La Agencia Española de Protección de Datos (AEPD) ha sancionado con 15.000 euros a la empresa Sacyr Social por los correos que enviaba a su personal. Aunque eso sí, ha pagado finalmente 9.000 al haberse acogido a las dos reducciones, el pago voluntario y el reconocimiento de los hechos.
Según se desprende en la resolución sancionadora, la reclamación fue interpuesta por una de las trabajadoras. Ésta comentó que cuando comenzó a prestar servicios para la empresa decidió darles su correo electrónico personal para que lo usaran como método de contacto al ser nueva y no tener email corporativo.
Sin embargo, manifestó que llevaba un año diciéndole a la empresa que sólo se comunicasen con ella por medio del corporativo, pidiéndole así la supresión de su email personal y teléfono móvil, sin suerte. No obstante, no aportó pruebas sobre la solicitud de supresión de los datos ni de su deseo de que ya no se utilice su teléfono y correo electrónico personales.
Por otro lado, también explicó que la empresa estaba enviando los mensajes sin la opción de “copia oculta”, de modo que quedaban expuestas las direcciones de correo del resto de personas.
La AEPD solicitó explicaciones a Sacyr y ésta respondió que el correo electrónico corporativo no era una herramienta de trabajo de los auxiliares domiciliarios del Servicio de Ayuda a Domicilio (SAD), que era al grupo al que pertenecía la reclamante, sino que era un canal de comunicación puntual.
Comentaron que, para este grupo de trabajadores, la herramienta esencial de comunicación es un terminal de teléfono móvil puesto a su disposición.
Sacyr alegó que era algo puntual
Pero reconocieron que debido al alto volumen de trabajo, no todos los empleados tenían instalados en tales dispositivos la aplicación de WhatsApp, por lo que, “de forma puntual y transitoria”, habían usado el correo electrónico personal para comunicaciones laborales.
Explicaron que ese grupo de empleados estaban recibiendo una media de 7 correos al mes. Respecto a la copia oculta, indicaron que era una falta puntual y que, por tanto, no suponía una “revelación de datos crítica”.
Pues bien, para la AEPD, en este caso, se ha producido una brecha de seguridad de datos personales al haberse enviado por correo electrónico a varios empleados de Sacyr mails sin la citada función de copia oculta. Se expusieron los datos al enviarse correos a 129 personas.
A la hora de poner la cuantía de la sanción, la AEPD tuvo en cuenta como agravante la vinculación de la actividad del infractor con la realización de tratamientos de carácter personal. Hay que recordar que dicha empresa se dedica a la prestación de servicios sociales, sanitarios, educativos y de ocio.
Además, también consideraron que la infracción era grave puesto que Sacyl no contaba con medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo.
Por lo que se les ha sancionado por cometer infringir el artículo 5.1.f) y 32 del Reglamento General de Protección de Datos (RGPD). Y aunque Sacyr abonó el 3 de octubre 9.000 euros, la sanción no es firme porque se puede recurrir ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
