La Agencia Española de Protección de Datos (AEPD) ha sancionado con 15.000 euros a la empresa Ilunion Seguridad por vulnerar dos artículos del Reglamento General de Protección de Datos (RGPD). En concreto, el 5.1.f), que se refiere a la confidencialidad y el 32, que habla sobre la seguridad del tratamiento. No puso la copia oculta al enviar correos laborales.
Todo comenzó cuando uno de los empleados decidió poner una reclamación por dos motivos. Por un lado, porque la empresa había enviado comunicaciones laborales a sus teléfonos particulares sin haber prestado su consentimiento ni contar con la participación de la representación de los trabajadores.
Y, por otro lado, porque la empresa había enviado correos electrónicos sin utilizar la opción de “copia oculta”, de modo que se podían observar todos los la cuenta de email de todos los destinatarios.
La AEPD pidió explicaciones a Ilunion Seguridad
Así las cosas, la AEPD pidió explicaciones a Ilunion Seguridad. Respecto a las comunicaciones por WhatsApp, alegaron que se llevaban a cabo a fin de mantener informados a los trabajadores acerca de circunstancias esenciales de su relación laboral, como turnos, suplencias, vacaciones, prevención de riesgos laborales o formación.
Destacaron que era necesario mantener unos canales de comunicación ágiles y efectivos basados en el teléfono o en el correo electrónico ya que la comunicación por carta postal resultaba imposible dados los tiempos que requiere.
También explicaron que se hicieron más frecuentes a partir de marzo de 2020, fecha en la que fue declarado el confinamiento derivado de la pandemia.
De modo que consideraron que enviar comunicaciones por esta aplicación era lo más adecuado para trasladar cambios de última hora a fin de mantener un servicio crítico en esos momentos como era el de la vigilancia en los aeropuertos y derivados de la situación de ERTE, que les hacía reasignar los turnos.
Además, insistieron en que, en ningún momento, utilizan WhatsApp para dar instrucciones diarias de trabajo o encargar tareas y que los empleados sí consintieron al existir una clara acción afirmativa que legitimaría su uso.
Sin embargo, Ilunion aclaró que, para evitar que se produjeran incidencias similares, decidió enviar un comunicado a todos sus mandos intermedios para recordarles que estaban prohibidas tanto la creación de grupos de WhatsApp como el envío de correos sin emplear la opción de copia oculta.
Como hechos probados, sólo los correos
Como hechos probados, la AEPD solo consideró los de enviar correos sin copia oculta porque los reclamantes no formaban parte del grupo de WhatsApp en cuestión, de tal forma que no pudieron conocer si realmente los integrantes prestaron conocimiento.
Pero sí consideraron que se había incumplido una brecha de seguridad en cuanto a la remisión de dos correos electrónicos sin la utilización de la copia oculta revelando la dirección del email del reclamante al resto de destinatarios sin su consentimiento.
En consecuencia, teniendo en cuenta las consideraciones expuestas no puede concluirse que la entidad reclamada contara con una base de legitimación que amparara la revelación de la dirección de correo personal del reclamante. Por ello, han considerado ajustado imponer una sanción de 15.000 euros.
Esta multa todavía no es firme puesto que Ilunion Seguridad puede recurrirla ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
