Sanción da AEPD a unha empresa por identificar datos persoáis nun procedemento de Acoso Laboral
A Agencia Española de Protección de Datos (AEPD) fai unha enorme labor de concienciación en todos os ámbitos, tamén no laboral, no que xa ten publicado guías e recomendacións respecto ao tratamento de datos persoáis dos traballadores e traballadoras e, cómo un incorrecto ou mal uso dos mesmos, pode acarrear consecuencias para as empresas.
Foi o que lle aconteceu a unha empresa do sector funerario, a cal foi sancionada cunha multa de 200.000 euros por desvelar e difundir datos persoáis de varios dos seus traballadores-as.
Todo elo débese a que a empresa, activou o Protocolo de Acoso Laboral –obrigatorio para todas as empresas que teñan traballadores-as-, debido á denuncia interna dunha situación de acoso sufrida por varias traballadoras, sendo un total de cinco denunciantes.
Unha vez que a empresa recibe e conclúe toda a investigación, envía un correo electrónico ao Comité de Empresa, adxuntando as denuncias e resolucións correspondentes a cada procedemento, incluido datos persoáis tanto das persoas que denunciaron a situación de acoso, como das persoas denunciadas por estas, as cales eran un total de dez. Entre estos datos, atopábanse nome e apelidos, DNI e incluso, o posto de traballo de cada unha destas persoas. A posteriori, este correo electrónico tamén foi enviado a outros membros do persoal, alcanzando a un total de quince destinatarios.
Esta filtración indebida de datos, tivo consecuencias inmediatas e graves, para as persoas implicadas, derivando en baixas médicas por ansiedade dende o mesmo día en que suceden os feitos, afectando tamén ao ambiente laboral de maneira negativa.
A empresa argumentaba que “todos sabían quenes eran” e que “non se había pedido expresamente o anonimato”. A AEPD é clara, compartir a identidade de quenes participan nun procedemento de acoso laboral, vulnera a confidencialidade e polo tanto o artigo 5.1 f) do Reglamento Xeral de Protección de Datos (RGPD). Ademáis, a AEPD, argumenta tamén a falta de base legal (artigo 6 RGPD) para divulgar dita información, constituindo unha infracción grave.
Finalmente a empresa viu reducida a sanción a 120.000 euros, tras haber recoñecido a súa responsabilidade e haber aboado voluntariamente o pago, beneficiándose dunha reducción do 40% da sanción de acordo ao artigo 85 da Ley 39/2015 de Procedemento Administrativo Común das Administracións Públicas.
Como dato relevante, esta empresa xa fora sancionada anteriormente por outra cesión indebida de datos cunha sanción de 80.000 euros. Este dato pon de manifesto a falta de concienciación e a mala praxis xeralizada que existe a día de hoxe entre as empresas, sexa do sector que sexa.
Situacións coma estas, fannos ver a necesidade imperiosa de que as empresas implementen protocolos rigurosos e esixentes que velen polo cumprimento normativo e pola salvagarda dos datos persoáis e da confidencialidade. A falta de implementación de este tipo de medidas non só expón ás empresas a sancións elevadísimas, senón que tamén pode dañar a reputación da organización e a confianza das persoas traballadoras da mesma.
Garantir a seguridade da información e a confidencialidade, non é unha opción para as empresas, senón que debe ser unha responsabilidade prioritaria.
