La AEPD impone 3.500 euros de sanción por el envío de la carta de despido por el grupo de WhatsApp de la empresa.
La empresa envió la carta de despido a un grupo de WhatsApp en el que se encontraba toda la plantilla de la empresa, sin contar con el consentimiento expreso de la trabajadora. La carta, contenía datos personales de la trabajadora, tales como dirección postal completa y el motivo del despido.
La trabajadora interpuso reclamación ante la Agencia Española de Protección de Datos contra la empresa, por vulnerar la normativa de protección de datos. Junto a la reclamación, adjuntó los pantallazos de la conversación en cuestión.
Brecha de confidencialidad
La Agencia decide imponer una multa a la empresa, fundamentada en la apertura de una brecha de seguridad, provocada por la revelación de información de la trabajadora sin su consentimiento. La información en cuestión corresponde con el motivo de su despido y su dirección postal completa. Se trata de datos que deben mantenerse en la esfera privada empleado-empleador.
La resolución se basa en la vulneración del art. 5. 1. f) del Reglamento General de Protección de Datos, en relación con el principio de confidencialidad. Así mismo, el art. 32 del reglamento determina una «falta de medidas técnicas y organizativas al posibilitar la exhibición de datos de carácter personal de la reclamante con la consiguiente falta de diligencia por el responsable, permitiendo el acceso no autorizado por terceros ajenos».
No establece un listado de medios concretos, pero sí que el responsable del tratamiento de datos aplique las medidas más adecuadas, teniendo en cuenta la naturaleza, contexto y finalidades de los datos, así como los riesgos y proporcionalidad. La Agencia valora la adecuación de las medidas, teniendo en cuenta: la seudonimización, cifrado, integridad, capacidad de restauración, verificación, etc.
Resolución de la AEPD
La Agencia decide imponer en el caso concreto dos multas, una de 2.000 euros por la infracción del principio de confidencialidad del art. 5. 1. f) del RGPD, y otra de 1.500 euros por la infracción en la seguridad del tratamiento de datos del art. 32 del RGPD.
Además, impone una medida correctiva encaminada al establecimiento de las medidas de seguridad adecuadas para la adecuación al reglamento de protección de datos, a fin de impedir que dicha situación vuelva a ocurrir en el futuro.
Mediante la resolución, la Agencia Española de Protección de Datos señala la falta de diligencia del responsable de la empresa, así como la falta de adopción de medidas técnicas y organizativas necesarias para la correcta aplicación de la normativa en materia de protección de datos.
Otras noticias de interés: Despido improcedente: pruebas obtenidas de un maletín olvidado por la trabajadora
