La autoridad de control ha impuesto una sanción de 35.000 euros a una entidad por infringir el artículo 5.1.f) (principio de integridad y confidencialidad) del RGPD. No obstante, dicha sanción se ha reducido a 21.000 euros por cuanto se ha hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad.
La compañía se ponía en contacto, por medios telefónicos, con terceros interesados ofreciendo puestos de trabajo que podían resultar de su interés. Posteriormente, les remitía un correo electrónico en los que se incluía un formulario de Google indicándose que sus datos podrían cederse a las entidades que trabajasen con la empresa reclamada (a efectos de facilitar la información de estos posibles candidatos).
El reclamante puso de manifiesto en su escrito dirigido a la AEPD que la información que se facilitaba por los candidatos a través del formulario se recogía por la entidad en una hoja de Excel a la que podía acceder cualquier tercero que dispusiera de la correspondiente URL (en este documento también se incluían los nombres y apellidos de las personas que no habían consentido la cesión de sus datos). El reclamante tuvo conocimiento de ello, por cuanto dicha URL fue remitida, por error, a los interesados junto al formulario de Google en los correos indicados anteriormente. Asimismo, si bien se indicó por la empresa que los datos se conservaban únicamente durante 18 meses, en la hoja de Excel constaba información desde el año 2020 y que afectaba a 10.837 personas.
Una vez se dio traslado de la reclamación a la entidad, esta confirmó la existencia de un error administrativo puntual cometido por un nuevo empleado (que sí recibió la formación al incorporarse a la empresa) al incluir el enlace de la hoja Excel, de uso interno, junto al enlace de registro que se enviaba a los candidatos. A la vista de ello, se adoptaron distintas medidas por la compañía, como el nombramiento de un Delegado de Protección de Datos (por el incremento en el número de empleados o en el volumen de tratamiento de datos); la limitación de acceso al enlace interno, deshabilitando el mismo (por lo que los terceros que lo habían recibido no podían acceder al documento) o la actualización del procedimiento de gestión de selección de candidatos.
La AEPD ha declarado que, al permitirse el acceso por terceros no autorizados a información de carácter personal, no habiéndose garantizado su confidencialidad, se ha vulnerado el artículo 5.1.f) del RGPD. Adicionalmente, se pone de manifiesto que todas las medidas implementadas por la entidad se adoptaron una vez se trasladó la reclamación, por lo que no se aprecia la existencia de medidas previas que “pudieran haber evitado la incidencia producida”.
La autoridad de control ha tenido en consideración la gravedad de la misma, por cuanto se han visto afectadas 10.837 personas, así como la negligencia en el cumplimiento de sus obligaciones.
Puede acceder a la resolución sancionadora de la AEPD aquí.
