La Agencia Española de Protección de Datos en la resolución de su Expediente N.º: EXP202104953 ha sancionado con 3.500 euros a una residencia de tercera edad por una infracción de los arts. 5.1.f) y 32 del RGPD, ya que se remitió la carta de despido de la reclamante a todos los trabajadores de la empresa a través de un grupo de WhatsApp, indicándose en dicho grupo que la persona, cuya carta de despido se adjuntaba, había sido efectivamente destituida.
Primeramente, la Agencia Española de Protección de Datos, “dio traslado de dicha reclamación a la parte reclamada para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.”
El traslado, no fue recogido por el responsable, entendiéndose rechazado conforme a lo previsto en el art. 43.2 de la LPACAP, en dos ocasiones.
El día 11 de enero de 2022 se admitió a trámite la reclamación presentada por la reclamante, y tras ello la Subdirección General de Inspección de Datos procedió a realizar una serie de actuaciones previas de investigación para el esclarecimiento de los hechos. Entre estas labores se encuentran la emisión de dos requerimientos de información a la parte reclamada sin respuesta, y el análisis de diversas noticias sobre el cierre de la residencia, así como la búsqueda de teléfonos de contacto y la realización de llamadas a los mismos sin respuesta.
En fecha 21 de julio de 2022, la AEPD acordó el inicio del procedimiento sancionador a la parte reclamada por la presunta infracción de los artículos 5.1.f) y 32 del RGPD, tipificadas en los artículos 83.5 y 83.4 del RGPD.
De las actuaciones de la AEPD, quedó probado que “la parte reclamada remitió la carta de despido de la parte reclamante a un grupo de WhatsApp en el que se informaba a los trabajadores de que la ***PUESTO.1, la reclamante, había sido despedida, indicándose en el mensaje que se adjuntaba, la carta de despido” y que “consta impresión de pantalla de la aplicación de mensajería WhatsApp conteniendo los mensajes objeto de la reclamación”.
La AEPD determina que en el presente caso consta una brecha de seguridad de datos personales en las “circunstancias arriba indicadas, categorizada como una brecha de confidencialidad, toda vez que la parte reclamada ha revelado información y datos de carácter personal a terceros, sin el consentimiento expreso del titular de dichos datos, al remitir a un grupo de usuarios de la aplicación de mensajería WhatsApp, grupo de al menos 5 integrantes más la receptora del mensaje, la carta de despido de la parte reclamante, en la que se puede apreciar su dirección postal completa y la causa del cese de la relación laboral”.
De otra parte, se expone que “los hechos puestos de manifiesto suponen la falta de medidas técnicas y organizativas al posibilitar la exhibición de datos de carácter personal de la reclamante con la consiguiente falta de diligencia por el responsable, permitiendo el acceso no autorizado por terceros ajenos”.
Se resuelve que en el caso que nos ocupa, los hechos acreditados son constitutivos de infracción, imputable a la parte reclamada, por vulneración de los artículos 5.1.f) y 32 del RGPD.
Por todo lo mencionado anteriormente, la AEPD, en la resolución del procedimiento sancionador PS-00216-2022, se considera la existencia de una infracción del art. 83.5. a) RGPD, en relación con el 72.1. a) LOPDGDD, por la vulneración del principio de confidencialidad; y la existencia de una infracción del art. 83.4. a), en relación con el art. 73 f) LOPDGDD por la inobservancia de las medidas de seguridad del tratamiento de los datos personales. Se acordó imponer una multa de 2.000 € para la primera infracción, y multa de 1.500 € para la segunda infracción.
De igual modo, la AEPD determinó que la reclamada “implante, en el plazo de un mes, las medidas correctoras necesarias para adecuar su actuación a la normativa de protección de datos personales, que impidan que en el futuro se repitan hechos similares, así como que informe a esta Agencia, en el mismo plazo, sobre las medidas adoptadas”.
En definitiva, los responsables del tratamiento deberán, respecto de los datos personales que manejen realizar los tratamientos en cumplimiento del principio de confidencialidad y garantizando que los mismos cuentan con las medidas de seguridad técnicas y organizativas para asegurar un nivel de seguridad adecuado al riesgo y así impedir el acceso a la información en caso de incidente. El incumplimiento por parte de las empresas de estas premisas conlleva a que es altamente probable que la AEPD les sancione, si bien, pueden evitarlo contratando los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en adaptación de empresas privadas a la normativa de protección de datos.