L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat una sanció de 35.000€ a ALVEA Soluciones Tecnológicas, S.L. per una infracció greu de l’article 5.1.f) del RGPD, relacionada amb la falta de mesures adequades per a garantir la seguretat i confidencialitat de les dades personals.
Tot va començar amb una reclamació presentada a l’octubre de 2024, en la qual s’al·legava que l’empresa enviava correus a candidats incloent un formulari de Google per a recaptar les seves dades personals (nom, cognoms, DNI) i, a més a més, un enllaç a un full de càlcul amb les dades de més de 10.000 persones, accessible per a qualsevol que el tingués. La informació no estava protegida, la qual cosa suposa una vulneració clara del principi de confidencialitat.
L’empresa va admetre que l’error es va produir quan un tècnic de selecció, acabat d’incorporar, va afegir per accident un enllaç intern no controlat. Si bé l’empresa va prendre mesures correctives després de rebre el requeriment de l’AEPD—va restringir l’accés a l’enllaç, va actualitzar procediments, i va millorar el control d’accés a la informació—, l’Agència va considerar que aquestes mesures es van adoptar a posteriori, i no existien controls previs eficaços per a evitar l’incident.
Per això, l’AEPD va decidir imposar una multa de 35.000€, fonamentada en la vulneració de l’article 5.1.f) del RGPD, que exigeix tractar les dades personals amb mesures tècniques i organitzatives apropiades per a garantir la seva seguretat, inclosa la protecció enfront del tractament no autoritzat. A més, la infracció es tipifica com molt greu segons l’article 83.5.a) del RGPD i l’article 72 de la LOPDGDD.
Es van tenir en compte diversos factors agreujants per a determinar la quantia:
- La gravetat de l’incident, en afectar 10.837 persones i comprometre dades especialment sensibles com el DNI.
- La negligència, al no haver-se previst mecanismes que evitessin aquest tipus d’errors, sent una empresa amb un volum de negoci elevat i dedicada precisament al tractament de dades de tercers.
- La falta de mesures preventives prèvies, la qual cosa va evidenciar una cultura de compliment deficient en el maneig d’informació personal.
Conclusió
Aquest cas demostra que un simple error en el maneig d’enllaços pot derivar en una greu infracció del RGPD. La protecció de dades exigeix mesures preventives reals, no sols reaccions a posteriori. Amb aquesta sanció, l’AEPD reforça la importància de garantir la confidencialitat des del disseny.
Com sempre, cuideu les dades i cuideu-vos!
Per consultar la resolució, feu clic aquí.
