Sancionada con 120.000 euros una empresa por desvelar la identidad de unos denunciantes

La Agencia Española de Protección de Datos (AEPD) ha condenado a una funeraria a pagar 120.000 euros por vulnerar el derecho al anonimato de varios empleados que figuraban como denunciantes en un caso de acoso laboral. Según el organismo regulador, la empresa incurrió en una infracción del artículo 5.1 f) del Reglamento General de Protección de Datos (RGPD), al no garantizar adecuadamente «la confidencialidad de los datos de carácter personal».

Según consta en la sentencia (cuyo contenido puede consultarse pinchando en ‘descargar resolución’), el caso en cuestión se originó a raíz de una denuncia presentada por cinco trabajadores de la mercantil contra otros diez empleados, a los que acusaban de haber incurrido en un delito de acoso laboral.

Pero lo que podría haberse quedado entre las cuatro paredes del Comité de Empresa terminó en manos de todo el personal. El motivo: la funeraria, tras abrir un protocolo de acoso, envió un correo electrónico masivo informando de que daba por finalizada la instrucción, adjuntando en el mismo la resolución en la cual constaba la identidad de cada uno de los denunciantes y de los denunciantes, así como sus puestos de trabajo.

Como consecuencia de esta remisión, todo el centro supo del trasfondo del procedimiento, llegando a promover que uno de los denunciados, en el marco de una conversación por WhatsApp, se mofara de una de las denunciantes ‘agradeciéndole’ la denuncia. Comportamiento que provocó que la receptora de tal mensaje sufriera un ataque de ansiedad, deviniendo en baja médica.

Agencia Española de Protección de Datos. (Imagen: AEPD)

A raíz de ello, la afectada presentó una reclamación ante la Agencia Española de Protección de Datos que, sin embargo, fue renegada por la funeraria, que contestó al escrito argumentando que «no es posible apreciar una infracción de la legislación en esta materia y ello por la razón de que todos los interesados estaban perfectamente al tanto de todas las identidades de los afectados desde un principio».

En este sentido, la parte reclamada también señaló que un hecho trascendente fue que la denuncia que dio inicio al procedimiento seguido internamente fue planteada por el comité de empresa sin invocar el derecho al anonimato de los denunciantes, ni tampoco estos lo solicitaron. Por último, informó de que ya había decidido adoptar medidas preventivas y reparadoras, con el fin de evitar hechos similares en un futuro.

Ante tal disparidad de opiniones, finalmente la AEPD ha decidido darle la razón a la reclamante. Lo ha hecho después de estimar que, en efecto, se produjo una infracción del artículo 5 del RGPD sobre Principios relativos al tratamiento. Un precepto que, en su apartado f), establece que «los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad)».

En este contexto, la AEPD ha considerado que la documentación obrante en el expediente ofrecía indicios evidentes de que la parte reclamada vulneró el artículo 5 del RGPD al permitir el acceso a los datos carácter personal vulnerando la confidencialidad de los mismos, de manera que las partes del procedimiento, tanto denunciantes como denunciados, tuvieron acceso a la identidad de cada uno de ellos.

Más concretamente, se ha concluido que la funeraria «no garantizó debidamente la confidencialidad de los datos de carácter personal». Una falta que la AEPD ha considerado pertinente sancionar con 200.000 euros. Cantidad que ha quedado reducida en un 40%, hasta los 120.000 euros, por reconocer la empresa su error y llevar a cabo el pago voluntario de la sanción.