La Agencia Española de Protección de Datos ha sancionado con 15.000 euros a Ilunion Seguridad por infringir los artículos 5 y 32 del Reglamento General de Protección de Datos, al enviar correos electrónicos a varias personas sin utilizar la opción de copia oculta y revelando direcciones personales sin consentimiento.
El reclamante alegaba que no había dado su consentimiento para que lo incluyesen en un grupo de Whatsapp ni para recibir correos electrónicos de carácter laboral en los que su dirección fuese pública para el resto de compañeros a los que iba destinado.
La empresa justificó la inclusión en el grupo de Whatsapp en la necesidad de contar con una vía de comunicación dinámica y ágil para organizar turnos de trabajo en una situación especialmente complicada como la derivada de la pandemia de Covid. “La comunicación por carta postal resulta imposible dados los tiempos que requiere. Por otro lado, afirma, a veces puede resultar necesario que la información sea compartida entre varios trabajadores, a fin de que todos ellos conozcan que los demás están asimismo informados de lo mismo y resolver dudas generales. A tal efecto se crea el grupo de Whatsapp” en el que el trabajador participaba activamente.
En el momento del confinamiento, alega la empresa, este era el medio más adecuado “para trasladar los cambios de última hora a fin de mantener un servicio crítico en esos momentos como era el de vigilancia de os aeropuertos y derivados de la situación de ERTE existente en ese momento”, que hacían necesaria una continua reasignación. Así, fundamenta la base de legitimación para el uso del teléfono móvil en lo establecido en el artículo 6 del RGPD, por la existencia de una relación contractual y un interés legítimo. Argumenta que los trabajadores consintieron que sus datos fuesen tratados, al participar en ellos , “lo que es prueba de un comportamiento activo” de aceptación.
La AEPD indica que es necesario, para la ejecución del contrato, que el empleador disponga de alguna vía de comunicación con las personas trabajadoras y es imprescindible que la persona trabajadora proporcione a la empresa alguna forma de contacto. Sin embargo el contrato de trabajo no legitima a la empresa para solicitar a la persona trabajadora esos datos (STS 4086/2015). Añade que cuando el trabajador se comunica voluntariamente con el empleador a través de su teléfono móvil o su correo electrónico personal “existe un acto afirmativo claro” de su consentimiento, siempre y cuando la utilización de esos datos no venga impuesta contractualmente. En otras palabras “el tratamiento del dato del número de teléfono personal del trabajador o de su dirección de correo particular con la finalidad de mantener la relación laboral no puede considerarse necesario para la ejecución del contrato” porque el empresario “siempre puede proporcionar estos medios necesarios a los trabajadores”.
La Administración recuerda que cuando los datos de contacto no sean corporativos sino de uso personal de los trabajadores, el tratamiento de los datos, incluida la revelación a otros compañeros, no podrá justificarse en la base de legitimación contemplada en el artículo 6 del RGPD. Se habrá de valorar, en todo caso, si ha existido un equilibrio entre el derecho a la protección de los datos personales de los trabajadores y los intereses del empleador, desde el punto de vista de la idoneidad, la necesidad y la proporcionalidad.
En este caso, se considera adecuado el uso del grupo de whatsapp, teniendo en cuenta las circunstancias específicas del momento, en plena pandemia –“nunca unas circunstancias fueron tan determinantes para permitir apartarse de lo que son los hábitos y usos ordinarios en las comunicaciones entre empresario y trabajador”- y que ninguno de los participantes en el grupo mostró su ausencia de consentimiento.
No sucede lo mismo con los dos correos electrónicos enviados sin utilizar la opción de copia oculta, revelando la dirección de correo del reclamante al resto de destinatarios sin su consentimiento y sin que resulte aplicable “otra base de legitimacón del artículo 6 RGPD”. Eso, a juicio de la AEPD, supone una vulneración de la confidencialidad que contraviene el principio de integridad recogido en el artículo 5 del Reglamento.
Igualmente, esta acción supone una infracción del artículo 32 del RGPD, relativo a la seguridad de los datos personales. “El examen de la documentación obrante en el expediente no permite apreciar un comportamiento diligente por parte del reclamado”. Considera que las medidas de seguridad de la entidad reclamada no son adecuadas a la normativa de protección de datos y señala que “existen en el mercado herramientas que disminuyen el riesgo de realizados por error envíos de correos electrónicos a varios destinatarios sin emplear la opción de copia oculta, al mantener, por defecto, a los destinatarios ocultos”. La “intencionalidad o negligencia” se tienen en cuenta como agravantes en este caso, fijando una sanción de 10.000 euros por infringir el artículo 5 y de 5.000 por vulnerar lo establecido en el 32, ambos del RGPD.
15.000 euros de sanción por enviar dos correos sin copia oculta | E&J (economistjurist.es)