La AEPD sanciona a una empresa al pago de 450.000 euros por filtrar datos de 447 de sus trabajadores al enviar por error un pdf. La sanción se redujo a 270.000 euros por reconocer la responsabilidad y por pago voluntario
La AEPD en resolución de terminación del procedimiento por pago voluntario PS/00238/2024 finaliza el expediente sancionador relativo a la filtración de datos de los trabajadores al haber abonado la empresa la sanción impuesta reconociendo su responsabilidad. Con las reducciones por el pago voluntario la sanción a la que empresa tuvo que hacer frente ascendió a 270.000 euros.
Los hechos objeto de sanción se remontan al 5 de agosto de 2022 cuando la parte reclamante solicitó al departamento de recursos humanos que se le diera traslado de la nómina del mes de julio. En respuesta a esta solicitud el departamento remitió mediante correo electrónico un documento que contenía las nóminas de 447 de sus trabajadores. En dichos documentos constaban el nombre y apellidos, DNI, número de afiliación de la SS y número de cuenta, entre otros datos.
La empresa reclamada reconoce los hechos y atribuyen la brecha a un error humano al no seguir el proceso interno. Así mismo, declara que el empleado de recursos humanos que cometió el error no informó de ello a sus responsables ni lo puso en conocimiento de la empresa, por lo que la brecha no transcendió no se actuó de forma proactiva ante ella, teniendo constancia de la misma cuando recibieron la notificación del traslado de la reclamación por parte de la AEPD.
La AEPD considera que la documentación del expediente evidencian la vulneración del artículo 5.1.f del RGPD que señala que los datos personales serán «tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)». Esta vulneración se produce al no garantizar debidamente la confidencialidad e integridad de datos de carácter personal de sus trabajadores, habiéndose puesto en conocimiento de un tercero no autorizado. También estima vulnerado el art. 32.1 del RGPD debido a la falta de adopción de medidas de carácter técnico y organizativas apropiadas lo cual posibilitó el acceso a los datos de un tercero no autorizado.
Las dos infracciones suponen que la sanción impuesta ascienda a 450.000€, aunque dicha cuantía se reduce en un 20% al haber reconocido su responsabilidad y, nuevamente, otra reducción del 20% al haber realizado el pago voluntario de la sanción. Aplicadas estas reducciones la sanción efectiva ascendió a 270.000€.
Comentarios recientes