La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 35.000€ a ALVEA Soluciones Tecnológicas, S.L. por una infracción grave del artículo 5.1.f) del RGPD, relacionada con la falta de medidas adecuadas para garantizar la seguridad y confidencialidad de los datos personales.
Todo comenzó con una reclamación presentada en octubre de 2024, en la que se alegaba que la empresa enviaba correos a candidatos incluyendo un formulario de Google para recabar sus datos personales (nombre, apellidos, DNI) y, junto a él, un enlace a una hoja de cálculo con los datos de más de 10.000 personas, accesible para cualquiera que lo tuviera. La información no estaba protegida, lo que supone una vulneración clara del principio de confidencialidad.
La empresa admitió que el error se produjo cuando un técnico de selección, recién incorporado, añadió por accidente un enlace interno no controlado. Si bien la empresa tomó medidas correctivas tras recibir el requerimiento de la AEPD—restringió el acceso al enlace, actualizó procedimientos, y mejoró el control de acceso a la información—, la Agencia consideró que estas medidas se adoptaron a posteriori, y no existían controles previos eficaces para evitar el incidente.
Por ello, la AEPD decidió imponer una multa de 35.000€, fundamentada en la vulneración del artículo 5.1.f) del RGPD, que exige tratar los datos personales con medidas técnicas y organizativas apropiadas para garantizar su seguridad, incluida la protección frente al tratamiento no autorizado. Además, la infracción se tipifica como muy grave según el artículo 83.5.a) del RGPD y el artículo 72 de la LOPDGDD.
Se tuvieron en cuenta varios factores agravantes para determinar la cuantía:
- La gravedad del incidente, al afectar a 10.837 personas y comprometer datos especialmente sensibles como el DNI.
- La negligencia, al no haberse previsto mecanismos que evitaran este tipo de fallos, siendo una empresa con un volumen de negocio elevado y dedicada precisamente al tratamiento de datos de terceros.
- La falta de medidas preventivas previas, lo que evidenció una cultura de cumplimiento deficiente en el manejo de información personal.
Conclusión
Este caso demuestra que un simple error en el manejo de enlaces puede derivar en una grave infracción del RGPD. La protección de datos exige medidas preventivas reales, no solo reacciones a posteriori. Con esta sanción, la AEPD refuerza la importancia de garantizar la confidencialidad desde el diseño.
Como siempre, cuidad los datos y ¡cuidaos!
Para consultar la resolución, haga clic aquí.
