L’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a SERVICIOS ESPECIALES, S. A. amb 200.000€ per no complir amb el deure de confidencialitat en les denúncies realitzades en l’àmbit laboral.
La resolució es fonamenta en dues reclamacions presentades per treballadors que van denunciar la vulneració de la confidencialitat en el tractament de dades personals durant un protocol d’assetjament laboral. L’empresa va divulgar informació sensible, incloent-hi noms i cognoms dels denunciants i denunciats, la qual cosa va generar conseqüències negatives per als afectats, com a atacs d’ansietat i exposició pública en l’entorn laboral.
Si bé tot va iniciar amb l’activació del protocol d’assetjament laboral, l’Empresa va finalitzar el procés adjuntant la resolució a cadascun dels denunciants—5 en total—, la qual cosa destapava la identitat de cadascun dels ells (perquè s’exposaven tant els seus noms i cognoms com els seus llocs de treball) i dels denunciats—10 en total—als quals també es va reexpedir la resolució.
Com a conseqüència, un dels denunciats, a través d’un grup de WhatsApp del treball i el mateix dia del coneixement de la resolució, va enviar un emoji d’un petó i la frase: «Gràcies per la denúncia». Aquest fet li va generar a una de les denunciants un atac d’ansietat, pel qual es va acollir a la baixa mèdica.
Per part seva, l’empresa va al·legar que «tots sabien ja qui eren», per la qual cosa l’anonimat no va ser sol·licitat expressament i que, a més, el Comitè d’Empresa que va dur a terme el protocol tampoc el va demanar.
És necessari recordar que l’article 5.1.f) del Reglament General de Protecció de Dades (RGPD) estableix el principi d’integritat i confidencialitat i indica que les dades personals han de ser tractats de manera que es garanteixi una seguretat adequada, per la qual cosa ha d’evitar-se l’accés no autoritzat o il·lícit i protegir-se contra la seva pèrdua o mal accidental.
En aquest cas, l’empresa va vulnerar aquest principi en permetre l’accés a dades personals sensibles (identitats de denunciants i denunciats) per part de múltiples persones—15—, sense garantir mesures tècniques o organitzatives apropiades.
Per tot l’exposat, l’AEPD va imposar una sanció de 200.000€, la qual quedaria reduïda a 120.000€ en cas que l’empresa reconegués la seva responsabilitat i procedís al pagament voluntari.
Conclusió
La resolució evidencia una vulneració significativa del principi de confidencialitat establert en el RGPD, la qual va afectar directament els drets fonamentals dels denunciants, donat que les seves identitats van quedar desprotegides. Aquest cas ressalta la necessitat d’implementar mesures estrictes per a garantir la seguretat i privacitat en el tractament de dades personals en entorns laborals.
Com sempre, cuideu les dades i cuideu-vos!
Per llegir la resolució, fes clic aquí.
