La Agencia Española de Protección de Datos (AEPD) ha sancionado a SERVICIOS ESPECIALES, S.A. con 200.000€ por no cumplir con el deber de confidencialidad en las denuncias realizadas en el ámbito laboral.
La resolución se fundamenta en dos reclamaciones presentadas por trabajadores que denunciaron la vulneración de la confidencialidad en el tratamiento de datos personales durante un protocolo de acoso laboral. La empresa divulgó información sensible, incluyendo nombres y apellidos de los denunciantes y denunciados, lo cual generó consecuencias negativas para los afectados, como ataques de ansiedad y exposición pública en el entorno laboral.
Si bien todo inició con la activación del protocolo de acoso laboral, la Empresa finalizó el proceso adjuntando la resolución a cada uno de los denunciantes—5 en total—, lo cual destapaba la identidad de cada uno de los ellos (pues se exponían tanto sus nombres y apellidos como sus puestos de trabajo) y de los denunciados—10 en total—a los cuales también se reenvió la resolución.
Como consecuencia, uno de los denunciados, a través de un grupo de WhatsApp del trabajo y el mismo día del conocimiento de la resolución, envió un emoji de un beso y la frase: «Gracias por la denuncia». Este hecho le generó a una de las denunciantes un ataque de ansiedad, por el cual se acogió a la baja médica.
Por su parte, la empresa alegó que «todos sabían ya quiénes eran», por lo que el anonimato no fue solicitado expresamente y que, además, el Comité de Empresa que llevó a cabo el protocolo tampoco lo pidió.
Es necesario recordar que el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD) establece el principio de integridad y confidencialidad e indica que los datos personales deben ser tratados de manera que se garantice una seguridad adecuada, por lo cual debe evitarse el acceso no autorizado o ilícito y protegerse contra su pérdida o daño accidental.
En este caso, la empresa vulneró este principio al permitir el acceso a datos personales sensibles (identidades de denunciantes y denunciados) por parte de múltiples personas—15—, sin garantizar medidas técnicas u organizativas apropiadas.
Por todo lo expuesto, la AEPD impuso una sanción de 200.000€, la cual quedaría reducida a 120.000€ en caso de que la empresa reconociera su responsabilidad y procediera al pago voluntario.
Conclusión
La resolución evidencia una vulneración significativa del principio de confidencialidad establecido en el RGPD, la cual afectó directamente a los derechos fundamentales de los denunciantes, pues desprotegió sus identidades. Este caso resalta la necesidad de implementar medidas estrictas para garantizar la seguridad y privacidad en el tratamiento de datos personales en entornos laborales.
Como siempre, cuidad los datos y ¡cuidaos!
Para leer la resolución, haga clic aquí.
