La Agencia Española de Protección de Datos (AEPD) ha sancionado con 50.000 euros a Quirón Prevención. No anonimizaron bien datos de un informe relacionado con un posible hostigamiento laboral.
Sin embargo, al acogerse a las dos reducciones propuestas por la AEPD, que es reconocer los hechos y pagar de forma voluntaria, la multa ha quedado rebajada a 30.000 euros al suponer una rebaja del 40%. Cantidad que ingresaron el 24 de septiembre.
En concreto, se les ha castigado por incumplir dos artículos del Reglamento General de Protección de Datos (RGPD). Por un lado, el 5.1.f), con 30.000 euros y, por otro lado, el 32, con 20.000 euros.
Según se explica en la resolución, todo comenzó cuando una usuaria presentó ante la Inspección de Trabajo y Seguridad Social una denuncia por posibles situaciones de hostigamiento hacia ella en el ámbito laboral. Se le informó de que se iban a proteger sus datos personales debido a la gravedad de las acusaciones.
Pero cuando se trasladó el informe final de mediación por correo, tanto sus datos como los de los denunciados se podían leer a pesar de que estaban un poco borrosos. Se veían el DNI, número de móvil y correo electrónico.
No fue hasta que ella advirtió al responsable del informe lo ocurrido cuando se anonimizaron correctamente. Ante esta situación, la AEPD solicitó información a la empresa.
Quirón Prevención reconoció los hechos por los datos
Por su parte, Quirón Prevención reconoció haber enviado un correo electrónico con los datos, pero sólo a su personal técnico y a las partes intervinientes en el proceso de mediación laboral. No obstante, explicaron que estaban sujetos a no revelar la información que hubieran podido obtener en el procedimiento al estar expresamente informados de sus obligaciones en materia de confidencialidad.
Para la AEPD, esto supone una vulneración de la obligación de la entidad de garantizar la confidencialidad de los datos personales. A lo que añadieron que, además, había indicios suficientes para entender que carecía de las medidas técnicas y organizativas apropiadas que exige el artículo 5.1.f del RGPD.
«Como responsable del tratamiento debería tener implantadas medidas de seguridad y asegurar su cumplimiento», dijo la AEPD.
A la hora de poner la sanción, tuvieron en cuenta diversos aspectos como agravantes. Por ejemplo, que los datos eran de carácter personal o que existía un conflicto entre los afectados derivado de una situación de hostigamiento.
Con esta resolución se pone fin a la vía administrativa, pero todavía puede ser recurrida ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
