Interesante sanción sobre la importancia de garantizar la privacidad en el envío de datos personales por medio de comunicaciones laborales
La AEPD corroboró que la empresa reclamada envió comunicaciones laborales por correo electrónico sin utilizar la opción de envío con copia oculta, lo que provocó la revelación de las direcciones de correo electrónico personales de los trabajadores a todos los destinatarios de los correos.
En primer lugar, la AEPD confirmó que el incidente producido supuso una brecha de seguridad de los datos personales, categorizada como una brecha de confidencialidad.
Seguidamente, la AEPD entró a valorar el tratamiento que implica la comunicación de datos personales de un trabajador a otros trabajadores por parte de la empresa, así como la base de legitimación para llevar a cabo dicha comunicación.
Así, la empresa afirmaba haber recabado el consentimiento de los trabajadores en el uso de tales medios de contacto. No obstante, la AEPD analizó las distintas bases de legitimación posibles con las que contaba la empresa para llevar a cabo dichas comunicaciones, concluyendo que esta carecía de una base de legitimación que amparará la revelación de la dirección de correo personal del reclamante.
Por todo lo anterior, la Agencia consideró que la entidad vulneró la confidencialidad que contraviene el principio de integridad y confidencialidad recogida en el artículo 5.1 f) del Reglamento General de Protección de Datos (RGPD).
Asimismo, el análisis de la brecha de seguridad producida no permitió apreciar un comportamiento diligente por parte del reclamado, dado que este carecía de medidas de seguridad adecuadas para garantizar la confidencialidad de los datos en los envíos por correo.
En definitiva, el tratamiento llevado a cabo por la parte reclamada supuso un incumplimiento de la obligación de aplicar medidas técnicas y organizativas apropiadas para garantiza un nivel de seguridad adecuado en el tratamiento de datos personales.
Finalmente, la AEPD resolvió imponiendo a la empresa de seguridad una sanción de 15.000 euros por infringir el artículo 5.1 f) y 32 del RGPD.
Puedes consultar la resolución completa, haciendo clic aquí.
- Sanción de 30.000 euros por acceso indebido a la historia clínica de pacientes
- Aprobado el Anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad en España
- El carding como nuevo tipo de estafa informática
- Worldcoin obligada a eliminar datos de iris por infracción del RGPD
- Código de conducta en el sector de las telecomunicaciones
- El Real Decreto 933/2021 y la protección de datos
Comentarios recientes