Ya viene siendo habitual que en este blog os hablemos sobre la cautela que hay que guardar cuando manejamos datos personales de terceros, sobre todo cuando tenemos que enviarlos por correo electrónico o mensajería instantánea. Lo más importante es la diligencia que hemos de prestar a la hora de enviar dichos documentos a su receptor que, en la mayor parte de los casos y salvo causas justificadas, por ejemplo, con autorización, debe ser el titular de los datos personales que se están difundiendo.
En el presente articulo vamos a analizar una resolución donde se sanciona a una empresa por realizar la acción arriba descrita. En este caso, una entidad, en adelante parte reclamada, envía por WhatsApp a un familiar de una exempleada una imagen de una notificación de embargo de la nómina de esta última, parte reclamante. De conformidad a lo expuesto
¿Qué normativa y artículos de la misma han sido vulnerados?
Comenzamos haciendo referencia mas detalladamente a los hechos que han dado lugar a la resolución de terminación del procedimiento por pago voluntario, Nº Expediente 202204748:
La parte reclamante manifiesta que fue trabajadora de la parte reclamada y que, tras desvincularse de la misma, en la sede dicha entidad se recibió una notificación de embargo de la nómina de la parte reclamante, habiendo difundido dicha información, mediante la aplicación de mensajería móvil WhatsApp a un familiar de la parte reclamante, a quien una persona de la entidad reclamada remitió imagen de dicha notificación. Con el escrito de reclamación se aporta imagen del mensaje remitido y denuncia presentada al respecto ante la Guardia Civil.
Así las cosas, se da traslado de dicha reclamación a la entidad reclamada. La misma manifiesta que la persona que envió el mensaje objeto de conflicto lo hizo por WhatsApp a un familiar de la reclamante desde su teléfono móvil particular que contenía un documento de oficio de embargo dictado por un Juzgado de Primera Instancia del partido judicial correspondiente.
Como consecuencia de tales hechos, dicha trabajadora fue avisada, por escrito, donde se le informaba de las posibles medidas disciplinarias.
En marzo de 2021, fecha en que la reclamante interpone la denuncia ante la Guardia Civil, la empresa mantiene una conversación privada con el hermano de la misma y le remite una fotografía del documento de embargo.
La entidad reclamada manifiesta que toda la documentación sensible se encuentra bajo llave y solo accede el personal autorizado para ello. Asimismo, alega que, como medidas de subsanación y concienciación, se ha revisado todo lo relativo a protección de datos de la empresa incluyendo instrucción especifica a la persona que envió el mensaje y más tarde a todo el personal, así como se ha nombrado un Delegado de Protección de Datos después del suceso.
Tras las anteriores declaraciones vertidas por la parte reclamada, la Agencia Española de Protección de Datos (en adelante AEPD), admite a trámite la reclamación, manifestando en la resolución los siguientes fundamentos de derecho:
1.- Nuestra Autoridad de Control comienza haciendo referencia al Reglamento General Europeo de Protección de Datos (en adelante RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), concretamente a los artículos donde se estipula el consentimiento del interesado:
Art. 4.11. RGPD “Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
Art. 6.1 de la LOPDGDD, establece que “de conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
En el supuesto que nos concierne, la parte reclamante denuncia a la empresa por difundir la notificación de embargo de su nómina a terceros sin su consentimiento mediante WhatsApp, ya que, tal y como indica nuestra autoridad de control en su resolución:
“Respecto de la persona que envió el mensaje de WhatsApp se señala que:
- El mensaje fue enviado por una trabajadora de la entidad reclamada (…) y por tanto tenía acceso a toda la información relativa a los empleados, ya que entre sus funciones estaba la gestión del personal.
- La compañía manifiesta que la trabajadora no tiene contrato laboral ya que es (…) autónomo colaborador. (…)
- Asimismo, han aportado el documento de alta como autónomo de fecha 23/10/2019.
- La compañía manifiesta que le han bloqueado el acceso ya que no es necesario para sus funciones”
Aunque la empresa reconoce que entre sus funciones se encuentra la gestión de personas, no se puede considerar como responsable del tratamiento objeto de la infracción reclamada a la empleada que envió la fotografía de la nómina sin consentimiento sino a la empresa donde desempeña sus funciones, con independencia de que dicha trabajadora sea o no autónoma.
Así las cosas, de conformidad con las evidencias de las que se dispone, la AEPD considera que estamos ante un tratamiento ilícito de datos personales, lo cual supone la infracción del artículo 6 del RGPD por la entidad reclamada, ya que los datos personales han sido tratados sin haberse acreditado ningún tipo de legitimación y la parte reclamada no puede acreditar que el tratamiento de los datos de la parte reclamante se justifique en alguna de las bases de legitimación del art. 6.1 del RGPD, al no constar el consentimiento de la reclamante para el tratamiento de sus datos.
Por tanto, la Agencia procede a graduar la sanción a imponer de acuerdo con los criterios que establece el artículo 76.2 b) de la LOPDGDD, relativo a la vinculación de la actividad del infractor con la realización de tratamientos de datos personales. A efectos de fijar el importe de la sanción a imponer a la entidad reclamada por una infracción tipificada en el artículo 83.5.a) del RGPD, en una valoración inicial, procede graduar la sanción a imponer a la reclamada y fijarla en la cuantía de 5.000 € de conformidad con el artículo 58.2 del RGPD. No obstante, finalmente la cuantía se vio reducida a 3.000€ por el uso de dos reducciones.
Como conclusión, de esta resolución tenemos que extraer que debemos ser prudentes a la hora de tratar y manejar datos personales de terceros, teniendo que contar siempre con el previo consentimiento del titular de los mismos para desempeñar cualquier acción que pueda afectar a dichos datos personales.
Es muy importante recordar la labor por parte de toda entidad de concienciar y sensibilizar en el tratamiento de los datos personales a todo el personal, puesto que la responsabilidad última recaerá en la entidad como responsable del tratamiento.
