Privacitat – protecció de dades

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Continues enviant Excels amb dades personals per email? Això és el que hauries de saber (i evitar)

per

Dues resolucions recents de l’Agència Espanyola de Protecció de Dades (AEPD) han posat en evidència un fet que moltes empreses —incloses farmàcies— encara no han entès del tot: les dades personals no poden circular per correu electrònic sense protecció.

Els casos sancionats afecten farmàcies que, en la seva operativa diària, intercanviaven correus electrònics amb llistats de residents de centres geriàtrics, incloent-hi nom, cognoms, tipus d’absorbent (bolquers) i una altra informació sensible, sense cap tipus de xifratge. Els arxius anaven en Excel, oberts i sense contrasenya. En alguns casos, fins i tot es compartien usuaris i contrasenyes per a accedir a plataformes que contenen informació sanitària.

Per què això és greu?

Aquest fet vulnera l’art. 32 del Reglament General de Protecció de Dades (RGPD), el qual obliga a aplicar mesures tècniques adequades per a garantir la seguretat de les dades personals. No parlem d’un capritx burocràtic: les dades de salut es protegeixen especialment a causa de la seva sensibilitat i el seu ús indegut pot tenir conseqüències personals i socials molt greus.

I què va dir l’AEPD?

En totes dues resolucions (EXP202414366 i EXP202414356), l’AEPD va deixar clar que l’ús de mitjans electrònics no segurs per a transmetre dades personals constitueix una infracció. Si bé les farmàcies van intentar escudar-se en què no eren responsables del tractament, els fets van demostrar el contrari, atès que accedien a les dades, les consultaven, les usaven i les emmagatzemaven.

L’AEPD va indicar que totes dues farmàcies realitzaven aquesta activitat en la seva condició de responsables del tractament, atès que eren les que determinaven els fins i mitjans d’aquesta activitat. Tot això sense els contractes adequats, sense una Avaluació d’Impacte de Protecció de Dades (AIPD) vàlida i, el més destacable, sense xifratge en els correus.

Què implica xifrar un correu electrònic?

Significa que el contingut del missatge (i els arxius adjunts) només poden ser llegits pel destinatari previst. Si algú intercepta l’email, veurà un galimaties. Això es pot fer fàcilment amb eines com a arxius comprimits amb contrasenya (ex. ZIP amb contrasenya forta) o serveis de correu segur.

Conclusió

  • Si tractes dades personals—sobretot si són de salut—el xifratge ja no és opcional, és obligatori.
  • Enviar un Excel amb noms i dades mèdiques sense xifrar és el mateix que enviar la fitxa clínica d’una persona per una postal oberta. No és acceptable, ni legal.
  • Si creus que «això no m’aplica perquè jo només segueixo instruccions», recorda: si accedeixes i uses les dades, ets corresponsable.

Protegir la privacitat no és només complir una norma, és respectar la dignitat de les persones. I això comença per prendre de debò la seguretat, fins i tot (i sobretot) en una cosa tan quotidiana com un email.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir les resolucions, fes clic aquí y aquí.

Privacitat en perill: sancionen una immobiliària per espiar bústies sense consentiment

per

Un ex-treballador d’ESTUDI ALCAZAR DEL GENIL 2022, S.L va denunciar a la immobiliària davant l’AEPD per haver estat obligat a prendre fotos de bústies de comunitats de veïns per a crear una base de dades de possibles clients, sense permís ni informació prèvia als afectats. En negar-se, va ser acomiadat.

Durant la recerca, l’AEPD va confirmar que es van recopilar dades personals (noms, direccions, portes i plantes) sense consentiment i que es van pujar a una base de dades utilitzada amb finalitats comercials.

Fonaments Jurídics Clau

Què es considera una dada personal?

Segons el Reglament General de Protecció de Dades (RGPD), qualsevol informació que identifiqui o pugui identificar a una persona, com el nom, la direcció o fins i tot les dades d’una bústia, es considera dada personal.

Què s’entén como tractament de dades?

El tractament de dades implica qualsevol acció sobre aquestes dades: recollir-los, emmagatzemar-los, usar-los, etc.

Es pot fer el que va fer l’empresa?

No. L’article 6 del RGPD exigeix una base legal per a tractar dades personals. Per exemple, el consentiment de l’afectat, un contracte, una obligació legal o un interès legítim que no danyi els drets del ciutadà.

En aquest cas, l’empresa no tenia cap base legal, ja que no va demanar permís ni va informar els veïns, i tampoc es tractava d’una font pública ni hi havia un altre motiu que el justifiqués.

Infracció

L’AEPD conclou que Estudio Alcázar va cometre una infracció molt greu per tractar dades personals sense base legal (art. 6 RGPD), a més de ser conscient de la infracció (art. 83.2.b) RGPD), perquè la supervisora de l’ex-treballador li va reconèixer que aquesta pràctica formava part de la metodologia implementada per a la gestió de zones.

A més, la immobiliària no va informar els titulars de les dades recaptades cap mena d’informació sobre aquest tractament. Això suposa una vulneració de l’art. 14 RGPD, el qual estableix l’obligació del responsable del tractament de proporcionar informació clara i accessible a l’interessat quan les dades personals no han estat obtinguts directament d’ell.

Sanció

L’AEPD va imposar una sanció de 20.000€, que, després del reconeixement de la seva responsabilitat i pagament voluntari, va quedar reduïda a 12.000€.

Conclusió

Aquest cas posa en evidència una cosa fonamental: el nom de la bústia és una dada protegida per llei. Ningú pot recopilar aquesta informació sense el permís del titular per a usar-la amb finalitats comercials. Les empreses tenen l’obligació de respectar la seva privacitat i només poden usar les seves dades quan tenen una base legal clara. Si no és així, s’enfronten a sancions com aquesta.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

Responsabilitat civil en l’era digital: el Suprem confirma la condemna a Gamboa Automoción per una estafa informàtica

per
La sentència del Tribunal Suprem nº136/2025 resol un recurs de cassació presentat per GAMBOA AUTOMOCIÓN S.A., condemnat com a responsable civil subsidiari per una estafa informàtica que va afectar l’empresa CYASA (Comerç i Assistència S.A.).
L’estafa es va produir a l’abril de 2018 quan tercers van suplantar el correu d’un empleat de Gamboa per a induir a CYASA a realitzar una transferència per més de 32.000 euros a un compte fraudulent. El Tribunal confirma la responsabilitat subsidiària de Gamboa per ometre mesures de prevenció després d’una bretxa de seguretat detectada el dia anterior als fets.
La qüestió clau que analitza el Suprem gira entorn de si els requisits de l’article 120.3 del Codi Penal es compleixen per a imposar aquesta responsabilitat civil. Aquest article exigeix que: el delicte es cometi en un «establiment» de l’entitat; existeixi infracció de normes reglamentàries o disposicions de l’autoritat atribuïble als seus administradors o empleats; i que aquesta infracció estigui relacionada causalment amb el delicte.
El Tribunal assenyala que el sistema informàtic—com mitjà habitual i necessari—forma part de l’entorn funcional del negoci, per la qual cosa, malgrat que el delicte no va ocórrer físicament en un local, sí que va ocórrer en un «entorn operatiu» de l’empresa.
Així mateix, l’empresa va incórrer en una omissió rellevant, doncs, malgrat a haver detectat un incident similar amb una altra empresa (Romauto Motion S.A.) el matí del 10 d’abril de 2018, Gamboa no va avisar als seus altres socis comercials ni va prendre mesures per a prevenir un nou atac.
Per tot l’exposat, el Tribunal va considerar provat que va haver-hi una bretxa de seguretat en el seu sistema informàtic i que la falta de comunicació i inacció de l’empresa va ser clau perquè el frau a CYASA es consumés.

Lliçons clau per a les empreses

Aquesta sentència marca un precedent important:
  • No actuar davant una bretxa de seguretat equival a assumir riscos legals.
  • Les empreses tenen un deure proactiu de protecció i de comunicació quan detecten vulnerabilitats que poden afectar tercers.
  • No és necessari identificar a l’empleat culpable perquè s’imposi responsabilitat civil a l’empresa.
  • Les mesures preventives no són opcionals. Són una obligació legal i operativa.

Conclusió

Aquesta sentència és un advertiment clar per a totes les empreses: si una empresa detecta una incidència de seguretat i no informa ni actua amb rapidesa, pot acabar condemnada, encara que no hagi participat en el delicte.
Avui més que mai, la gestió de riscos digitals és part essencial del compliment legal i del deure de diligència empresarial. I quan aquest deure s’incompleix, els costos van molt més allà del tecnològic: impacten en la reputació, les finances i la responsabilitat jurídica de l’empresa.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

Confidencialitat Vulnerada: La Importància del Deure de Confidencialitat en Canals de Denúncies

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat a SERVICIOS ESPECIALES, S. A. amb 200.000€ per no complir amb el deure de confidencialitat en les denúncies realitzades en l’àmbit laboral.

La resolució es fonamenta en dues reclamacions presentades per treballadors que van denunciar la vulneració de la confidencialitat en el tractament de dades personals durant un protocol d’assetjament laboral. L’empresa va divulgar informació sensible, incloent-hi noms i cognoms dels denunciants i denunciats, la qual cosa va generar conseqüències negatives per als afectats, com a atacs d’ansietat i exposició pública en l’entorn laboral.

Si bé tot va iniciar amb l’activació del protocol d’assetjament laboral, l’Empresa va finalitzar el procés adjuntant la resolució a cadascun dels denunciants—5 en total—, la qual cosa destapava la identitat de cadascun dels ells (perquè s’exposaven tant els seus noms i cognoms com els seus llocs de treball) i dels denunciats—10 en total—als quals també es va reexpedir la resolució.

Com a conseqüència, un dels denunciats, a través d’un grup de WhatsApp del treball i el mateix dia del coneixement de la resolució, va enviar un emoji d’un petó i la frase: «Gràcies per la denúncia». Aquest fet li va generar a una de les denunciants un atac d’ansietat, pel qual es va acollir a la baixa mèdica.

Per part seva, l’empresa va al·legar que «tots sabien ja qui eren», per la qual cosa l’anonimat no va ser sol·licitat expressament i que, a més, el Comitè d’Empresa que va dur a terme el protocol tampoc el va demanar.

És necessari recordar que l’article 5.1.f) del Reglament General de Protecció de Dades (RGPD) estableix el principi d’integritat i confidencialitat i indica que les dades personals han de ser tractats de manera que es garanteixi una seguretat adequada, per la qual cosa ha d’evitar-se l’accés no autoritzat o il·lícit i protegir-se contra la seva pèrdua o mal accidental.

En aquest cas, l’empresa va vulnerar aquest principi en permetre l’accés a dades personals sensibles (identitats de denunciants i denunciats) per part de múltiples persones—15—, sense garantir mesures tècniques o organitzatives apropiades.

Per tot l’exposat, l’AEPD va imposar una sanció de 200.000€, la qual quedaria reduïda a 120.000€ en cas que l’empresa reconegués la seva responsabilitat i procedís al pagament voluntari.

Conclusió

La resolució evidencia una vulneració significativa del principi de confidencialitat establert en el RGPD, la qual va afectar directament els drets fonamentals dels denunciants, donat que les seves identitats van quedar desprotegides. Aquest cas ressalta la necessitat d’implementar mesures estrictes per a garantir la seguretat i privacitat en el tractament de dades personals en entorns laborals.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, fes clic aquí.

Revolució Legal: Noves Mesures Contra l’Abús Digital Infantil

per

El Govern espanyol ha aprovat un projecte de Llei Orgànica innovador per a protegir els menors en entorns digitals, abordant problemes com el grooming, els deepfakes sexuals i l’accés indiscriminat a contingut inapropiat. Presentada pels ministres Félix Bolaños i Sira Rego, aquesta norma busca posicionar a Espanya com a referent en la regulació de l’entorn digital per a menors. El text inclou reformes legals, controls tecnològics i mesures educatives i sanitàries.

Entre els punts més destacats està la reforma del Codi Penal, que introdueix noves figures delictives i agreuja penes existents. Per exemple, es tipifica com a delicte l’ús d’intel·ligència artificial per a crear deepfakes sexuals o vexatoris, amb penes de presó de fins a dos anys. També es regula el grooming (pràctica en la qual adults enganyen menors per a obtenir material pornogràfic) i es considera com un agreujant en delictes contra la llibertat sexual. A més, es creen les ordres d’allunyament digital, que prohibeixen als agressors interactuar amb les seves víctimes en xarxes socials o altres plataformes virtuals.

La llei també obligarà els fabricants de dispositius digitals a incloure controls parentals gratuïts i fàcils d’utilitzar des de fàbrica. Aquests controls estaran disponibles en mòbils, tauletes, televisors intel·ligents i ordinadors. Així mateix, s’eleva de 14 a 16 anys l’edat mínima perquè els menors puguin donar el seu consentiment al tractament de dades personals en xarxes socials.

En l’àmbit educatiu, s’impulsaran programes d’alfabetització digital per a ensenyar als menors a identificar riscos i combatre desinformació. Els centres educatius tindran autonomia per a regular l’ús de dispositius electrònics en les seves instal·lacions.

D’altra banda, en el sector sanitari, s’implementaran proves en atenció primària per a detectar problemes associats a l’ús excessiu o inadequat de tecnologies entre els joves.

La norma també afecta a plataformes digitals i creadors de contingut amb gran abast, exigint-los implementar sistemes efectius de verificació d’edat i etiquetatge clar sobre contingut potencialment nociu. A més, prohibeix l’accés de menors a pràctiques com les caixes de recompensa (loot boxs) en videojocs.

Finalment, s’anuncia una Estratègia Nacional liderada pel Ministeri de Joventut i Infància, que inclourà campanyes informatives i una escola per a pares sobre entorns digitals. Amb aquesta llei, Espanya busca no solament protegir els menors davant els riscos actuals, sinó també anticipar-se a futurs desafiaments tecnològics.

Conclusió

L’aprovació del projecte de llei per a protegir menors en entorns digitals marca una fita en la regulació tecnològica a Espanya. Amb mesures com a controls parentals obligatoris, reformes del Codi Penal i programes educatius, el país busca liderar la protecció infantil en l’àmbit digital. Aquesta norma no només aborda problemes actuals com el grooming i els deepfakes, sinó que també estableix un marc legal pioner per a enfrontar futurs desafiaments tecnològics.

Com sempre, cuideu les dades i cuideu-vos!

DNI per WhatsApp: Demanar la foto del DNI acaba en multa

per

El 5 de febrer de 2025, l’AEPD va imposar una sanció de 2.000€ a un allotjament turístic per sol·licitar l’enviament del DNI per WhatsApp

Fets

L’Agència Espanyola de Protecció de Dades (AEPD) ha resolt un procediment sancionador contra RESIDENTIAL QUALITY ENJOY, S.L. per exigir als seus clients l’enviament d’imatges completes del DNI (incloent menors) a través de WhatsApp, sense informar sobre el tractament. L’empresa va al·legar complir amb el Reial decret 933/2021 sobre registre d’hostes. No obstant això, l’AEPD va determinar que la seva pràctica excedia els requisits legals.

En primer lloc, l’exigència d’aportar la imatge completa del DNI era desproporcionada, perquè es recollia informació innecessària com el rostre, el número d’expedició o els noms de progenitors. Això va en contra del principi que exigeix limitar les dades al «adequat,pertinent i estrictament necessari» (art. 5.1.c) RGPD). 

A més, cal recordar que el RD 933/2021 només requereix dades textuals bàsiques (nom, cognoms, número de document), no còpies del document.

Així mateix, l’AEPD va subratllar que, tot i que el lloguer turístic està subjecte a obligacions de registre, (art. 4.3 RD 933/2021), «ha de complir-se sense necessitat de sol·licitar el lliurament de còpia o imatge del document d’identitat o escaneig d’aquest, perquè existeixen altres alternatives igualment vàlides que permeten realitzar aquesta comprovació de manera fiable.» És a dir, verificar la identitat no equival a emmagatzemar còpies del DNI, perquè amb mètodes menys invasius, com la transcripció manual de dades, es podria haver complert l’obligació de registre perfectament.

D’altra banda, el mètode d’enviament de la imatge del DNI sol·licitat era WhatsApp, per la qual cosa sorgeix un risc afegit, perquè aquesta xarxa social manca de xifratge i no es considera una via segura a través de la qual enviar dades tan sensibles com els continguts en el DNI.

Per tot l’exposat, l’AEPD va decidir imposar una sanció de 2.000€ que, amb el reconeixement de responsabilitat i el pagament voluntari per part de RESIDENTIAL QUALITY ENJOY, S.L., va quedar reduïda a 1.200€.

Conclusió

Aquesta resolució recorda a les empreses que no poden utilitzar la «seguretat» com a excusa per a recopilar dades excessives, perquè la imatge completa del DNI conté informació sensible irrellevant per al registre d’hostes.

Com sempre, cuideu les dades i cuideu-vos! 

Per llegir la resolució, fes clic aquí.

El trencaclosques del temps efectiu: què compta com a jornada laboral?

per

La Sentència del Tribunal Superior de Justícia de Madrid nº962/2020 resol un conflicte laboral emblemàtic sobre el Dret a la Desconnexió Digital i els límits de la formació obligatòria fora de la jornada laboral. El cas va enfrontar un controlador aeri d’ENAIRE, qui va ser sancionat per no completar cursos de formació online en els seus dies de descans, i va realitzar algunes precisions respecte al dret a la desconnexió digital.

Fets

L’empresa va exigir als seus empleats realitzar un curs formatiu online—preceptiu, segons la normativa europea i el conveni col·lectiu—de dues hores en els seus períodes de descans, sense alterar el seu horari laboral presencial, i va destacar la seva obligació de realitzar el curs «en els cicles de descans de tres dies que de conformitat amb l’article 33 del conveni col·lectiu li són programats». No obstant això, un dels controladors aeris va rebutjar realitzar el curs fora de la seva jornada laboral i va exigir que s’inclogués en el seu quadrant de serveis (391 empleats van realitzar el curs en termini). Finalment, el va completar fora del termini establert, juntament amb altres 41 companys.

A causa de la falta d’obediència per part d’aquest empleat, l’empresa el va sancionar amb 3 dies de suspensió de sou i feina, fonamentant la seva decisió en l’article 95.2.i) EBEP, el qual tipifica com a falta molt greu la «desobediència oberta a ordres d’un superior».

En aquest sentit, el Tribunal raona que, si bé l’ ordre de realitzar formació en dies de descans aparentment contravindria el dret del treballador a la intimitat personal i familiar de l’ article 18 de la Constitució en el seu vessant de desconnexió digital, regulat a l ‘ article 88 de la LOPDGDD, les dues hores dedicades a la realització del curs online pel treballador són reconegudes per l’ empresa com a temps de treball i,  per tant, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

D’ aquesta manera, el Tribunal raona que l’ empresa pot ordenar la realització de treball retribuït fora d’ horari laboral i, per això, el període per realitzar la formació a distància computaria com a hores extraordinàries de temps efectiu de treball, evidentment, amb les conseqüències legals derivades.

A més, afegeix que el conveni col·lectiu, en el seu article 29.1.1.3, indica clarament que «la jornada programable no inclou el temps necessari per a la formació que no tingui la consideració d’activitat aeronàutica». Tenint en compte que la formació era relativa a Recursos Humans, l’ exigència que la formació online de l’ article 227 del conveni s’ inclogués en la jornada programable mancaria de fonament jurídic.

El Tribunal argumenta que la falta de criteris establerts per l’empresa per garantir el compliment del nombre d’hores de jornada exigit no implica la il·legalitat de l’ordre ni justifica la desobediència d’aquesta, ja que cal tenir en compte l’escàs nombre d’hores de formació requerit i el llarg període per realitzar-lo (fet que permetia perfectament el respecte dels descansos legals). Si bé es podria qüestionar la legalitat de l’ ordre en relació amb l’ ordenació del temps de treball i descansos, no implica la vulneració d’ un dret fonamental, tal com al·lega el treballador.

Així mateix, el motiu pel qual el treballador es va negar a complir l’ ordre no va ser la seva ignorància sobre les normes aplicables a jornada i descansos per elegir correctament el moment de la seva activitat formativa online, sinó l’ exigència que s’ inclogués en la jornada programable d’ activitat aeronàutica, la qual cosa el Tribunal indica que manca de fonamentació jurídica.

Conclusió

Aquesta sentència ofereix un raonament profund sobre els límits entre treball i descans. Si bé el dret a la desconnexió digital és essencial, hi ha matisos que valorar, doncs, com hem indicat, no hi ha dret a la desconnexió digital dins del temps de treball, sinó només dins del temps de descans.

Pot llegir la sentència aquí

Com sempre, cuida les dades i cuideu-vos!

Protecció de dades vs. mentides en el CV: Quan l’empresa creua la línia de la legalitat en la seva investigació

per

El 19 d’abril de 2024, el TSJ de Castella i Lleó (STSJ CL 1540/2024) declara improcedent l’acomiadament disciplinari d’una treballadora per mentir en el seu CV. L’empresa havia detectat irregularitats, i per això va demanar l’informe de vida laboral als treballadors per contrastar aquesta informació amb els seus currículums. Així és com van poder descobrir que en el d’aquesta empleada hi havia discrepàncies. No obstant això, el Tribunal ha declarat l’acomiadament com a improcedent a causa de l’ús il·lícit de les dades personals.

Fets

L’empleada, que va iniciar la seva relació laboral amb l’empresa el setembre del 2020, va aportar inicialment un currículum en el qual indicava que havia treballat com a operària de cadena al departament de soldadura a Renault. No obstant això, aquesta dada no apareixia en el currículum que va entregar el 2022; en el seu lloc, es va indicar una altra experiència professional com a operària de cadena que no es corresponia amb l’exposat al seu dia.

Aquell mateix any, arran d’un procediment intern de selecció, l’empresa va demanar als treballadors la remissió de la seva vida laboral i, en contrastar el currículum de la treballadora amb la seva vida laboral, es va observar la incongruència.

Per això, el març del 2022 l’empresa va procedir a notificar-li el seu acomiadament disciplinari, amb efectes a partir del 24 de juny i fonamentat en la seva transgressió a la bona fe contractual (article 54.2.d) de l’Estatut dels Treballadors.

No obstant això, l’empleada va impugnar l’acomiadament i va al·legar que s’ havia vulnerat el seu dret a la protecció de dades, atès que l’empresa va utilitzar el seu informe de vida laboral per justificar el seu acomiadament sense cap tipus de base legítima per a això.

Si bé el tribunal d’instància va declarar la procedència de l’acomiadament, la treballadora va recórrer al TSJ de Castella i Lleó, el qual ha declarat l’acomiadament com a improcedent.

Aquest TSJ ha reconegut l’ús il·lícit de les dades personals cedides per la treballadora que va realitzar l’empresa, atès que aquesta els va utilitzar per a un fi diferent al que se suposava—la treballadora havia lliurat l’informe voluntàriament per a processos de selecció, no per a una investigació disciplinària.

Així mateix, el Tribunal subratlla la il·licitud del tractament, indicant que s’ha vulnerat el dret a la protecció de dades de la treballadora, el qual considera com un dret fonamental protegit per l ‘article 18.4 de la Constitució espanyola

El Tribunal considera que aquesta vulneració és motiu suficient per afirmar la improcedència, atès que, en cas de prescindir de la informació obtinguda de la vida laboral de l’ empleada, l’ acomiadament mancaria de justificació. A més, destaca el defecte formal en la carta d’acomiadament, ja que aquesta no descrivia amb claredat la conducta sancionada i que la falta al·legada per l’empresa havia prescrit, doncs, des del coneixement de la suposada irregularitat al març de 2022 fins a l’acomiadament al juny de 2022, ja havien transcorregut més de 60 dies,  la qual cosa superava el termini legal per sancionar una falta molt greu.

El Tribunal Superior de Justícia de Castella i Lleó va condemnar l’empresa a readmetre la treballadora o abonar-li una indemnització de 5.462’42€, a més d’una indemnització addicional per danys morals de 3.000€, a causa de la vulneració del seu dret fonamental a la protecció de dades.

Conclusió

L’ empresa no va poder acreditar un interès legítim superior al dret fonamental a la protecció de dades de la treballadora, per la qual cosa la causa de l’ acomiadament va quedar invalidada. Aquesta decisió senta un precedent sobre els límits de les empreses per verificar CVs, prioritzant el compliment del RGPD fins i tot en casos de presumpta mala fe del treballador.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la resolució, faci clic aquí.

Com un accés a ASNEF va costar el lloc a un directiu bancari: El TS equipara consultar morositat sense causa al robatori d’informació

per

La Sentència del Tribunal Suprem nº37/2025 resol un recurs de cassació presentat per Banco Sabadell SA contra una sentència que va declarar improcedent l’acomiadament disciplinari d’un empleat per accessos no autoritzats a fitxers de morositat i retrocessió irregular de comissions.

Fets provats

El treballador, que portava des del 2000 treballant per al Banc Sabadell, va consultar dades en fitxers de morositat de diverses persones i empreses sense consentiment, algunes d’elles sense relació contractual amb el banc. Per això, l’ entitat bancària li va comunicar el seu acomiadament disciplinari, fonamentat en infraccions molt greus tipificades en l‘ art.  69.1 del conveni col.lectiu del sector de Banca, relatiu a l’ art.  54.2.d) de l’ Estatut dels Treballadors.

El Banc va al·legar que el treballador va realitzar diverses consultes sense justificació de fitxers de morositat. Concretament, l’empleat va realitzar, sense cap justificació, recerques de fins a 4 persones físiques i una empresa en sis dates diferents. Una d’aquestes persones investigades va presentar una queixa al Banc per haver-se consultat les seves dades personals tenir una base legítima per a això i va reclamar que se li compensés el dany ocasionat.

Així mateix, l’actor també va realitzar retrocessions de comissions per un valor de 133’80€ a favor d’un amic que era client d’una altra oficina.

El treballador acomiadat va defensar les seves accions al·legant que va realitzar els accessos als fitxers de morositat com una mera acció comercial. D’altra banda, respecte a les retrocessions de comissions, va indicar que el va realitzar com un favor al seu amic personal.

No obstant això, el Banc va decidir executar l’acomiadament disciplinari en considerar els fets com a molt greus i constitutius de transgressió de la bona fe contractual, abús de confiança en l’acompliment del treball i frau o deslleialtat en les gestions encomanades.

Decisió del Tribunal Suprem

En aquest supòsit, el Tribunal Suprem considera provada la transgressió de bona fe contractual i abús de confiança per part de l’ ara ex-empleat i subratlla l’ ús indegut de facultats directives per beneficiar tercers sense interès empresarial. A més, destaca que els accessos realitzats en més d’ una ocasió van ser accessos a dades sensibles sense base legítima, per la qual cosa es constitueix una vulneració de l’ art. ~ ~ ~ 20 de la LOPDGDD, precepte que indica que només es pot consultar la informació dels sistemes d’ informació creditícia quan es mantingués una relació contractual amb l’ afectat.

D’altra banda, s’identifica també una vulneració de l’ article 5.1.f) RGPD, el qual preveu que les dades personals han de ser tractades garantint una seguretat adequada, incloent-hi la protecció contra el tractament no autoritzat o il·lícit (principi de confidencialitat).

Conclusió

Aquesta sentència senti precedent sobre l’ abast del deure de lleialtat en el maneig de dades personals, establint que l’ ús no autoritzat de sistemes d’ informació creditícia per directius bancaris, encara que sigui puntual, justifica l’ extinció contractual per risc substancial per als interessos empresarials.

Com sempre, cuideu les dades i cuideu-vos!

Per llegir la sentència, feu clic aquí.

Revisió Texts legals web