Sanción de 5.000€ a una empresa por ceder datos de un trabajador

La Agencia Española de Protección de Datos ha sancionado con 5.000 euros a una empresa por una infracción del art 5.1 c) RGPD, ya que “remitió un correo electrónico a los clientes que eran atendidos por el reclamante y les comunicó que había dejado de prestar servicio al ser despedido disciplinariamente por mala praxis profesional”.

Con carácter inicial, la Agencia Española de Protección de Datos, “dio traslado de dicha reclamación a la parte reclamada para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.”

El traslado, fue recogido por el responsable, y en fecha 10 de diciembre de 2021 se recibió escrito de respuesta señalando, entre otras cuestiones, que “comunicó el nombre, primer apellido y correo electrónico corporativo del reclamante a los clientes a los que él venía prestando sus servicios como empleado de la entidad reclamada” y que “dicha comunicación del nombre, primer apellido y correo electrónico corporativo del reclamante se hizo en interés legítimo, tanto de la entidad reclamada como de los clientes de dicha entidad, a los que el reclamante prestaba asesoramiento fiscal”. También continúa indicando que “informó de la categoría de destinatarios (CLIENTES)” y que “si así lo estima la Agencia Española de Protección de Datos y no ve problemas para salvaguardar la privacidad y confidencialidad de los clientes, la entidad reclamada no tiene ningún problema en comunicar los clientes (de sobra conocidos por el reclamante porque eran los clientes a los que él prestaba servicios)”.

En fecha 13 de noviembre de 2021 se admitió a trámite la reclamación presentada por la parte reclamante.

Con fecha 8 de enero de 2024 se acordó iniciar procedimiento sancionador a la parte reclamada, por la presunta infracción del artículo 5.1 c) del RGPD, tipificada en el artículos 83.5 del RGPD.

La AEPD indica en la resolución PS-00564-2023, que “no es que no haya falta de legitimación, sino que se han cedido más datos de los precisos para cumplir con la finalidad pretendida, no resultando justificable que se comunique la causa por la que el reclamante ya no presta servicios con la entidad reclamada, al considerar que las causas del cese de la relación laboral entre empleado y empleador es un asunto privado que sólo concierne a ambas partes y no a terceros.”

Finalmente indica la AEPD que “en la respuesta dada por la parte reclamada al respecto, se reconoce que se ha comunicado la causa de cese a los clientes, pero no se indica la voluntad de adoptar medidas para que no vuelva a suceder. Así las cosas, de conformidad con las evidencias de las que se dispone, se considera que los hechos denunciados, podrían vulnerar el artículo 5.1 c) del RGPD, indicado en el fundamento de derecho II, ya que nos encontramos ante un tratamiento ilícito de los datos personales, al vulnerar el principio de minimización de los datos personales tratados, el cual exige que el tratamiento de los datos personales sea adecuado, pertinente y limitado a lo estrictamente necesario en relación con los fines para los que se requiera su tratamiento, de conformidad con el artículo 5.1 c) del RGPD”.

Por todo lo mencionado anteriormente, la AEPD, en la resolución del procedimiento sancionador PS-00564-2023 considera la existencia de una infracción del art. 5.1.c) RGPD, tipificadas en el art. 83.5 RGPD. Se acordó imponer una multa de 5.000 € a la empresa que realizó un tratamiento de los datos personales de la reclamante infringiendo este precepto normativo, la cual se redujo a 3.000 € por pronto pago.

En definitiva, quienes hagan un tratamiento de datos personales excediéndose, amparándose en una base legitimadora a priori válida; deben saber que es altamente probable que la AEPD les sancione, si bien, pueden evitarlo contratando con carácter previo al tratamiento los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en asesoramiento y consultoría para el cumplimiento de la normativa de protección de datos.