Sanción de 3.000 € por difundir un parte de baja por WhatsApp

La Agencia Española de Protección de Datos ha sancionado con 3.000 euros a un empresario dedicado a la hostelería, propietario de un bar, por una infracción del art. 5.1.f) RGPD, y por otra infracción del art. 32 RGPD, debido a que, por un lado, un empleado publicó en su estado de WhatsApp, y compartió en determinados grupos, copia del parte de baja laboral de la reclamante; y por otro lado, que tras considerar la AEPD el incidente como una brecha de seguridad, la parte reclamada -el propietario del bar- no disponía de medidas técnicas y organizativas para mitigar o minimizar los riesgos asociados.

Primeramente, la Agencia Española de Protección de Datos, “dio traslado de dicha reclamación a la parte reclamada para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.”

El traslado, fue recogido por el responsable, aunque no se recibió respuesta alguna al mismo.

El día 04/07/2022 se admitió a trámite la reclamación presentada por la reclamante, y con fecha 01/09/2022 se recibió respuesta por la parte reclamada en la cual se aporta una carta de amonestación al empleado que realizó la publicación donde se le comunica que se le suspende de empleo y sueldo durante diez días.

En fecha 17/03/2023, la AEPD solicita información sobre “el medio y la fecha en que se comunicó el parte de baja a la empresa, sin que a la fecha del informe de actuaciones previas de investigación se haya obtenido respuesta”.

La parte reclamada indicó que fue la reclamante quien remitió el parte de baja por la aplicación de WhatsApp, y que el trabajador amonestado es el jefe de personal, quien realiza funciones de dirección y administración.

Con fecha 26/06/2023, se acordó el inicio del procedimiento sancionador por parte de la AEPD a la parte reclamada, por la presunta infracción del art. 5.1.f) del RGPD y artículo 32 del RGPD, tipificadas, respectivamente, en artículos 83.5.a) y 83.4.a) del RGPD.

La AEPD indica que a tenor del art. 5.1.f) del RGPD, “los datos personales de la parte reclamante relativos a su nombre, apellidos y estado de salud (embarazo) han sido indebidamente expuestos a terceros, en la medida en que estos figuran en el parte médico de baja de la afectada publicado en el estado de WhatsApp del encargado del bar donde trabaja.”.

Continúa diciendo la AEPD, en lo que se refiere a la infracción cometida del art. 32 RGPD que “en el presente supuesto, en el momento de producirse la brecha, la parte reclamada, (…) no disponía de medidas técnicas y organizativas adecuadas en función de los posibles riesgos estimados, así como de información y formación dirigida a su trabajador para realizar un correcto tratamiento de los datos personales (…). Además, por el hecho de recoger el parte médico de baja datos personales relativos a la salud de la parte reclamante y, por consiguiente, clasificados dentro de las “categorías especiales de datos personales”, la parte reclamada debería haber extremado las medidas para que no se hubiera producido la actuación de su trabajador. (…) Se recuerda que no es suficiente con que la parte reclamada, como responsable del tratamiento, implante medidas de seguridad, sino que también, debe asegurar su cumplimiento.”

Por todo lo mencionado anteriormente, la AEPD, en la resolución del procedimiento sancionador que nos ocupa considera la existencia de una infracción del art. 83.5 y 83.4 RGPD, y se acordó imponer una multa de 2.500€ por la primera infracción y de 500€ por la segunda.

En definitiva, aquellas entidades privadas que no cumplan con las garantías de confidencialidad y seguridad, así como empleen medidas para fomentar la concienciación de su personal sobre la importancia de la protección de datos de carácter personal; deben saber que es altamente probable que la AEPD les sancione, si bien, pueden evitarlo contratando los servicios de técnicos y especialistas jurídicos en protección de datos y privacidad, como Unive Abogados, que cuenta con una amplia experiencia en adaptación de empresas privadas a la normativa de protección de datos, y con Delegados de Protección de Datos certificados que le ayudarán a cumplir con la ley y, más importante, a comprender la verdadera finalidad de la misma.

Puede leer la resolución del Expediente Nº: EXP202204987 en la página oficial de la AEPD.