Infracción del RGPD por utilizar el correo electrónico personal de una trabajadora.

La Agencia Española de Protección de Datos ha dictaminado una resolución en el expediente EXP202208793, que se refiere a la seguridad en la utilización del correo electrónico personal en el ámbito laboral. En este caso, la trabajadora que interpuso la denuncia afirmó que suministró su dirección de correo electrónico personal a la empresa para la que trabaja. Esta acción se realizó inicialmente con su aprobación, ya que  en el momento de entrar a la empresa no contaba con un correo corporativo y necesitaba tener una vía de comunicación. No obstante, a pesar de haber solicitado hace más de un año que se suprimieran sus datos personales (correo electrónico y número de teléfono) y que la empresa se comunicara con ella únicamente a través del teléfono o correo de la empresa, la compañía siguió enviándole mensajes a su correo personal. Además, la empresa envió correos electrónicos sin utilizar la opción de copia oculta, lo que resultó en la divulgación de su dirección de correo electrónico a otros destinatarios del correo.

¿Qué establece el RGPD?

El artículo 5.1.f) del Reglamento General de Protección de Datos, establece que los datos personales deben ser tratados de manera que se asegure su protección adecuada. El artículo no permite lo ocurrido en el caso, los datos de la trabajadora fueron expuestos de manera inapropiada, al ser enviados a 129 empleados sin copia oculta. La AEPD considera que la infracción es grave, ya que implica la pérdida de la confidencialidad de la información de los empleados. Además, la empresa en cuestión está acostumbrada a manejar datos personales (salud, socioeconómicos, familiares, etc.) en el transcurso de su actividad, que incluye la prestación de servicios sociales, sanitarios, educativos y de ocio. Como resultado, se impuso una multa de 12.000 euros.

El artículo 32 del RGPD, se refiere a la seguridad en el procesamiento de datos: el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Se permitió un incidente de seguridad que permitió el acceso ilícito a los datos personales de los trabajadores entre sí. Teniendo en cuenta la naturaleza de la actividad de la empresa, la AEPD impuso una multa adicional de 3.000 euros.

Dos sanciones por el uso del correo

Finalmente, la AEPD resolvió el procedimiento sancionador contra la empresa, que deberá abonar una multa total de 15.000 euros, a menos que opte por el pago voluntario, que se ha establecido en 9.000 euros.