato como el DNI puede ser utilizado por terceros de modo fraudulento o con otros fines distintos para los que está siendo tratado, por lo que no debía exponerse la información de esta forma, a la vista de cualquier otro empleado de la compañía, clientes, recepcionistas, trabajadores de la limpieza, etc.
Además, la reclamante indico que no se consintió tal exposición para tal tratamiento y que se estaba instando a los trabajadores para obtener el documento de referencia ya firmado.
Iniciado el correspondiente procedimiento sancionador, la empresa reclamada presentó un escrito de alegaciones donde declaraba que el incidente se produjo por un error humano, motivado principalmente por la urgencia derivada de la Covid-19 en notificar las nuevas medidas que debían adoptarse tras eliminar el sistema de ventilación.
Además, alegaba que fue un supuesto accidental y fortuito que debía de ser encuadrado dentro del ámbito interno y organizativo de la empresa.
Finalmente, recalcó que el volumen y la tipología de datos afectados fue mínima; que no hubo ninguna consecuencia para el reclamante ni el resto de los empleados; que los datos estuvieron visibles durante un corto periodo de tiempo; y que se adoptaron las medidas preventivas pertinentes para evitar que en un futuro ocurrieran incidentes similares.
La Agencia Española de Protección de Datos (AEPD) a pesar de las alegaciones de la entidad reclamada, termina imponiendo una multa de 2.000 € por infracción del art. 5.1 f) del Reglamento General de Protección de Datos (RGPD), respecto a la vulneración del principio de confidencialidad y de 1.000 € por la infracción del art. 32 (RGPD), en relación a la seguridad del tratamiento de los datos personales.
Según la AEPD, “la empresa tenía habilitación para tratar internamente y conocer determinada información, pero no estaba legitimada para transferirla a terceros”. La AEPD advierte que el DNI unido al nombre y apellido de la persona es considerado como un dato personal que permite identificar a una persona, por lo que deben aplicarse las mismas medidas de protección que sobre otros datos personales.
La AEPD avisa que el hecho de que la nota informativa se situase dentro de un entorno laboral, de confianza y localizado, “no es causa de justificación o exculpación suficiente” ya que “toda vez que los afectados se han visto desprovistos del control sobre sus datos personales”.
Según la AEPD a modo de ejemplo, la búsqueda en internet del nombre, apellidos o correo electrónico de algunos de los afectados podría ofrecer resultados que, combinándolos con los ahora accedidos por terceros ajenos, permitirían al acceso a otras aplicaciones de los afectados o la creación de perfiles de personalidad. “Esta posibilidad supone un riesgo añadido que se ha de valorar y que aumenta la exigencia del grado de protección en relación con la seguridad y salvaguarda de la integridad y confidencialidad de estos datos”.
CONCLUSION
Las Organizaciones deben tener presente que el uso de sistemas de notificación o registros comunes o agrupados por colectivo puede derivar en un incumplimiento de la normativa de protección de datos, por lo que, listados utilizados como los controles de visitas a las instalaciones, controles de asistencias a cursos de formación como los de FUNDAE, notificaciones a empleados que deben ser firmados por estos, etc. deberán ajustarse a la normativa de protección de datos bien utilizando sistemas de notificación o registros individualizados, bien en formato manual (ejemplo registro en papel individualizado) o automatizado (ejemplo utilizando un portal del empleado), u otros sistemas que impidan la relevar dichos datos a terceros.