Sanción de 10.000 euros por revelar datos personales de un antiguo trabajador

Fruto de unas Diligencias Previas abiertas en el Juzgado de Primera Instancia e Instrucción nº 2 de Valdecilla-Solares (Cantabria), el trabajador (y ahora reclamante) tuvo conocimiento de toda la documentación y comentarios que el reclamado (su antigua empresa) había realizado a una tercera entidad (Condal Express, empresa de envíos internacionales y nacionales de paquetes, maletas y documentos) e interesada en la posible contratación del primero.

En concreto, el reclamado envió por correo electrónico a la empresa de transporte la documentación del despido del trabajador, su finiquito, así como un escrito donde se le acusaba de intento de estafa, revelándose con ello sus datos de carácter personal a un tercero no autorizado.

Por su parte, Condal Express respondió a tal email advirtiendo lo siguiente:

Acusamos recibo de su escrito. (…) Creemos que la documentación que acompañan, particularmente la carta de despido y el correspondiente finiquito, no debería habérnosla enviado en tanto en cuanto contiene datos de carácter personal (…).

Deber de confidencialidad

En abril de este mismo año, el afectado interpuso reclamación ante la Agencia Española de Protección de Datos (AEPD). Meses después, la Directora de la AEPD, Mar España Martí, acordó admitir a trámite la mencionada reclamación e iniciar un procedimiento sancionador por la presunta infracción del art. 5.1.f) del Reglamento General de Protección de Datos (RGPD) contemplada en el art. 83.5.a) del citado Reglamento

Así las cosas, según se desprende de la resolución del procedimiento sancionador Nº PS/00324/2020, la documentación obrante en el aludido expediente “evidencia que el reclamado vulneró el art. 5 del RGPD, principios relativos al tratamiento, en relación con el art. 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), deber de confidencialidad, al remitir un correo electrónico a un tercero, conteniendo el documento de despido y finiquito, desvelando sus datos de carácter personal y siendo accesibles a terceros sin su autorización”.

La finalidad última del deber de confidencialidad es la de evitar que se realicen filtraciones de datos no consentidas por los titulares de los mismos. Además, al citado deber de confidencialidad, antiguo deber de secreto, está sujeto no sólo el responsable y encargo del tratamiento del mismo, sino todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.

Importe de la multa

A efectos de fijar la cuantía de la sanción de multa a imponer en el presente supuesto por la infracción prevista en el art. 83.5.a) del RGPD de la que se responsabiliza al reclamado, se tienen en cuenta los siguientes elementos:

– El alcance en un entorno local del polémico tratamiento llevado a cabo por la entidad reclamada.

– El número de afectados se limita a una sola persona.

– El desconocimiento de las medidas adoptadas por el reclamado para evitar que se produzcan futuras incidencias similares y la ausencia de cooperación con la autoridad de control. En concreto, ante la petición y requerimiento informativo de la AEPD, no se ha obtenido respuesta por parte del reclamado.

– El desconocimiento de que el reclamado hubiera actuado dolosamente, a pesar de que la actuación revela una grave falta de diligencia.

– El tamaño de la entidad reclamada es de pequeña empresa.

Por ello, de acuerdo con los anteriores factores, la Directora de la AEPD informa de la imposición a la reclamada de una sanción económica de 10.000 euros.