Quirón, multada con 50.000 euros por no proteger los datos personales de los trabajadores en un proceso de mediación por hostigamiento laboral

La Agencia Española de Protección de Datos (AEPD) ha sancionado a Quirón Prevención S.L.U., con 50.000 euros por no proteger los datos personales de sus trabajadores en un proceso de mediación. Asimismo, parte de dicha multa administrativa también corresponde a la falta de medidas por parte de la empresa en la seguridad del tratamiento de datos.

Pues, en un proceso de mediación por hostigamiento laboral, llevado a cabo por la empresa entre una trabajadora que denunció los hechos y los otros empleados implicados, Quirón no protegió los datos personales de ninguna de las partes al enviar un correo electrónico con el informe de dicho proceso en el que se podían leer los nombres y apellidos, los DNI, números de teléfono móvil y correos electrónicos.

La resolución dictada por la AEPD, disponible en el botón ‘descargar resolución’, considera que Quirón Prevención vulneró los artículos 5.1. f) y 32 del Reglamento General de Protección de Datos; infracciones por las cuales se ha sancionado a la empresa con una multa administrativa de 30.000 euros, por la vulneración del primer citado artículo, y una segunda multa administrativa de 20.000 euros, por la vulneración del segundo citado artículo.

La Agencia Española de Protección de Datos. (Imagen: AEPD)

Los hechos

La sanción llega a raíz de que en octubre del año pasado la trabajadora del Quirón presentara ante la Agencia Española de Protección de Datos un escrito de reclamación contra la empresa empleadora por un posible incumplimiento de lo dispuesto en la normativa de protección de datos de carácter personal.

En dicha reclamación la actora informaba que, como consecuencia de la denuncia que presentó ante la Inspección de Trabajo y Seguridad Social por posibles situaciones de hostigamiento hacia ella en el ámbito laboral, se siguió un proceso de mediación entre ella y los otros trabajadores implicados en los hechos.

En dicho proceso de mediación, Quirón Prevención les informó de que se iba a proteger los datos personales debido a la gravedad de las acusaciones, sin embargo, lejos de realidad, cuando se trasladó el informe final por la empresa, los datos personales tanto de la actora como de los denunciados se mostraban.

Si bien dichos datos personales se apreciaban borrosos, lo cierto es que se podían leer los datos, concretamente, era leíble el nombre y apellidos, DNI, números de móvil y correo personal de cada una de las personas.

No obstante, cuando la reclamante advirtió al responsable del informe sobre esa situación, los datos personales sí aparecían tachados.

Por último, la actora indicaba en la reclamación que aunque el proceso está judicializado, consideraba nefasta la gestión que había hecho la empleadora de sus datos personales.

(Imagen: E&J)

La empresa no anonimizó los datos personales de las partes

La AEPD dio traslado de dicha reclamación a la parte reclamada (Quirón Prevención) para que procediese, en el plazo de un mes, a su análisis e informase a la Agencia de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.

Quirón respondió a la AEPD reconociendo haber enviado un correo electrónico al personal técnico de su entidad y a las partes interesadas y participantes en la mediación laboral, con el informe final de mediación en cuyo contenido figuran datos personales de los participantes.

Asimismo, la empleadora señaló que las partes que intervinieron en la mediación “aceptaron el proceso de mediación formalmente y fueron expresamente informadas no solo del objeto de la mediación, sino de sus obligaciones en materia de confidencialidad”. Por tanto, las partes intervinientes estaban sujetas a no “revelar la información que hubiera podido obtener derivada del procedimiento”.

(Imagen: E&J)

Quirón no garantizó la confidencialidad de los datos

La Agencia Española de Protección de Datos inició un procedimiento contra Quirón al considerar que el tratamiento de esos datos personales constituyeron una infracción del artículo 5.1. f) del Reglamento General de Protección de Datos (RGPD), por vulnerar el principio de integridad y de confidencialidad en el tratamiento de datos personales.

La AEPD ha determinado en dicho procedimiento que “resulta evidente que Quirón Prevención en el informe emitido expuso indebidamente determinados datos personales de, entre otros, la parte reclamante y los denunciados, al no aparecer anonimizados sus DNI, números de móvil o correos electrónicos en el envío realizado”.

Por tanto, la empresa vulneró su obligación de garantizar la confidencialidad de los datos, al poner en conocimiento de las partes intervinientes los datos personales.

En consecuencia de la infracción cometida, al vulnerar el artículo 5.1. f) del RGDP, la Agencia Española de Protección de Datos ha sancionado a Quirón con una multa administrativa de 30.000 euros.

(Imagen: Quirón Prevención S.L.U.)

La empresa no ha garantizado la seguridad del tratamiento

Asimismo, la AEPD ha entendido que Quirón carece de las medidas técnicas y organizativas apropiadas para garantizar una seguridad adecuada de los datos personales.

Pues, el envío del informe final de mediación laboral y sus anexos mediante correo electrónico, sin anonimizar los datos de los intervinientes evidencia una falta de medidas por parte de Quirón. Es más, la AEPD señala en la resolución dictada que la propia entidad es consciente de la irregularidad de la comunicación de datos, ya que un día después de la advertencia de la actora la entidad envió de nuevo el informe de mediación pero esta vez con los datos tachados.

Por otra parte, Quirón Prevención no ha acreditado las medidas de seguridad con las que cuenta para evitar que los documentos que redactan recojan datos personales de los intervinientes en los procesos sin anonimizar y, “como responsable del tratamiento debería tener implantadas medidas de seguridad y asegurar su cumplimiento, extremo que no consta en esta Agencia hasta el momento”, señala la resolución.

En consecuencia, dado que los hechos son constitutivos de una infracción por vulneración del artículo 32 del RGPD, se ha impuesto una segunda multa administrativa a la empleadora, esta vez de 20.000 euros.

(Imagen: E&J)

Quirón ha pagado 30.000 euros de multa al reconocer su responsabilidad

Quirón ha reconocido su responsabilidad de los hechos, por lo que, de conformidad con lo dispuesto en el artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), ha podido ver reducida la sanción impuesta en una reducción del 20%.

Asimismo, dado que la empresa ha procedido a realizar el pago voluntario de la sanción, se ha beneficiado también de una reducción de un 20% de su importe.

En consecuencia, como Quirón ha procedido a aplicar ambas reducciones, finalmente la sanción que ha tenido que abonar se ha visto reducida 20.000 euros por debajo de la multa administrativa fijada por la AEPD en el procedimiento sancionador.